数据出境合规标准或迎来重大调整——《规范和促进数据跨境流动规定(征求意见稿)》解读
作者:吴卫明 刘昀东 2023-10-07自2023年6月1日《个人信息出境标准合同办法》生效后,《网络安全法》《数据安全法》《个人信息保护法》确立的数据出境合规的三大路径——申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证——均有了可以遵循的操作规则。但在数据出境活动开展的同时,企业对是否应当适用或者如何适用三大路径仍有诸多疑问。
2023年9月28日,双节假日前最后一个工作日,国家互联网信息办公室(以下简称“国家网信办”)就《规范和促进数据跨境流动规定(征求意见稿)》(以下简称《数据跨境规定》)公开征求意见。《数据跨境规定》对于数据出境合规活动中社会关切的问题进行了回应,并对现行标准进行了优化调整,在一定程度上降低了数据处理者的负担,反映了监管机构对促进数据合理流动和保障数据安全两个目标进行平衡的努力,很可能对后续各类机构数据出境合规义务的履行产生重大的、积极的影响。
《数据跨境规定》内容影响重大,值得存在数据出境活动的企业重点关注。本文将对其进行全面解读,归纳与企业切身相关的八大要点。
一、《数据跨境规定》可能很快生效
相比于《数据出境安全评估办法(征求意见稿)》和《个人信息出境标准合同规定(征求意见稿)》,这次征求意见的时间显得更加紧迫。如果考虑到这次征求意见的期间还包含中秋国庆带来的节假日,《数据跨境规定》征求意见的时间只有前两者的一半。可以想见,《数据跨境规定》的生效、实施大概率也会更为高效。
二、重要数据的认定依据更明确
《数据跨境规定》第二条规定,“未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。”
即,如果查不到本行业公开的重要数据认定标准,也没有接到监管机构通知的,可以认为不需要适用重要数据的数据出境安全评估申报义务。该规定亦为降低重要数据认定的不确定性提供了依据。
三、境外个人信息中转无须适用三大路径
《数据跨境规定》第三条规定,“不是在境内收集产生的个人信息向境外提供,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。”
虽然《信息安全技术 数据出境安全评估指南(征求意见稿)》第3.7条曾规定类似内容:(1)非在境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动或加工处理的,不属于数据出境。(2)非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据的,不属于数据出境。但是根据全国标准信息公共服务平台公示信息,该标准制定计划已经终止,而现行法律法规均未对于相关情形做出明确规定,因此境外收集、产生的个人信息存储在境内后再向境外提供是否要履行数据出境安全评估申报义务一直是困扰相关数据处理者的问题之一。《数据跨境规定》给出了明确回答,而且结合上文关于生效时间的分析,该结论具有很强的可预期性。
四、特定必要情形无须适用三大路径
《数据跨境规定》第四条规定,以下情形无须适用三大路径:(一)为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的;(二)按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的;(三)紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的。
上述情形也是《个人信息保护法》第十三条规定处理个人信息时可以豁免个人同意的第(二)项内容和第(四)项部分内容。这些情形本身具有特殊性,对于个人有明显的增益作用,如果为了过分强调保护个人信息而限制相关个人信息处理活动则可能产生对于个人的权益造成不利影响,因此《数据跨境规定》规定该等情形无须适用三大路径具有显著的合理性。但企业在适用该条款的时候应当格外注意上述情形均存在“必须”的前提条件,即必要性条件。
五、少量个人信息出境的合规负担大大降低
根据《数据出境安全评估办法》《个人信息出境标准合同办法》的规定,针对个人信息出境,仅有两档适用标准,即应当申报数据出境安全评估的,和可以订立个人信息出境标准合同、通过个人信息保护认证而无须申报数据出境安全评估的。
《数据跨境规定》第五条、第六条在对原有两档适用标准作出调整的基础上,增加第三档:无须适用三大路径的。并且《数据跨境规定》第十一条明确,《数据出境安全评估办法》、《个人信息出境标准合同办法》等相关规定与《数据跨境规定》不一致的,按照《数据跨境规定》执行。
通过以上对比可以发现,《数据跨境规定》不再以处理100万人以上个人信息的数据处理者这个主体身份(关键信息基础设施运营者由于《数据跨境规定》第八条的规定可能排除适用)以及是否属于敏感个人信息作为判断标准,而是单纯以出境的个人信息数量作为判断标准,并且下调了门槛。比如两年内出境10万人个人信息的数据处理者按照原标准应当申报数据出境安全评估,标准变更后只需要订立标准合同(两年内出境10万人个人信息,对应预计一年内出境个人信息1万人以上、不满100万人);两年内出境不满1万人个人信息的数据处理者按照原标准应当订立标准合同,标准变更后无须适用三大路径。这种变化大大降低了仅出境少量个人信息的数据处理者以及具有少量个人信息出境需求的企业的负担。对于处理大量个人信息,但实际仅有少量个人信息出境的数据处理者而言,更是大幅度减轻了数据出境安全评估的压力。
六、自贸区内非负面清单可以无须适用三大路径
《数据跨境规定》第七条规定,自由贸易试验区可自行制定本自贸区需要适用三大路径的数据清单(即“负面清单”),负面清单外的数据出境可以无须适用三大路径。负面清单应当报经省级网络安全和信息化委员会批准,报国家网信部门备案。
对于强调商贸跨境合作的自贸区而言,数据的跨境流动需求是十分旺盛且必要的。上述条款带来的政策支持十分重要,可以大大降低发展过程中对于数据出境安全合规风险的顾虑。
七、增加补救和报告义务
在众多条款大大降低企业合规负担的基础上,《数据跨境规定》第九条强调数据出境仍应合法合规、保障数据安全,数据处理者不能忽视对于保障方面要求的关注。并且规定,数据处理者发生数据出境安全事件或者发现数据出境安全风险增大的,应当采取补救措施,及时向网信部门报告。
发生安全事件时的补救和报告义务(应急处置义务)已经在《网络安全法》《数据安全法》《个人信息保护法》中规定,属于事后管控的一部分。而发现数据出境安全风险增大的补救和报告义务则可以认为是一种降低事前负担增强事中管控的平衡。
八、法律后果可预期性增强
由于《个人信息保护法》对于违法行为对应的法律后果规定比较宽泛,导致未满足合规条件的数据出境活动最终将面临的法律责任区间较大,法律责任的可预期性较差。《数据跨境规定》第十条规定,网信部门发现数据出境活动存在较大风险或者发生安全事件的,要求数据处理者进行整改消除隐患;对拒不改正或者导致严重后果的,依法责令其停止数据出境活动,保障数据安全。这些规定增强了法律后果的可预期性。
应当注意的是,上述规定围绕的是数据出境活动存在较大风险或者发生安全事件的情形,但是数据处理的全生命周期不仅仅是出境这一个环节,其他环节仍然可能衍生出更严重的法律风险,例如违法数据出境,风险点还可能包括数据来源违法的情形,尤其是违法收集个人信息的情形,仍面临侵犯公民个人信息的法律风险。
小结
通过以上分析可以看出,《数据跨境规定》对于数据跨境合理流动与数据安全的平衡有了进一步的规定,如果《数据跨境规定》得已通过并施行,无疑有利于减轻企业的数据出境合规压力。
