2023年9月28日,网信办(bàn)起草(cǎo)了《规范和促进数据跨境流动规定(征求意见稿)》(以下简称《规定》),并向社会公(gōng)开征求意见。《规定》的出台一方面是针对企业执行数据出境安(ān)全评估申报或标准合同备案中(zhōng)遇到的问题进行回应。另一方面是调整企业数据出境成本,提高数据出境效率,落实國(guó)務(wù)院文(wén)件《关于进一步优化外商(shāng)投资环境 加大吸引外商(shāng)投资力度的意见》第五条第十四项的“探索便利化的数据跨境流动安(ān)全管理(lǐ)机制”要求。
第一条:國(guó)际贸易、學(xué)术合作(zuò)、跨國(guó)生产(chǎn)制造和市场营销等活动中(zhōng)产(chǎn)生的数据出境,不包含个人信息或者重要数据的,不需要申报数据出境安(ān)全评估、订立个人信息出境标准合同、通过个人信息保护认证。
《规定》再次强调了管理(lǐ)范围,表示数据跨境流动安(ān)全管理(lǐ)制度并非是用(yòng)于限制國(guó)际贸易、學(xué)术合作(zuò)、跨國(guó)生产(chǎn)制造和市场营销等活动,仅针对个人信息及重要数据,回应外媒不实传闻。
第二条:未被相关部门、地區(qū)告知或者公(gōng)开发布為(wèi)重要数据的,数据处理(lǐ)者不需要作(zuò)為(wèi)重要数据申报数据出境安(ān)全评估。
根据现有(yǒu)法规,重要数据出境,须向网信办(bàn)申请数据出境安(ān)全评估。实践中(zhōng)部分(fēn)企业依据内部标准判断数据是否属于重要数据,存在内部判断数据不属于“重要数据”并出境,但事后被监管部门认定為(wèi)“重要数据”的不确定性。
《规定》明确了“重要数据”的范围以监管机构发布的内容為(wèi)准。解决了重要数据认定标准缺失带来的不确定性,大幅减轻企业的潜在风险。
《规定》实施后,出境个人信息数量较少、出境员工(gōng)个人信息的企业将直接受益于《规定》,减轻或豁免数据出境合规压力。
1、第四条:按照依法制定的劳动规章制度和依法签订的集體(tǐ)合同实施人力资源管理(lǐ),必须向境外提供内部员工(gōng)个人信息的,不需要申报数据出境安(ān)全评估、订立个人信息出境标准合同、通过个人信息保护认证。
该条未对出境的员工(gōng)个人信息类型、数量进行限定,只要能(néng)证明该数据的必须性,即可(kě)符合第四条的豁免条件。此前21家完成数据出境安(ān)全评估、个人信息出境标准合同备案的企业中(zhōng),有(yǒu)1家企业申报范围為(wèi)“员工(gōng)管理(lǐ)、供应商(shāng)管理(lǐ)”,本法规发布后将显著降低此类企业的数据出境审批压力。
但此条款仍有(yǒu)一定潜在问题,如:如何证明该数据的必要性、员工(gōng)数据超1万条后是否需要按照《规定》第六条进行备案或认证。企业仍需关注监管部门后续发文(wén),便于后续执行。
2、第五条:预计一年内向境外提供不满1万人个人信息的,不需要申报数据出境安(ān)全评估、订立个人信息出境标准合同、通过个人信息保护认证。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主體(tǐ)同意。
第五条将便利数据出境量级较小(xiǎo)的企业,现有(yǒu)法规是基于实际向境外提供数据的量级划分(fēn)监管力度,《规定》中(zhōng)将分(fēn)类方法变更為(wèi)“预计一年内”向境外提供数据的量级。但“一年”期限如何确定、“一年”期限内出境数量是否包含符合第四条的员工(gōng)数据,以及如果实际出境数量超过预计数量如何处理(lǐ),需等待监管部门详细文(wén)件。
3、第六条:预计一年内向境外提供1万人以上、不满100万人个人信息,与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的,可(kě)以不申报数据出境安(ān)全评估;向境外提供100万人以上个人信息的,应当申报数据出境安(ān)全评估。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主體(tǐ)同意。
值得注意的是,出境个人信息无论是否符合《规定》第四条中(zhōng)的豁免条件,依旧需要取得个人信息主體(tǐ)的同意。
第七条:自由贸易试验區(qū)可(kě)自行制定本自贸區(qū)需要纳入数据出境安(ān)全评估、个人信息出境标准合同、个人信息保护认证管理(lǐ)范围的数据清单(以下简称负面清单),报经省级网络安(ān)全和信息化委员会批准后,报國(guó)家网信部门备案。负面清单外数据出境,可(kě)以不申报数据出境安(ān)全评估、订立个人信息出境标准合同、通过个人信息保护认证。
“负面清单”机制是对数据出境机制的进一步简化,目前需等待“负面清单”详细内容的问世。
第十条:各地方网信部门应当加强对数据处理(lǐ)者数据出境活动的指导监督,强化事前事中(zhōng)事后监管,发现数据出境活动存在较大风险或者发生安(ān)全事件的,要求数据处理(lǐ)者进行整改消除隐患;对拒不改正或者导致严重后果的,依法责令其停止数据出境活动,保障数据安(ān)全。
《规定》明确要求各地网信部门加强监督,并首次强调需按照“事前事中(zhōng)事后”思路进行指导监管。
爱加密持续跟进监管动态致力于数据流动安(ān)全的防护与治理(lǐ),為(wèi)解决企业数据出境备案痛点,推出爱加密数据出境合规治理(lǐ)平台,产(chǎn)品遵循“事前评估、事中(zhōng)监测、事后留档”的治理(lǐ)思路,满足《规定》第十条核心要求。事前对出境资产(chǎn)进行合规风险评估,事中(zhōng)对出境行為(wèi)变化进行实时监测并将风险事件纳入处置中(zhōng)心,事后可(kě)依据实际情况决定是否采纳治理(lǐ)或再次进行评估,生成报告会存档以便后期进行对比分(fēn)析和整改。
可(kě)帮助企业持续有(yǒu)序地治理(lǐ)出境业務(wù),提供出境资产(chǎn)管理(lǐ) 、出境前风险自评估 、风险治理(lǐ)以及持续监测等功能(néng)、从而达到规范数据出境活动,构建全流程的数据跨境流动安(ān)全治理(lǐ)體(tǐ)系,满足合规监管要求。
爱加密作(zuò)為(wèi)知名(míng)的移动信息安(ān)全综合服務(wù)提供商(shāng),将持续加强技(jì )术创新(xīn)与研究,持续关注数据安(ān)全领域监管要求并进行解读。从法律、技(jì )术、规则等角度继续提升数据流动治理(lǐ)能(néng)力,帮助企业有(yǒu)效防范化解风险,為(wèi)数字经济高质(zhì)量发展保驾护航。
京公(gōng)网安(ān)备
11010802025310号