Copyright © 九泽律师事务所 All Rights Reserved
企业合规︱数据跨境流动新规定 助力企业出海征途
引言
基于互联网技术发展基础之上的数字贸易时代,企业在开展跨国业务的过程中逐步形成数据跨境流动的需求。开展数据跨境业务时,如何安全合规地充分利用数据至关重要。跨境数据中涉及的个人信息和重要数据如何保护和监管,也是各国密切关注重点。2024年3月22日,国家网信办正式发布《促进和规范数据跨境流动规定》[1](以下简称“《规定》”)并予以施行,全文共十四条。本文将结合《规定》亮点内容,就数据跨境新规定之下出海企业合规管理的挑战予以讨论。
一、《规定》的亮点
在2023年9月28日,国家网信办发布了《规范和促进数据跨境流动规定(征求意见稿)》(以下简称“意见稿”)。当时,《意见稿》中列举无需申报的场景、需要申报场景中个人信息的具体数量等规定,引起各方广泛关注。时隔半年《规定》正式公布并立即施行,提起的“靴子”终于落地。也为各方在开展数据跨境合规管理和监管工作时,能够有标准、有依据地开展。
首先,强调了我国数据监管的适用范围仅限“个人信息”和“重要数据”。一般性的商事活动业务数据可以自由流动跨境,“免予申报数据出境安全评估、订立个人信息出境标准合同,通过个人信息保护认证”。
其次,新增了重要数据以外的向境外提供个人信息免于申报的场景。根据《规定》内容,调整并增加列举了特定商业活动场景,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。其中“跨境运输”、“跨境寄递”、“跨境支付”、“跨境开户”和“考试服务”在《意见稿》中并没有提到。可以看出,新增的这些活动是个人跨境需求中可以由个人自行开展,并且可能与个人实际生活需求关联性较高,实施频次也会比较频繁。
其三,免予申报的个人信息数量以年度累计10万人为划分临界线。根据《规定》要求,除关键信息基础设施运营者以外,数据处理者“自当年1月1日起累计不满10万人个人信息(不含敏感个人信息)的,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。” 而在去年的《意见稿》中,就此类问题曾提到“一年内不满1万人个人信息的”,不需要申报。相比《意见稿》,此次《规定》将信息数量额度提高到自然年度累计10万人,正是对于《意见稿》规定中信息数量要求高、计算时间模糊等的回应,也为进一步便利个人信息出境场景提供了更为清晰的蓝图。
表:《规定》中向境外提供个人信息数量计算方式,分别对应的三种数据出境管理机制[2]
其四,明确了对于过境数据的申报豁免规定。我国正逐渐确立数据资产、交易流通等数据市场化体系和全球数商生态。我国各地成立的数据交易所,为构建规范、高效、合规的数据交易提供基础。此次《规定》明确列示申报豁免项目,有利于促进数据产业的创新和发展。为我国建立全球化数据交易数商生态提供法律基础。
其五,明确了自贸区可自行制定区内“负面清单”。自由贸易试验区作为改革开放前沿,在制度引领和创新方面一直具有带头作用。此次《规定》正式明确自贸区制定“负面清单”的权限,体现了自贸区制度创新精神,也提现了我国加大开放、吸引投资,构建和塑造良好国际营商环境的态度。这也有助于促进、高效开展数据跨境有序自由流动,为贸易投资领域的数据交易活动提供更全面的合规服务。
最后,《规定》中的其他亮点。
与《意见稿》相比,《规定》除以上调整和新增的要点外,《规定》还强调了以下三点:
1、 对于重要数据的认定并非由企业自行判断。根据《数据安全法》第21条第3款的规定,重要数据由各地区、各部门自行制定重要数据具体目录。因此,虽然《规定》对数据流动、数据备案等予以适当的放宽,但是对于重要或敏感信息应当由相关部门、地区告知数据处理者或者公开发布认定。
2、 明确了法律冲突的效力优先性等级。根据《规定》第十三条的规定,已经发布的《数据出境安全评估办法》和《个人信息出境标准合同办法》如与《规定》不一致的,优先适用《规定》。
3、 明确数据出境安全评估有效期为3年,经申请审批可延长3年有效期。通过数据出境安全评估的结果有效期限,根据2022年的《数据出境安全评估办法》第十四条规定只有2年,并且没有规定如继续开展是否需要重新申报。但是《规定》生效施行后,这一期限不再适用。基于《规定》中明确的法律条款冲突效力优先性原则,此次《规定》将评估结果的有效期限延长到3年。《规定》还明确了如需要继续开展数据出境活动,且没有需要重新申报的情形,可以申请延长,经批准有效期可以再延长3年。《规定》为企业开展业务提供了便利,免予数据安全评估申报沦为机械化的形式。这一规定既降低了企业开展数据跨境流动活动的成本,也让政府监管部门可以将精力集中在更重要的领域。
二、出海企业的数据跨境合规挑战和应对
《规定》的施行给开展跨境数据活动的企业提供了指引方向,既不过分约束企业和市场的自发行为,也不过度放手留下个人信息和重要数据的安全隐患,切实保护了我国的网络和信息安全;又给企业的合规予以适度放宽,减轻企业合规成本。但对于出海企业而言,减轻或者放宽不等于不需要关注企业的合规,合规开展数据跨境工作依旧至关重要。具体可以从以下几方面着手:
(一) 做好内部数据治理。
企业在完善数据分类分级管理的同时,应当加大数据治理管理,通过完善数据管理制度,修订合规业务流程,加强企业部门合规培训等工作形成符合企业自身实际情况的数据治理体系。
(二) 充分挖掘数据应用场景进行合规交易。
2023年底,17部门联合印发的《“数据要素×”三年行动计划(2024—2026年)》,按照“有基础、有场景、有需求”的原则选取12个行业和领域推动数据要素乘数效应。2024年1月1日数据资产入表正式施行。如何充分挖掘数据价值,发挥数据要素乘数效应不仅是国家政策的引导,也是企业自身的发展动力所在。
(三) 数据安全管理是企业义不容辞的义务。
企业不仅要从内部做好数据技术管理,还要从各个维度开展落实数据合规安全管理制度。同时也要与监管部门积极沟通,及时跟进数据监管最新动向,对于数据流动传输节点所经国当地的监管政策也要及时掌握,必要时可以寻求外部律师协助。
三、《意见稿》与《规定》具体条款逐条比对
图:《意见稿》与《规定》的增删比较,其中蓝字为删减内容,红字为新增内容
企业如有需要,可联系九泽合规提供合规体系建设的专项法律服务。
本文参考资料:
[1] 国家网信办,《促进和规范数据跨境流动规定》https://www.cac.gov.cn/2024-03/22/c_1712776611775634.htm,最后访问日期:2024年3月24日
[2] 国家网信办,《促进和规范数据跨境流动规定》答记者问第11问:如何计算“自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息”?
答:计算周期为自当年1月1日起至申报数据出境安全评估之日,数量以自然人为单位去重后的统计结果为准。属于《规定》第三条、第四条、第五条第一款第一项至第三项、第六条规定情形的,不计入累计数量。https://www.cac.gov.cn/2024-03/22/c_1712776611649184.htm,最后访问日期:2024年3月24日