近年来,我国持续通过《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律以及《网络安全审查办法》、《数据出境安全评估办法》、《关于实施个人信息保护认证的公告》、《个人信息出境标准合同办法》等一系列部门规章,对数据跨境流动进行规制和约束,可谓对数据跨境流动层层加码。而就在2024年3月22日,国家互联网信息办公室公布了《促进和规范数据跨境流动规定》(以下简称“《跨境新规》”)。这一举动,既是对国务院于2023年7月25日发布的《国务院关于进一步优化外商投资环境加大吸引外商投资力度的意见》中“探索便利化的数据跨境流动安全管理机制”和国务院办公厅于2024年2月28日发布的《国务院办公厅关于印发<扎实推进高水平对外开放更大力度吸引和利用外资行动方案>的通知》中“健全数据跨境流动规则”的回应,也是对我国在《跨境新规》出台前数据出境监管中实际存在的周期过长、触发门槛低等实际问题的回应,是加强市场活力,鼓励外商投资和企业出海的一剂强心针。
本文将着重对《跨境新规》中涉及数据出境的评估、认证等义务的豁免情形进行解读,为有相关需求的企业提供指引。
一、非重要数据
《跨境新规》第二条 数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
《中华人民共和国数据安全法》第二十一条 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
其实在我国在《数据出境安全评估办法》第二条中已经明确规定:数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估,适用本办法。也就是说,非重要数据和个人信息无需进行安全评估。因此《跨境新规》第二条也是对《数据出境安全评估办法》第二条的重申。对什么是重要数据这一问题,企业则无需过分担忧,只要是相关部门、行业未列入重要数据目录的,就不属于重要数据。对于需要进行数据跨境传输的企业一方,需要关注相关行业领域发布的重要数据目录进行确认,在明确传输数据的保护级别后采取相应的动作。
二、特定场景数据
《跨境新规》第三条 国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
《跨境新规》第五条 数据处理者向境外提供个人信息,符合下列条件之一的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:
(一)为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的;
(二)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;
(三)紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;
(四)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。
前款所称向境外提供的个人信息,不包括重要数据。
三、过境个人信息
《跨境新规》第四条 数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
该部分个人信息只要符合“境外收集产生”和“境内处理没有引入境内个人信息或重要数据”这两个要求,即可视为可自由过境。这一豁免措施惠及的企业主要包括在中国境内设立区域总部或数据中心的跨国企业,以及从事数据处理离岸外包业务的企业。
四、自贸区负面清单外数据
《跨境新规》第六条 自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。
自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
除了已经发布数据分级管理办法的自贸区以外,海南自贸港和粤港澳大湾区也在加紧建立数据跨境流动机制,促进内外资企业的创新合作。
综上所述,《跨境新规》通过明确重要数据的范围和认定方式、增加豁免适用情形、明确商业活动场景需求以及预留监管制度解释空间等方式,为数据跨境流动领域带来了诸多好处,有助于促进数据的依法有序自由流动和跨境数字贸易的发展。
