一、数据出境合规监管背景
随着互联网的快速发展,在全球化的背景下,数据交互频繁发生,企业在日常业务经营过程中,难免涉及到数据出境事项。此前,《个人信息保护法》《数据安全法》《数据出境安全评估办法》《个人信息出境标准合同办法》对向境外提供数据都有作出相关规定。
根据目前已生效的中国数据出境合规的监管规定,企业数据出境时,应结合自身的主体类型、出境数据的类型等,综合判断认定是否需要履行以下三种出境前置程序:(1)申报并通过数据出境安全评估;或(2)订立个人信息保护标准合同;或(3)通过个人信息安全保护认证。
二、《规范和促进数据跨境流动规定(征求意见稿)》
2023年9月28日,国家互联网信息办公室发布了《规范和促进数据跨境流动规定(征求意见稿)》(以下简称“《数据跨境流动规定》”),征求意见截止时间为2023年10月15日。该文件列明了不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证(以下合称“履行三项前置程序”)的情形。
相较于之前已正式生效的数据跨境规定,《数据跨境流动规定》对数据跨境作出了更为明确的定义与界定,对于何时、在哪些情境下需要进行数据出境安全评估以及何时可以豁免等,都提供了更加明确的指引。
三、律师解读
车卫东律师团队从制造业企业的视角出发,对比《数据跨境流动规定》与其他已生效的法律规定中关于数据出境前置程序的相关规定,对《数据跨境流动规定》作出解读如下:
(一)《数据跨境流动规定》可能会很快生效
《数据跨境流动规定》征求意见的期间明显较短,从2023年9月28日发布到2023年10月15日截止日,仅18天的时间,相比于之前发布的规定,本次征求意见时间缩短了近一半。根据已生效的《个人信息出境标准合同规定》的规定,符合条件的企业需在截止日2023年11月30日前完成合同备案,《数据跨境流动规定》在该截至目前生效并实施的概率是比较大的。
(二)重要数据的认定依据更明确
《数据跨境流动规定》第二条规定,“未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。”因此如果查不到本行业公开的重要数据认定标准,也没有接到监管机构通知的,可以认为不需要适用重要数据的数据出境安全评估申报义务。
(三)明确了以下无需履行三项前置程序的情形
1、国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的;
2、境外个人信息中转的(即不是在境内收集产生的个人信息向境外提供);
3、为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的;
4、按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的;
5、紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的;
6、预计一年内向境外提供不满1万人个人信息的;
(四)自贸区内非负面清单可以无须履行三项前置程序
自由贸易试验区可自行制定本自贸区需要履行三项前置程序的数据清单(即“负面清单”),负面清单外的数据出境可以无须履行三项前置程序。
(五)明确以出境的个人信息数量作为判断标准
《数据跨境流动规定》不再以处理100万人以上个人信息的数据处理者主体身份以及是否属于敏感个人信息作为判断标准,而是单纯以出境的个人信息数量作为判断标准,并且下调了门槛。这种变化大大降低了仅出境少量个人信息的数据处理者以及具有少量个人信息出境需求的企业的负担。对于处理大量个人信息,但实际仅有少量个人信息出境的数据处理者而言,更是大幅度减轻了数据出境合规的压力。
(六)增加补救和报告义务
《数据跨境流动规定》中规定,数据处理者发生数据出境安全事件或者发现数据出境安全风险增大的,应当采取补救措施,及时向网信部门报告。
四、目前公司应对数据跨境流动的合规管理方案:
1、建议企业与境外数据接收主体(比如总公司)签订确保数据信息处理合法合规使用的书面文件; (我方可协助制作);
2、建议企业对企业内部规章制度文件(如《员工手册》、信息管理制度等)、《劳动合同》等进行修订更新,增加关于同意数据跨境流动的相关条款;或制定《员工个人数据合规使用》规范文件
3、目前《数据跨境流动规定》尚未正式生效实施,对于是否需要履行数据出境三项前置程序的问题,公司可暂持观望态度,同时车卫东律师团队也将紧密关注法律法规动态,及时向企业提供进一步的合规管理建议。
附:主要相关规定
《中华人民共和国个人信息保护法》(2021.11.01生效,法律)
第三十八条 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。
个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。
《数据出境安全评估办法》(2022.09.01生效,部门规章)
第四条规定:数据处理者向境外提供数据有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
(一)数据处理者向境外提供重要数据;
(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。
《个人信息出境标准合同办法》(2023.6.1起施行,部门规章)
第四条 个人信息处理者通过订立标准合同的方式向境外提供个人信息的,应当同时符合下列情形:
(一)非关键信息基础设施运营者;
(二)处理个人信息不满100万人的;
(三)自上年1月1日起累计向境外提供个人信息不满10万人的;
(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。
《规范和促进数据跨境流动规定(征求意见稿)》(2023.9.28发布)
一、国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
二、未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
三、不是在境内收集产生的个人信息向境外提供,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
四、符合以下情形之一的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:
(一)为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的;
(二)按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的;
(三)紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的。
五、预计一年内向境外提供不满1万人个人信息的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。
六、预计一年内向境外提供1万人以上、不满100万人个人信息,与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的,可以不申报数据出境安全评估;向境外提供100万人以上个人信息的,应当申报数据出境安全评估。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。
七、自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),报经省级网络安全和信息化委员会批准后,报国家网信部门备案。
负面清单外数据出境,可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
八、国家机关和关键信息基础设施运营者向境外提供个人信息和重要数据的,依照有关法律、行政法规、部门规章规定执行。
向境外提供涉及党政军和涉密单位敏感信息、敏感个人信息的,依照有关法律、行政法规、部门规章规定执行。
九、数据处理者向境外提供重要数据和个人信息,应当遵守法律、行政法规的规定,履行数据安全保护义务,保障数据出境安全;发生数据出境安全事件或者发现数据出境安全风险增大的,应当采取补救措施,及时向网信部门报告。
十、各地方网信部门应当加强对数据处理者数据出境活动的指导监督,强化事前事中事后监管,发现数据出境活动存在较大风险或者发生安全事件的,要求数据处理者进行整改消除隐患;对拒不改正或者导致严重后果的,依法责令其停止数据出境活动,保障数据安全。
十一、《数据出境安全评估办法》、《个人信息出境标准合同办法》等相关规定与本规定不一致的,按照本规定执行。