备受期待的数据出境新规《促进和规范数据跨境流动规定》(“《跨境新规》”)终于在2024年3月22日发布了。一同发布的还有《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》(合称“第二版申报指南”)以指导企业开展后续的数据出境安全评估申报工作和个人信息出境标准合同备案工作。本文将简要评述若干企业翘首以盼的数据出境监管的放松,以及相比于2023年9月28日《规范和促进数据跨境流动规定(征求意见稿)》(“《928征求意见稿》”)的部分变化,还有《跨境新规》发布之后仍需监管实践来澄清的事项。
《跨境新规》主要内容评述
《跨境新规》基本延续了《928征求意见稿》下的思路,澄清了实践中企业在申报数据出境安全评估和个人信息标准合同备案的部分疑点,明确了若干免于办理“申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”手续(合称“跨境合规行政手续”)的情形,可以说《跨境新规》针对先前的《数据出境安全评估办法》和《个人信息出境标准合同办法》提出了若干流程上的放松。《跨境新规》对比《928征求意见稿》还有若干细节之处的调整,这些调整则显示出了网信部门进一步支持跨境数据流动的积极态度。具体请见我们如下的分析:
1. 跨境合规行政手续豁免情形综述
不过,《跨境新规》下针对各种类型的数据跨境传输情形的“豁免”,仅仅是豁免了“申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”的义务(即跨境合规行政手续)。为应对合规审计或者后续的监管巡查,企业仍然需要按照《个人信息保护法》等相关法律法规的要求,落实告知、取得个人单独同意、进行个人信息保护影响评估等义务。
2.《跨境新规》下的涉及数据出境政府申报的数量门槛
针对长期以来备受关注的申报数量门槛问题,除了《跨境新规》放弃了原先《928征求意见稿》下“预测式”的计算模式之外,还针对《928征求意见稿》下设定的数量门槛机制又做了进一步的调整和更新:
另外,网信部门在《跨境新规》的答记者问中特别明确了在上述累计数据出境的数量的计算过程中,不需要计入豁免情形的相应数据量。
3.《跨境新规》下的“重要数据”出境
延续《928征求意见稿》的思路,《跨境新规》第二条明确了在未被相关部门、地区告知或者公开发布为重要数据的情况下,数据处理者不需要作为重要数据申报数据出境安全评估。
值得企业关注的是,近日国家标准GB/T 43697-2024《数据安全技术数据分类分级规则》已正式发布。该推荐性国家标准不仅明确了数据应根据敏感性、重要性和潜在风险划分为一般数据、重要数据、核心数据等级别,并在附录中提供了“重要数据识别指南”,有望与不同地区、行业和领域的规则相结合为企业认定和保护重要数据提供重要指引。
4. 第二版申报指南的影响
与《跨境新规》同日发布的第二版申报指南也澄清和更新了若干数据出境安全评估申报和个人信息出境标准合同备案工作的实操要点,主要包括:
- 申报流程:除了关键信息基础设施运营者以及不适合线上申报的情形之外,企业未来的数据出境安全评估申报和个人信息出境标准合同备案工作均需要通过数据出境申报系统(https://sjcj.cac.gov.cn)开展,大大便利了企业的申报工作开展。
- 境外收集:第二版申报指南中澄清了长期存在争议的《个人信息保护法》第三条第二款下的数据处理活动是否属于网信部门视野下的“数据出境”的情形。第二版申报指南规定,“符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他数据处理活动”,属于数据出境。当然,在判断“境外收集”视为“数据出境”时,也需要考虑《跨境新规》下场景化豁免的问题,即如果是为了订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的,这些场景也明确被豁免跨境合规行政手续。
- 数量统计:在《数据出境安全评估申报指南(第二版)》中,明确了统计自然人数量时,需要满足“去重”的要求,同时将申报自然人数量的预估期间自“2年”提升至“3年”。
- 合法性基础:《数据出境安全评估申报指南(第二版)》明确了“若属于《个人信息保护法》第十三条第一款第二项至第七项规定情形的,不需取得个人同意”。这一澄清既与《个人信息保护法》第十三条第二款的规定相吻合,更显著避免了企业在开展数据出境过程中向相关数据主体索取“单独同意”的繁重负担。
《跨境新规》下的待澄清事项
1. “自当年1月1日起累计向境外提供”统计口径,是否包括1月1日之前已经向出境的个人信息?
这个计算方式也待后续监管实践来明确。如果计算方式仅仅考虑“增量”,例如当年1月1日起新增的求职者人数、新增的客户人数等,将进一步减少公司需要申报跨境合规行政手续的情形,例如:部分公司可能因为当年不超过10万“新增”个人的个人信息(不含敏感个人信息)而免于履行跨境合规行政手续的义务。或者因为不超过1万“新增”个人的敏感个人信息,而从由适用数据出境安全评估转为适用订立标准合同或通过认证以证明其出境合法性。反之,若计算的是“存量”数据,则意味着现有数据已经达到门槛的企业还是无法享受诸如公司层面最低限度豁免的情形减轻合规压力。这种计算方式对于在数据整体存储在外国服务器或者开放长期的境外远程访问权限访问全量数据的场景来说,更需要监管的进一步明确。
2. 已经下发给企业的数据出境安全评估通过决定如何处理?
对在《跨境新规》发布之前,已经在数据出境安全评估中获得附条件通过决定的(即部分字段被禁止出境),如果被禁止出境的字段可以适用在《跨境新规》下的豁免场景,是否可以依据《跨境新规》的规定继续向境外传输该等被禁止出境的字段?
《跨境新规》后企业应当开展的工作
建立长效的数据出境统计机制:存在数据出境情形的公司(无论是否之前为数据出境安全评估、个人信息出境标准合同备案或者是被豁免的企业),应当建立长期的数据出境统计机制,定期开展数据盘点以保证能够时刻掌握公司实体层面在“当年1月1日起累计向境外提供个人信息涉及人数”的最新情况。同时,统计数据时应包括增量和存量两种口径,以满足未来个人信息保护合规审计时针对适用的跨境合规行政手续核查的需求。
依据申报程序更新申报材料:对于依据《跨境新规》需要切换跨境合规行政手续的情况(例如从数据出境安全评估申报转为个人信息标准合同备案),建议公司根据《跨境新规》的要求、第二版申报指南的意见(包括最新的数据出境风险自评估报告模版和个人信息保护影响评估报告模版),调整整体申报材料的内容,例如删除被豁免的场景,再行向网信办说明以及提交备案材料。
内部合规记录:对于免于履行跨境合规行政手续的公司,则仍然需要落实告知、取得个人单独同意、进行个人信息保护影响评估等义务,并准备好相应的证明记录,以应对未来个人信息保护合规审计针对数据出境合规环节的审计要求。