洞察详情

张弛有度,刚柔并济——简评网信办《促进和规范数据跨境流动规定》



2024年3月22日,国家互联网信息办公室(“网信办”)发布了期盼已久的数据跨境传输新规,《促进和规范数据跨境流动规定》(下称“《规定》”),并同时发布了《个人信息出境标准合同备案指南(第二版)》、《数据出境安全评估申报指南(第二版)》,构建了由《数据出境安全评估办法》、《个人信息出境标准合同办法》和《促进和规范数据跨境流动规定》组成的数据出境的“三驾马车”。


在《规定》下,数十种常见的数据跨境传输场景将免予申报数据出境安全评估(“安全评估”)、订立个人信息出境标准合同(“标准合同”)、通过个人信息保护认证(“认证”)。同时,《规定》明确了只有被相关部门、地区确认为“重要数据”的,才强制性地适用安全评估这一跨境传输路径。《规定》的另一个亮点是赋予自贸区自行制定“负面清单”的权限,在负面清单之外的数据同样免予安全评估、标准合同或认证。





网信办颁布的《规定》将2023年9月28日发布的《规范和促进数据跨境流动规定(征求意见稿)》(“《征求意见稿》”)名称从“规范和促进”修改为“促进和规范”,希望向行业释放出《规定》的主要目的在于促进数据跨境传输而非规制的信号。


《规定》整体延续了《征求意见稿》中较为宽松的数据出境规则,并实质上废止了先前数据跨境传输规则中的部分规定,特别地将《数据出境安全评估办法》中规定的安全评估有效期从两年延长至三年,并明确了关键信息基础设施运营者以外的数据处理者(“非关基”)自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的,免予安全评估、标准合同或认证。


我们认为,《规定》本次修改的亮点主要包括以下几个方面:


一、 豁免的广泛适用 – 数据出境豁免的“白名单”涵盖了常见的跨境传输场景,在这些场景下进行数据跨境传输免予安全评估、标准合同或认证:

向境外传输个人信息的合规义务主要包括安全评估、订立标准合同,或者完成认证三条路径:


  • 安全评估是三条路径中合规要求最高的方式,即,关键信息基础设施运营者(“关基”)应当采用线下方式通过所在地省级网信办向国家网信办申报数据出境安全评估,对于非关基,应当通过数据出境申报系统(https://sjcj.cac.gov.cn)提交材料,并均需按照评估结果通知书的相关要求进行数据出境活动。


  • 标准合同模式下要求数据处理者与境外数据接收方订立不能与网信办发布的标准合同冲突的《个人信息出境标准合同》,并于合同生效之日起10个工作日内向监管部门备案;


  • 认证目前落地的规则仅有国家市场监督管理总局、网信办共同发布的《个人信息保护认证实施规则》,详细的认证标准和程序仍然亟待明确。


本次《规定》明确豁免了数十种常见跨境数据传输的上述三种合规义务,按照数据是否包含个人信息分为两大类,还引入自贸区“负面清单”制度,总共三类豁免。


第一类豁免 – 不包含个人信息或重要数据的,进行跨境数据传输免予安全评估、标准合同或认证的情形:


  1. 国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供(第三条)


    简评:《规定》对上述数据跨境传输场景下数据出境路径的豁免,意图鼓励国际贸易和学术交流。企业在开展国际贸易、跨境运输、跨国生产制造和市场营销中所收集和产生的大量数据,例如供应商名单、产品参数、价格、航线和运费等商业信息并不必然包含个人信息或者重要数据。《规定》下的豁免将有益于国际间商业活动和学术交流。


  2. 数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据(第四条)


    简评:此条意在减轻数据过境处理的合规义务,鼓励“来料加工”的数据处理产业。国家数据局局长刘烈宏2024年3月25日在“中国发展高层论坛2024年”发言上提到,截至2023年底,我国算力基础设施综合水平稳居全球第二,算力总规模超过230EFLOPS,算力资源较为丰富。尤其是在人工智能时代,大量从他国和地区收集到的数据可能会传输到我国境内进行处理及用于大模型训练,上述规定不仅旨在充分利用我国丰富的算力资源为源自境外的数据提供数据处理服务,也能有益于训练属于自己的“大模型”。


第二类豁免 – 包含个人信息但不含重要数据的,进行跨境数据传输同样免予安全评估、标准合同或认证的情形(第五条):


  1. 为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的


    简评:类似于欧盟《通用数据保护条例》(General Data Protection Regulation, GDPR)下以履行与数据主体的合同为目的(necessary for performance of a contract with the data subject)的数据出境场景。在这种情形下,尽管境外传输个人信息已经获得了个人同意,但传输的信息应当仅限于为提供跨境服务之必须,仍然要符合《个人信息保护法》合法、正当、必要性原则。


    参照欧盟层面的监管机构欧盟数据保护委员会(European Data Protection Board,EDPB)的指南1,数据控制者2依赖此路径传输数据的,需要证明合同存在、适用成员国法律(解释)该合同应当为有效,以及应当从客观标准来判断为履行合同确有必要提供个人信息。


  2. 按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;


    简评:跨国公司会进行一定程度的一体化管理,如IT系统、财务系统、人力系统等。企业在招聘和员工日常管理中以发放员工工资或福利为目的会收集员工个人及家庭的个人信息(跨国公司许多福利项目覆盖配偶和子女,例如商业医疗保险或子女学费补贴等,由此有必要收集家庭成员信息)。


    从维持企业正常运营的角度来看,个人信息的跨境传输是常规、必须且频繁的。《规定》对以人力资源管理为目的个人信息跨境传输进行了豁免,其思路很容易使人联想到GDPR下的约束性公司规则(Binding Corporate Rules, BCRs)这一路径,但二者在监管力度与信息范围上存在较大差异。


    一方面,在欧盟BCRs路径下,跨国公司BCRs需要获得成员国主管机关的事先同意。若涉及多个成员国,EDPB也将发表自己的意见,流程较为复杂。根据EDPB公开信息,自2018年5月GDPR生效以来BCRs获得批准的企业仅有50余家3。相比之下,《规定》直接将人力资源管理为目的的个人信息传输豁免,大大降低跨国公司在我国进行数据本地化的运营成本。


    另一方面,BCRs广泛地适用于跨国公司内部传输个人信息,尤其是用户信息,侧重点并非为员工。《规定》仅涉及员工个人信息,且从条文本身来看,豁免的个人信息范围也不包括员工家庭成员信息,范围比BCRs“窄”许多。数据处理者或控制者在享受BCRs宽泛范围的同时也承担较高的合规义务。


  3. 紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;


    简评:此条容易联想到GDPR序言46关于数据主体重大利益(Vital Interests of the Data Subject)的规定。这种紧急情况只能是自然人生命安全存在危险的情况下为保护数据主体利益处理和传输个人信息,例如需要为自然人提供紧急的医疗救助或者人道主义救援服务。


  4. 关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。


    简评:实务中不少数据跨境传输均属于此种类型。本条将门槛值定在10万人,减轻了企业其他传输需求场景下的合规义务。对于超过10万不满100万人个人信息且不含敏感个人信息的,可以采纳标准合同或认证路径。


第三类豁免 – 跨境传输自贸区“负面清单”外的数据,免予安全评估、标准合同或认证(第六条):


自贸区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(“负面清单”),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。自贸区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。


简评:自贸区将成为有效促进数据流动的试验田,负面清单体现了我国对于一般数据流动支持的态度,即禁止出境、受限出境是例外;有助于企业及监管机关提升识别禁止或受限出境的数据的效率,增强企业合规的预判性、降低合规成本。目前上海、天津、北京等地的自贸区均在积极编写相关数据目录、清单,期待相关规定尽快落地。


二、更加明确的数据分级规则 – 数据“本身”不构成“重要数据”

“重要数据”是《数据安全法》下建立国家数据分级分类保护制度的重中之重。《数据出境安全评估办法》将“重要数据”定义为一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。无论数据处理者是否为关基,在境内收集和产生的重要数据如果的确需要出境的,应当事先进行安全评估。尽管重要数据的跨境传输需遵守严格的合规义务,但长期以来重要数据的界定范围缺乏明确的法律规定。


为解决这一痛点,《规定》第二条指出,“未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估”。此外,值得关注的是,3月21日,国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》正式发布,其附录中的"重要数据识别指南"为数据处理者认定和保护重要数据提供重要指引。


三、强制性的安全评估仅适用于三种场景

按照《规定》第七条,强制性的安全评估仅适用于三种场景下的数据出境,即:


  1. 关基向境外提供个人信息或者重要数据;

  2.  非关基向境外提供重要数据;或者

  3. 非关基自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息),或者1万人以上敏感个人信息。


简评:对于重要数据的出境,安全评估是唯一的路径。按照之前《数据出境安全评估办法》第四条第(三)项“自上年1月1日起累计向境外提供10万人个人信息”的规定,提供10万以上不满100万人信息且不含敏感信息的,属于应当进行安全评估的情形,但在《规定》第八条下,可以依赖订立标准合同或认证的路径,不再要求安全评估,大大减轻了企业的合规义务。此外,由于《规定》第四条的豁免,“过境数据”是否需要进行安全评估的担忧也相应消除。


四、 标准合同备案或认证适用的场景

按照《规定》第八条,非关基自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息),或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。


简评:如上所述,本条所指的情形在原《数据出境安全评估办法》下需要进行安全评估,但在《规定》下其合规义务降低至标准合同或认证。该情形实务中较为常见,这可能也是《规定》将其进行单独规定的原因。


如果采取标准合同的方式向境外提供个人信息,应当在标准合同生效之日起10个工作日内,通过数据出境申报系统备案(https://sjcj.cac.gov.cn)。随备案文件需要提交《个人信息保护影响评估报告》,而该份报告需要在申报前3个月内完成。


《规定》延续对重要数据、敏感个人信息以及关基对外提供个人信息进行强监管的同时,对非关基跨境传输数据的规则整体上较为宽松,达到了张弛有度、刚柔并济的效果,其目的显然也在于为外商投资中国,以及中国企业出海创造更有利、更优质的营商环境,符合总书记提出的发展“新质生产力”的总体要求。





注解: 

  1. 参见EDPB关于为数据主体提供在线服务的指南:Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines-art_6-1-b-adopted_after_public_consultation_en.pdf 

  2. GDPR将合规主体分为“数据控制者”和“处理者”,我国则统一称为“数据处理者”。

  3.  EDPB自2018年5月批准的BCRs请见:https://www.edpb.europa.eu/our-work-tools/accountability-tools/bcr_en?page=0