正式报名 | 人工智能治理专家认证CAIGP™课程
-
-
-
费用:
早鸟价(2024年4月10前付款)6800元
,
三人以上团购价单独询价
-
-
-
综合“个人信息与数据保护实务评论”“网信中国”及“数据法盟”
《促进和规范数据跨境流动规定》
与征求意见稿对比
|
规范
和
促进
数据跨境流动规定
(征求意见稿)
|
促进
和
规范
数据跨境流动规定
(正式版本)
|
|
为保障国家数据安全,保护个人信息权益,进一步规范和促进数据依法有序自由流动,依据有关法律,对《数据出境安全评估办法》、《个人信息出境标准合同办法》等数据出境规定的施行,作出以下规定。
|
第一条
为了保障
国家
数据安全,保护个人信息权益,
进一步规范和
促进数据依法有序自由流动,
依据有关法律,对《数据出境安全评估办法》、《个人信息出境标准合同办法》等数据出境规定的施行,作出以下规定。
根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,对于数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的施行,制定本规定。
|
|
二、
未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
|
第二条
数据处理者应当按照相关规定识别、申报重要数据。
未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
|
|
一、
国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
|
第三条
国际贸易、
跨境运输
、学术合作、跨国生产制造和市场营销等活动中
收集
和产生的数据
出境
向境外提供
,不包含个人信息或者重要数据的,
不需要
免予
申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
|
|
三、
不是在境内收集产生的个人信息向境外提供,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
|
第四条
不是在境内收集产生的个人信息向境外提供
数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的,
不需要
免予
申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
|
|
四、
符合以下情形之一的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:
(一)为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的;
(二)按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的;
(三)紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的。
五、
预计一年内向境外提供不满
1
万人个人信息的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。
|
第五条
数据处理者向境外提供个人信息
,符合下列条件之一的,
不需要
免予
申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:
(一)为订立、履行个人作为一方当事人的合同,如跨境购物、
跨境寄递
、跨境汇款、
跨境支付、跨境开户
、机票酒店预订、签证办理、
考试服务
等,
必须
确需
向境外提供个人信息的;
(二)按照依法制定的劳动规章制度和依法签订的集体合同实施
跨境
人力资源管理,
必须
确需
向境外提供
内部
员工个人信息的;
(三)紧急情况下为保护自然人的生命健康和财产安全
等
,
必须
确需
向境外提供个人信息的;
(四)关键信息基础设施运营者以外的数据处理者自当年
1
月
1
日起累计向境外提供不满
10
万人个人信息(不含敏感个人信息)的。
前款所称向境外提供的个人信息,不包括重要数据。
|
|
七、
自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),报经省级网络安全和信息化委员会批准后,报国家网信部门备案。
负面清单外数据出境,可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
|
第六条
自由贸易试验区
在国家数据分类分级保护制度框架下
,可以自行制定
本自贸区
区内
需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),
报
经省级网络安全和信息化委员会批准后,报国家网信部门、
国家数据管理部门
备案。
负面清单外数据出境
自由贸易试验区内数据处理者向境外提供负面清单外的数据
,可以
不
免予
申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
|
|
六、
预计一年内向境外提供
1
万人以上、不满
100
万人个人信息,与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的,可以不申报数据出境安全评估;向境外提供
100
万人以上个人信息的,应当申报数据出境安全评估。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。
|
第七条
数据处理者向境外提供数据,符合下列条件之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
(一)关键信息基础设施运营者向境外提供个人信息或者重要数据;
(二)关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年
1
月
1
日起累计向境外提供
100
万人以上个人信息(不含敏感个人信息)或者
1
万人以上敏感个人信息。
属于本规定第三条、第四条、第五条、第六条规定情形的,从其规定。
第八条
关键信息基础设施运营者以外的数据处理者自当年
1
月
1
日起累计向境外提供
10
万人以上、不满
100
万人个人信息(不含敏感个人信息)或者不满
1
万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。
属于本规定第三条、第四条、第五条、第六条规定情形的,从其规定。
|
|
第九条
通过数据出境安全评估的结果有效期为
3
年,自评估结果出具之日起计算。有效期届满,需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的,数据处理者可以在有效期届满前
60
个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请。经国家网信部门批准,可以延长评估结果有效期
3
年。
|
|
第十条
数据处理者向境外提供个人信息的,应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。
|
|
八、
国家机关和关键信息基础设施运营者向境外提供个人信息和重要数据的,依照有关法律、行政法规、部门规章规定执行。
向境外提供涉及党政军和涉密单位敏感信息、敏感个人信息的,依照有关法律、行政法规、部门规章规定执行。
|
|
|
九、
数据处理者向境外提供重要数据和个人信息,应当遵守法律、行政法规的规定,履行数据安全保护义务,保障数据出境安全;发生数据出境安全事件或者发现数据出境安全风险增大的,应当采取补救措施,及时向网信部门报告。
|
第十一条
数据处理者向境外提供
重要
数据
和个人信息
的,应当遵守法律、
行政
法规的规定,履行数据安全保护义务,
采取技术措施和其他必要措施
,保障数据出境安全。发生
或者可能发生
数据安全事件
或者发现数据出境安全风险增大
的,应当采取补救措施,及时向
省级以上
网信部门
和其他有关主管部门
报告。
|
|
十、
各地方网信部门应当加强对数据处理者数据出境活动的指导监督,强化事前事中事后监管,发现数据出境活动存在较大风险或者发生安全事件的,要求数据处理者进行整改消除隐患;对拒不改正或者导致严重后果的,依法责令其停止数据出境活动,保障数据安全。
|
第十二条
各地网信部门应当加强对数据处理者数据出境活动的指导监督,
健全完善数据出境安全评估制度,优化评估流程
;强化事前事中事后
全链条全领域
监管,发现数据出境活动存在较大风险或者发生数据安全事件的,要求数据处理者进行整改
,
消除隐患;对拒不改正或者造成严重后果的,
依法责令其停止数据出境活动,保障数据安全
依法追究法律责任
。
|
|
十一、
《数据出境安全评估办法》、《个人信息出境标准合同办法》等相关规定与本规定不一致的,按照本规定执行。
|
第十三条
2022
年
7
月
7
日公布的
《数据出境安全评估办法》
(国家互联网信息办公室令第
11
号)、
2023
年
2
月
22
日公布的
《个人信息出境标准合同办法》
(国家互联网信息办公室令第
13
号)
等相关规定与本规定不一致的,
按照本规定执行
适用本规定
。
|
|
第十四条
本规定自公布之日起施行。
|
3月22日,国家互联网信息办公室公布《促进和规范数据跨境流动规定》(以下简称《规定》),自公布之日起施行。
国家互联网信息办公室有关负责人表示,数据跨境流动已经成为全球资金、信息、技术、人才、货物等资源要素交换、共享的基础。为了促进数据依法有序自由流动,激发数据要素价值,扩大高水平对外开放,《规定》对数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度作出优化调整。
《规定》明确了重要数据出境安全评估申报标准,提出未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
《规定》规定了免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件:一是国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的;二是在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的;三是为订立、履行个人作为一方当事人的合同,确需向境外提供个人信息的;四是按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;五是紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;六是关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。
《规定》设立自由贸易试验区负面清单制度。提出自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内负面清单,经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
《规定》明确了应当申报数据出境安全评估的两类数据出境活动条件,一是关键信息基础设施运营者向境外提供个人信息或者重要数据;二是关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。同时,明确了应当订立个人信息出境标准合同或者通过个人信息保护认证的数据出境活动条件,即关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息。
《规定》同时对数据出境安全评估的有效期限和延期申请、数据安全保护义务和监督管理责任、与数据出境安全管理其他规定的衔接适用等作了规定。
以下是《促进和规范数据跨境流动规定》全文:
《促进和规范数据跨境流动规定》已经2023年11月28日国家互联网信息办公室2023年第26次室务会议审议通过,现予公布,自公布之日起施行。
国家互联网信息办公室主任 庄荣文
2024年3月22日
促进和规范数据跨境流动规定
第一条
为了保障数据安全,保护个人信息权益,促进数据依法有序自由流动,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,对于数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的施行,制定本规定。
第二条
数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
第三条
国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
第四条
数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
第五条
数据处理者向境外提供个人信息,符合下列条件之一的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:
(一)为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的;
(二)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;
(三)紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;
(四)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。
前款所称向境外提供的个人信息,不包括重要数据。
第六条
自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。
自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
第七条
数据处理者向境外提供数据,符合下列条件之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
(一)关键信息基础设施运营者向境外提供个人信息或者重要数据;
(二)关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。
属于本规定第三条、第四条、第五条、第六条规定情形的,从其规定。
第八条
关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。
属于本规定第三条、第四条、第五条、第六条规定情形的,从其规定。
第九条
通过数据出境安全评估的结果有效期为3年,自评估结果出具之日起计算。有效期届满,需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的,数据处理者可以在有效期届满前60个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请。经国家网信部门批准,可以延长评估结果有效期3年。
第十条
数据处理者向境外提供个人信息的,应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。
第十一条
数据处理者向境外提供数据的,应当遵守法律、法规的规定,履行数据安全保护义务,采取技术措施和其他必要措施,保障数据出境安全。发生或者可能发生数据安全事件的,应当采取补救措施,及时向省级以上网信部门和其他有关主管部门报告。
第十二条
各地网信部门应当加强对数据处理者数据出境活动的指导监督,健全完善数据出境安全评估制度,优化评估流程;强化事前事中事后全链条全领域监管,发现数据出境活动存在较大风险或者发生数据安全事件的,要求数据处理者进行整改,消除隐患;对拒不改正或者造成严重后果的,依法追究法律责任。
第十三条
2022年7月7日公布的《数据出境安全评估办法》(国家互联网信息办公室令第11号)、2023年2月22日公布的《个人信息出境标准合同办法》(国家互联网信息办公室令第13号)等相关规定与本规定不一致的,适用本规定。
第十四条
本规定自公布之日起施行。
3月22日
,国家互联网信息办公室公布《促进和规范数据跨境流动规定》(以下简称《规定》)。国家互联网信息办公室有关负责人就《规定》相关问题回答了记者提问。
答:我国积极促进数据依法有序自由流动,相继制定实施《网络安全法》、《数据安全法》、《个人信息保护法》,对数据出境活动作出明确规定。《网络安全法》规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。《数据安全法》规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。《个人信息保护法》规定,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备通过国家网信部门组织的安全评估、按照国家网信部门的规定经专业机构进行个人信息保护认证、按照国家网信部门制定的标准合同与境外接收方订立合同等条件之一。中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。法律作出这样的规定,是为了切实保护人民群众利益,维护国家网络和数据安全,促进数据依法有序自由流动。数据出境安全管理不是对于所有数据,只限于重要数据和个人信息,这里的重要数据是针对国家而言,而不是针对企业和个人。
落实法律规定要求,国家互联网信息办公室公布了《数据出境安全评估办法》和《个人信息出境标准合同办法》,联合国家市场监督管理总局公布了《关于实施个人信息保护认证的公告》,基本构建了数据出境安全管理制度。此外,国家互联网信息办公室先后公布了《数据出境安全评估申报指南》、《个人信息出境标准合同备案指南》等文件,对数据处理者申报安全评估、备案标准合同的方式、流程及需提交的材料等具体要求作出了说明。
国家互联网信息办公室结合数据出境安全管理工作实际,制定《规定》,对现有数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的实施和衔接作出进一步明确,适当放宽数据跨境流动条件,适度收窄数据出境安全评估范围,在保障国家数据安全的前提下,便利数据跨境流动,降低企业合规成本,充分释放数据要素价值,扩大高水平对外开放,为数字经济高质量发展提供法律保障。
答:《规定》主要对下列内容进行了规定:一是明确重要数据出境安全评估申报标准。二是明确免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件。三是设立自由贸易试验区负面清单制度。四是调整应当申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件。五是延长数据出境安全评估结果有效期,增加数据处理者可以申请延长评估结果有效期的规定。
问3:《规定》与《数据出境安全评估办法》、《个人信息出境标准合同办法》之间的关系是什么?
答:《数据出境安全评估办法》、《个人信息出境标准合同办法》相关规定与《规定》不一致的,适用《规定》。
问4:如何理解数据出境活动所称的重要数据?重要数据申报出境安全评估的标准是什么?
答:根据《数据出境安全评估办法》,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。
《数据安全法》规定,国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
根据《规定》,数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
答:根据《个人信息保护法》,个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。
