闲言碎语话——规范和促进数据跨境流动规定(征求意见稿)

by TonyZ

今天临近下班时发现CAC在节前给数据合规律师发了大礼包,仔细一看这个大礼包对今年特别热的数据出境合规工作可能会产生很大的影响,于是在第一时间研读起来,感觉有不少规定很有意思,想简单地讲几句。

一、国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

Tony:这点基本上就是废话,之前数据出境合规工作主要也是关注的是个人信息和重要数据,如果只是单纯的业务相关数据不会考虑开展数据出境安全评估。

二、未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。

Tony:对一些可能涉及处理重要数据的企业来说,这可能是利好,除非被相关部门、地区告知或公开发布为重要数据的,都不需要去考虑重要数据出境的问题。

三、不是在境内收集产生的个人信息向境外提供,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

Tony:强调数据出境合规的前提是个人信息是在境内收集产生的,对于很多跨国企业使用中国分支机构作为技术支持机构而处理境外用户的个人信息的情况,不再需要担心这部分个人信息也会受到数据出境合规的监管。(那如果从境外直接收集境内用户的个人信息的场景,是不是也可以参照这条处理?)

四、符合以下情形之一的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:

(一)为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的;

(二)按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的;

(三)紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的。

Tony: 可以说是本次规定的重大利好。第一条解决了很多跨境电商、跨境金融、航空公司、连锁酒店最近一直很关注的到底要不要做数据出境合规的问题,尤其是对于境外接收方十分庞杂的情形,如果真的做数据出境合规,基本上没办法完成申报/备案。第二条让所有跨国公司人力资源团队都放下了悬着的心,懂的都懂。第三条基本上是延续了个保法第13条规定的精神。

五、预计一年内向境外提供不满1万人个人信息的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。

Tony: 又是本次的规定又一利好。基于这个规定,很多跨国公司基于常规的客户管理、公司管理等等需要,会有少量个人信息出境的需求,如果这些都要做数据出境合规的话,工作量可想而知。

六、预计一年内向境外提供1万人以上、不满100万人个人信息,与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的,可以不申报数据出境安全评估;向境外提供100万人以上个人信息的,应当申报数据出境安全评估。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。

Tony:没有意外,只是对数据出境合规三条路径的进一步解释和明确。

七、自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),报经省级网络安全和信息化委员会批准后,报国家网信部门备案。

负面清单外数据出境,可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

Tony:规定是好规定,如何落地是问题。参照前几天北京商务局起草的《北京市外商投资条例》中关于数据跨境便利措施的规定,问题一样是如何落地。

八、国家机关和关键信息基础设施运营者向境外提供个人信息和重要数据的,依照有关法律、行政法规、部门规章规定执行。

向境外提供涉及党政军和涉密单位敏感信息、敏感个人信息的,依照有关法律、行政法规、部门规章规定执行。

Tony:说了等于没说。

九、数据处理者向境外提供重要数据和个人信息,应当遵守法律、行政法规的规定,履行数据安全保护义务,保障数据出境安全;发生数据出境安全事件或者发现数据出境安全风险增大的,应当采取补救措施,及时向网信部门报告。

Tony:正确的废话。

十、各地方网信部门应当加强对数据处理者数据出境活动的指导监督,强化事前事中事后监管,发现数据出境活动存在较大风险或者发生安全事件的,要求数据处理者进行整改消除隐患;对拒不改正或者导致严重后果的,依法责令其停止数据出境活动,保障数据安全。

Tony:强调了事前事中事后监管,主要是为了配套上面给出的一些宽松措施,来实现监管兜底。

十一、《数据出境安全评估办法》、《个人信息出境标准合同办法》等相关规定与本规定不一致的,按照本规定执行。

Tony:说清楚了这几个关于数据出境的规定如何适用的问题。

总结:期待尽快落地,方便合理的数据跨境,避免给企业带来太多的合规成本和经营障碍,这样才能利好经济。

20230928