专业文章
数据跨境流动新规简评及实务操作指南
国家网信办于2024年3月22日发布并正式施行《促进和规范数据跨境流动规定》,同时发布了更新版的《数据出境安全评估指南》、《个人信息出境标准合同备案指南(第二版)》(以下简称"数据跨境新规")。中国数据跨境监管的重大调整正式落地。
本文将说明数据跨境新规的核心变化及相应的实操要点,为企业在新环境下的数据合规策略提供操作指南。
一、数据跨境新规的核心变化
1.以豁免形式大幅缩小事前审查/备案的适用范围
过去几年来,我国对数据跨境流动的监管已经形成了“三条路径”,即:申报数据出境安全评估、标准合同备案、通过个人信息保护认证。
这三种路径都属于事前审查。他们不但要求数据出境单位根据法律法规完成数据合规工作,而且要求他们准备大量申请文件证明自己达到了法律要求,最后还需要等待监管机关完成评估、备案程序后,才能开始实施数据出境活动。
数据处理的方式、范围复杂多变,在事前审查、备案或认证的环境下,数据处理者必须投入大量人力物力准备申报文件,而在等待批准或认证期间,企业可能已产生了新的数据传输需求。导致企业倾向于将资源用在应对监管要求上,而非提升日常的个人信息保障能力。
数据跨境新规转换了监管思维,强调了开放与发展并重的基调,适度放宽了程序性要求。特别是对于企业需要频繁处理数据的日常业务场景,豁免了事前的审查程序。此外,新规还赋予了自贸试验区制定《负面清单》的自由,进一步放宽了对数据流通的约束。
下表整理了数据跨境新规所豁免的事前审查、备案的场景:
2.提高了需要事前审查的场景门槛
除从质的角度豁免上述场景的事前审查、报备要求外,数据跨境新规还从量的角度缩小了事前审查程序的适用范围。
首先,明确了计算时间的节点。
相较于过往以“企业上年度至本年所处理数据总量”计算数据出境安全审查门槛的规定,数据跨境新规以“当年累计向境外提供数据量”判断申报必要性,降低了模糊性,也回应了数据处理情况不断变化的现实。
其次,改变了判断数据出境安全审查的统计口径。
在是否需要出境安全审查的统计口径上,过往的标准是以企业所“处理”的总的个人信息数量判断其是否需要完成数据出境审查。这就令那些虽然掌握较大数量用户的个人信息,但业务中实际只跨境传输很小数量的个人信息的单位面临两难:为了数十人的个人信息跨境传输,需要全面梳理和汇报整个企业的数据处理情况。
数据跨境新规改成以“向境外提供”个人信息数量计算。这一变化在实质上进一步放宽了事前审查的要求,改变也降低了境内企业在偶发的数据出境情况下合规开展业务的成本。
第三,数据跨境新规对关键基础设施运营者(“CIIO”) 向境外提供个人信息的场景也从一刀切的模式转为分类对待,将前述豁免场景一体适用于关键基础设施运营者。
3.明确了重要数据识别及申报要求
在前一阶段,重要数据的识别和管理是企业开展数据合规工作中经常面临的难题。由于目前仅汽车、电信等部分行业公布了重要数据识别的方法或列出重要数据的种类,大多数行业都尚未公布重要数据目录。企业在数据跨境的路径判断中难免存在困惑。
数据跨境新规明确,在未被相关部门、地区告知,或者未公开发布为重要数据的情形下,企业不需要申报重要数据出境安全评估。
4.延长了数据安全评估结果有效期
数据跨境新规将安全评估结果的有效期自2年延长至3年,此外还新增了企业申请延长有效期的规定。此举对于完成评估和正在申报评估的企业具有重要意义,进一步让他们将数据合规的资源用于日常的个人信息保护工作,增加了数据合规工作的稳定性。
二、实操要点
从合规实践出发,我们梳理和总结了企业适用数据跨境新规的实操要点。
1.如何选择出境路径?
数据跨境新规出台后,在我国当前的监管框架下,对于数据跨境流动的管理采取了根据数据重要程度分类对应监管的思路。
首先,监管对象为重要数据和个人信息。对于重要数据出境,采取严格管控,企业需申报数据出境安全评估。对于个人信息,划分为敏感个人信息和一般个人信息:前者的跨境传输在条件具备的情况下可以豁免申报数据出境安全评估;后者在特定豁免情形下可以免予所有事前审查(即免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证)。
其次,对于CIIO的个人信息出境管控更为严格。各类处理者所对应的具体数据出境合规路径,可参考以下路径图:
2.出境合规定位图
为了方便企业迅速定位自己的合规申报义务,我们进一步制作了下面的数据出境合规义务定位流程图:
3.一些关键概念和实务TIPS
• 重要数据:是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。
TIPS:实践中,企业应关注行业主管部门直接通知或公开发布的重要数据目录清单或识别指南。
• 个人信息:以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
• 匿名化:个人信息经过处理无法识别特定自然人且不能复原的过程。
TIPS:目前通用的安全保护措施中,大部份去标识化的手段(如掩码、算法加密)不属于匿名化处理,仍然需要计入个人信息范畴内。关于去标识化、匿名化的合规使用方案,可联系我们。
• 敏感个人信息:一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。敏感个人信息通常包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
TIPS:实践中,企业需要结合数据处理的目的、具体使用场景等因素综合予以判断。
• 跨境传输行为:向境外提供在中华人民共和国境内运营中收集和产生的重要数据或个人信息的行为。
TIPS:依据当前规定,跨境数据传输包括三种情形:一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外;二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;三是在境外处理中国境内自然人个人信息的活动,该类活动以向境内自然人提供产品或者服务为目的或者分析、评估了境内自然人的行为。根据我们的经验,企业在前期评估的环节中需要特别注意是否存在第二类和第三类情形。
三、新规环境下的数据合规工作方向
1. 履行法定义务
尽管数据出境新规豁免了企业部分事前审查流程,但并未豁免相关数据处理行为所需要履行的法定义务,更不意味着免除每个企业的保障个人隐私、数据安全的民事和行政责任。企业需依法履行诸如具备数据处理合法性基础、相关的告知与授权、个人信息保护影响评估等义务。
本次调整完成后的数据跨境监管机制贯穿数据传输事前、事中、事后三个环节,因此企业需要将重心放在日常数据传输的合规实践和制度落地中,及时管理风险,保障数据和个人信息安全。
2.建立并完善内部数据跨境评估机制
在数据出境新规的监管框架下,企业需要及时调整此前的数据跨境工作安排。这包括梳理可能涉及出境的数据传输场景、对于数据体量统计、数据跨境流转模式、数据传输安全管理的情况及时评估并记录等。此外,企业还应特别关注重要数据的识别和申报,参照已有文件提前涉及处理流程计划,及时响应监管要求。
3.将数据合规和数据确权、数据入表、数据要素价值化等工作相结合
在《数据二十条》的顶层设计指导下,数据入表、数据资产确权、数据要素流动等课题下的法律法规和解决方案正逐步明朗化。
规范数据的跨境流动只是数据法律工作的一部份,其与数据的合理利用制度之间相辅相成。企业应当抓住国家大力鼓励新质生产力的机会,积极主动尝试将企业所控制的数据资源进行合规改造,开展数据资源入表前的合规改造和数据产品确权、数据产品设计等工作。这些工作完全可以与规范数据流动的合规体系的建设同时进行,将被动合规转化为主动确权和合法化改造。
关于数据入表过程中的法律合规工作要点,见我们此前发表的《企业如何开展数据资源入表——以数据产品的合法化改造为主线》
结语
数据出境新规形成了分场景、分阶段的监管模式,将有效促进数据有序流动,优化营商环境。客观上也会起到为企业合规工作减负的作用。
随着监管要求固定化和执法常态化,企业需要从形式合规走向实质合规,从为合规而合规转变为全面的风险管理,从被动合规转变为以利用数据要素为目的的主动合规,在履行法定义务的同时为业务找到新的增长点。
