数据跨境流动监管机制的新发展
在保障数据安全,维护公民权益的前提下促进数据自由流动,充分释放数据价值,是我国数据治理体系的核心理念。2024年3月22日,国家互联网信息办公室正式发布《促进和规范数据跨境流动规定》(以下简称“新规定”),在我国现行规则基础上进一步降低数据跨境流动的门槛。新规定的实施是结合我国自由贸易区实践,加快对接高水平国际数据规则的尝试。
针对数据出境场景,我国《网络安全法》《数据安全法》《个人信息保护法》将有必要进行事前审查的数据限定为重要数据与个人信息两类,并制定了三大数据出境规范路径。结合《数据出境安全评估办法》第四条,数据处理者向境外提供重要数据、关键信息基础设施运营者与处理个人信息达到一定数量的数据处理者向境外提供个人信息时应当申报数据出境安全评估。根据《个人信息出境标准合同办法》第四条,未达到前述数据出境安全评估触发标准的信息处理者可以通过签订标准合同的方式向境外提供个人信息,个人信息出境标准合同需要向所在地省级网信部门备案。无需申报安全评估的个人信息处理者,也可以在取得国家网信部门规定专业机构所出具的个人信息保护认证后进行个人信息出境活动。从各地网信部门于公开平台发布的信息来看,申报数据出境安全评估、进行个人信息出境标准合同备案、获得个人信息保护认证这三种数据出境合规路径的成功案例仍比较有限,多数为大型企业。其原因不止在于法律实施前期缺乏明确的执法参照标准,更在于相关立法未能充分明确规则适用范畴。
增加数据出境审查豁免情形
新规定厘清数据出境审查机制适用之界限,增加了三种豁免申报情形。针对国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中涉及数据出境需求,以及数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供这两种情形,在向境外提供数据时不包含个人信息或重要数据的,无需履行审查合规要求。对于数据处理者向境外提供个人信息这一情形,新规定第五条结合个人信息出境的常规场景、企业日常经营需要以及公共利益保障要求,可免予申报安全评估、订立标准合同或通过个人信息保护认证,极大便利了相关主体进行数据出境活动。虽然新规定已明确豁免情形下数据出境监管审查要求,却并未免除数据处理者的自评估义务,数据处理者仍需要在进行数据出境自评估时,说明数据出境对实现数据处理目的的必要性,履行好《个人信息保护法》《数据安全法》等法律法规中相关权利与义务,落实数据安全保障。
明确重要数据界限
新规定敦促相关部门与地区编制发布重要数据清单,同样是限缩数据出境审查规则适用之边界的体现。重要数据界定不明易导致执法范围的扩张,给企业与执法机关增加额外负担。《数据安全法》规定,应由各地区、各部门制定重要数据具体目录,旨在为区分重要数据提供确切指引,但至今仍未有部门发布可供参考的示范性文件。根据《信息安全技术重要数据处理安全要求》(征求意见稿)(以下简称“重要数据处理要求”),重要数据指特定领域、特定群体、特定区域或达到一定精度和规模的数据,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。虽然该定义能够辅助判断数据性质,但由于该文件尚未生效,其性质也并非国家强制性规范,未来仍需要结合部门与地方所编制的重要数据清单明确其内涵。除了持续关注地方政府与自贸区重点数据清单编制工作进程,企业也需先行在内部开展数据分级分类管理工作,厘清对企业开展业务具有重大经济价值或对公共利益有重要影响的数据类别,编纂内部重要数据列表。
提高个人信息出境审查触发门槛
尤其需要关注的是,新规定提高了个人信息出境审查触发门槛。这一变化符合当前我国数据跨境流动的现实状态,原本以“10万人一般个人信息”为数据出境审查触发的初始门槛并不符合大部分企业的实际经营需求。随着数字贸易逐步取代传统线下贸易模式,数据跨境流动活动将更为频繁,所涉及的数据数量也将大幅提升。提升数据出境审查门槛,是衡量数据出境经济效益与维持数据保护水平的合理决策,符合我国市场发展需要。
原规定 | 新规定 | |
数据出境安全评估 | 数据处理者向境外提供重要数据 | 关键信息基础设施运营者向境外提供个人信息或者重要数据; 关键信息基础设施运营者以外的数据处理者向境外提供重要数据 |
关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息 | 自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。 | |
自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息 | ||
个人信息保护认证
订立个人信息出境标准合同 | 非关键信息基础设施运营者 | 关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的 |
处理个人信息不满100万人的 | ||
自上年1月1日起累计向境外提供个人信息不满10万人的;自上年1月1日起累计向境外提供敏感个人信息不满1万人的。 |
为避免新旧规定产生法律适用冲突,新规定明确与《数据出境安全评估办法》等相关规定存在不一致时,应适用新规定。从新规定的主要内容来看,新规定根据市场发展情况调整数据出境审查门槛,旨在明确数据出境审查机制适用之内涵与外延,减少企业的合规成本,促进数据要素的自由流动。当前,我国数据治理规则仍存在改进空间,在未来也将继续结合规则适用经验,不断出台实施细则完善适用标准。数据作为攸关公民个人权益与公共利益的特殊资产,企业对数据的合规管理将成为相关部门重点监管内容。因此,企业有必要加强对数据治理规则最新动态的关注,加快构建内部数据合规管理机制,提升数据保护水平,以符合数据处理活动相关审查要求。