场景一:一般数据出境豁免
该条规定与征求意见稿的内容并无实质区别,我们理解其宣誓意义大于实质作用。
根据本次新规答记者问的说明,“数据出境安全管理不是对于所有数据,只限于重要数据和个人信息,这里的重要数据是针对国家而言,而不是针对企业和个人。”监管部门藉此重申和强调了“重要数据/个人信息受限出境,一般数据自由出境”的监管态度,监管重点在于重要数据和个人信息两类与国家安全和个人权益高度相关的数据类型,对于既不属于个人信息又不属于重要数据的“一般数据”,自由流通属于应有之义,自然无需履行数据出境的前置行政程序。
场景二:过境数据豁免
本条澄清和说明了境外数据入境后再出境本身就不属于国家网信办列明的三类“数据出境行为”,其主要原因在于境外数据并非是数据处理者在境内运营中收集或产生的,境外数据的“加工贸易”对国家和企业而言利大于弊,且境外数据境内加工中转的活动对于数据监管中重点考量的国家安全和个人权益因素影响较小。因此,对于过境数据,新规明确了“只要境内处理中没有引入境内个人信息或者重要数据”就无需履行数据出境的前置程序,这对于在中国开展海外数据处理业务、数据中心业务的企业无疑是个利好消息。
需要提示的是,从事此类业务首先要有相应的识别机制去判断来自境外的待加工数据在入境前本身是否就含有中国境内个人信息或重要数据;其次,需要关注作为“加工贸易”标的的加工数据内容是否符合中国现有的内容管控和行业管控的要求;另外,还需关注数据来源国/地对于数据出境的合规要求。
场景三:为个人履行合同所必需的豁免
新规借鉴《个人信息保护法》第十三条列明的个人信息处理的合法性基础,并开创性地使用了《个人信息保护法》第三十八条第四款兜底性规定对于国家网信办的授权,细化规定了个人信息处理者为了订立或履行其与个人作为交易对方的合同而跨境提供其个人信息的,属于前置程序的豁免场景。为便于企业理解,新规还举例了跨境购物、跨境支付、机票酒店预订等典型跨境业务场景。
在适用本条规定时,企业应重点核实和确认出境个人信息之于“订立或履行合同”的必要性。
例如,在跨境购物中,跨境电商为交付货物目的而处理境内消费者的姓名、收货地址和联系方式,通常而言具有必要性。但如还涉及传输消费者的购物偏好和境内会员注册信息等与购物交付非直接相关的个人信息时,则需要充分论证数据出境的必要性,尤其应从合同目的实现角度(而非从自身CRM等系统长期部署境外等运营视角)去考虑该项信息的出境是否属于必不可少。
场景四:人力资源管理所必需的豁免
因全球统一人力资源管理目的而出境员工个人信息是目前绝大多数跨国公司认为必不可少的典型出境场景。新规依旧沿袭了征求意见稿的思路,充分吸收了在华投资外企的意见,但明确了这一豁免场景需以实施“跨境”人力资源管理为目的(而非简单的“人力资源管理”,请注意与征求意见稿的细微差别)。
由此,我们理解使用这一豁免场景可能需要进行一定程度限缩解释。
主张适用本条时,企业应当同时满足:(1)已依法制定了劳动规章制度或依法签订了集体合同;(2)出境目的是便于位于境外的人力资源管理职能部门有效履行其人力管理职责;(3)向境外提供的是员工的个人信息;(4)出境的员工信息为境外人力资源管理职能部门履行职责所必要。
我们认为该规定的目的在于,限制企业随意扩大人力资源管理的范围而任意处置员工个人信息。当然,“人力资源管理”是一个宽泛的业务用语,在监管部门对“跨境”“人力资源管理“确需出境的个人信息”这些用语通过后续政策或者窗口指导做出明确说明前,企业需自行(或借助第三方专业人士力量)判断合理范围。
实操层面,企业和监管部门对于“出境必要性”的理解往往存在认知差距。
根据过往的项目经验,审核部门较坚持自己的审核标准。仅凭“员工管理系统部署于境外”、“遵循国外总部的统一安排”这样的理由难以合理论证出境的必要性并得到审核部门的认可,审核部门仍可能拒绝部分字段出境,也有可能要求对允许出境的字段做打码屏蔽等去标识化处理(通常是员工敏感个人信息)。但在新规的背景下,我们亦了解到有监管部门对于该豁免场景下前述四要件的监管尺度存在整体放宽的趋势,表现为监管部门更愿意倾听企业侧的实际必要性。因此,未来企业在判断是否可适用该豁免场景时,应主要根据新规的要求准备好充分的依据,并做好豁免论证的内部留痕,完善相关自评估管理。当然,我们相信,通过后续实操中监管对企业合理业务需求了解程度的不断深入,关于该条的关键要素解释(例如实施跨境人力资源管理所必需的员工信息的合理范围、员工的范围、可依赖的劳动规章制度的范围)肯定会越来越明朗。
场景五:紧急情况下的豁免
该条与征求意见稿无实质区别,适用范围相对特定,企业适用该条豁免场景的机会也较为有限,故我们不对此展开分析。
场景六:少量、非敏感个人信息豁免
对于少量、非敏感个人信息的出境豁免场景,新规呈现出“一收一放”的特点。“收”在于新规没有吸取征求意见稿完全“增量式”的计算方式(即只关注增量数据出境,不关心存量数据出境),而是延续采用“存量式”的计算方法,即以当年1月1日起至评估之日向境外传输个人信息是否达到10万人作为是否需要履行数据出境前置手续的判断标准。而“放”在于对于豁免履行前置手续的门槛提高到10万人。另外,如企业存在本文列举的其他六类豁免场景任意一类的,所涉场景下出境的个人信息无需纳入总数计算。这在更大程度上照顾到了企业的实际需求并减轻了企业的合规负担。
需要说明的是,该条仅适用非CIIO的个人信息处理者;信息类型仅包括个人信息,不含敏感个人信息和重要数据;统计数量为评估期内去重后的人头数。
虽然该条吸取了“存量式”的统计方法,但在实操中,为了确认自身是否达到(或年度内有可能达到)10万人的门槛从而判断是否触及数据监管前置手续,企业仍需进行一定的前瞻预判和评估,根据自身业务规划,设定合理的人头数清点时间节点,定期开展数据盘点并及早做出安排。
例如,企业在上半年出境的个人信息数量极少,但预期下半年会开展几个大型营销活动涉及到大量客户的个人信息的采集和出境,并可能突破10万人或100万人的门槛。在这种情形下,企业不能熟视无睹,应积极寻求解决方法,或控制出境数据规模使之不突破法定门槛,或积极着手准备对应适用的数据出境监管手续和相关评估工作。
场景七:自贸区清单外豁免
自贸区因其特殊地位在数据出境方面享受政策优惠。新规延续了征求意见稿的内容,允许自贸区在国家数据分类分级保护制度的框架下可以先行先试,自行制定需要履行出境前置手续的数据清单(即负面清单)。自贸区制定的负面清单需经过省级网络安全和信息化委员会批准并报国家网信部门和数据管理部门备案,体现出负面清单制定程序的严肃性。
未来,在自贸区内的数据处理者如跨境提供负面清单外的数据,可以免于履行数据出境监管前置手续。
值得注意的是,新规新增了“国家数据分类分级保护制度的框架”这一限定要件。一般理解下,自贸区的试点授权事项仍然受限于上位法目前对于“核心数据-重要数据-一般数据”和“个人信息-敏感个人信息”的整体数据分类分级保护框架。这种数据跨境传输试点模式并非直接跳脱出数据出境监管机制的适用,而是在现行数据安全基础制度的框架内,允许自贸区以负面清单的形式划定是否适用数据出境前置手续的特殊情形。
但是,考虑到自贸区的试点模式同时也承担了我国对接更高标准的国际和区域性数据自由流动经贸规则的政治任务,自贸区制定负面清单时,如何平衡“有关行业监管基于国内法做出的重要数据出境限制要求”以及“经贸协定基于保障成员国正常经贸往来做出的数据自由流动要求”两者的冲突,有待进一步观察。
此外,某些自贸区已出台的政策列明了其适用范围包括未注册在自贸区但其数据经由自贸区出境的企业。这一政策口径是否会因为新规而做出调整,或者说新规对自贸区试点的耐受度,也是另一个值得关注的地方。
根据公开消息,上海自贸区临港新片区已经基本编制完成智能网联汽车车辆远程诊断、公募基金市场投研信息、跨国公司集团管理、生物医药临床试验和研发等20个场景的跨境流动分级分类的首批清单目录,将在完成论证后对外发布。我们建议位于自贸区的企业密切关注有关动态,可以积极同自贸区沟通以探索自贸区便利措施的适用空间。
