实务观察:2023年中国数据跨境监管政策调整与变化
2024年2月27日
2023年,我国数据跨境监管呈现出两大重要趋势。其一,随着《数据出境安全评估办法》(“《安全评估办法》”)《个人信息出境标准合同办法》(“《标准合同办法》”)以及《网络安全标准实践指南——个人信息跨境处理活动安全认证规范V2.0》等文件的落地,我国数据出境安全评估(“安全评估”)、个人信息出境标准合同备案(“标准合同备案”)、个人信息保护认证(“认证”)数据跨境传输合规三路径建成并从纸面走向实践。其二,数据跨境监管制度的落实同时暴露出强监管、高审核标准与我国企业对于数据要素跨境流动的需求之间的矛盾,为实现真正的“数据依法有序自由流动”,我国政府对数据跨境监管政策不断调整优化。本文将在既有中国数据跨境传输监管政策的框架的基础上,就2023年的三路径的实施情况、数据跨境政策变化进行梳理,并对企业提出应对建议。
一、 数据跨境监管政策框架
在我国现行法律框架下,个人信息和重要数据的出境受到以下限制:
-
对于重要数据,根据《网络安全法》《数据安全法》和配套规则,重要数据出境前数据处理者(类似于欧盟GDPR中的数据控制者“data controller”概念)必须进行数据出境安全评估,并获得国家互联网信息办公室(“国家网信办”)的批准。
-
对于个人信息,根据《个人信息保护法》和配套规则,个人信息需通过以下三种路径方可出境,即:
(1
)安全评估,
(2
)标准合同备案,
(3)
认证。这三种机制的解释和应用范围如下:
二、 2023年数据跨境监管政策回顾
继2022年发布安全评估和认证政策后,国家网信办于2023年2月22日发布了备受关注的《标准合同办法》及《个人信息出境标准合同》。为进一步指导适当的个人信息出境标准合同备案,国家网信办于2023年5月30日发布了《个人信息出境标准合同备案指南(第一版)》。本措施和本指南均于2023年6月1日生效,从而使个人信息出境标准合同备案监管体系得以实际实施。与《安全评估办法》相同,《标准合同办法》还为企业留存了六个月的整改期限。
2023年8月13日,《国务院关于进一步优化外商投资环境加大吸引外商投资力度的意见》(“《优化外商投资环境意见》”)横空出世,要求“营造市场化、法治化、国际化一流营商环境,充分发挥我国超大规模市场优势,更大力度、更加有效吸引和利用外商投资。” 《优化外商投资环境意见》提出探索便利化的跨境数据流管理机制,促进数据安全有序自由流动,并提出措施如建立绿色渠道和在北京、天津、上海、粤港澳大湾区等地试点建立一般自由流动数据的白名单。
在此背景下,国家网信办于2023年9月28日发布了《规范和促进跨境数据流动的规定(征求意见稿)》(“《征求意见稿》”),引发了广泛的讨论。该规定被认为是为跨境数据传输“松绑”的一个重要信号,设定了数据出境监管制度的豁免条件。具体而言,国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。对于长期困扰大家的重要数据的识别问题,《征求意见稿》明确,未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。此外,不是在境内收集产生的个人信息向境外提供,以及为订立、履行个人作为一方当事人的合同所必需、按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,或紧急情况下为保护自然人的生命健康和财产安全等而向境外提供的必要个人信息,均被列入“白名单”。
《征求意见稿》规定的三条路径适用门槛如下:
《征求意见稿》大大提高了三条路径的适用门槛,这意味着数据出境是否会受到监管将取决于未来一年拟出境个人信息对应的自然人数,而不是处理者当前处理的或之前出境的个人信息对应的自然人数。如果《征求意见稿》得以实施,则预计未来一年内向境外提供不满1万人个人信息的企业无需通过前述三条路径出境,这将大大降低合规成本。值得注意的是,在个人信息门槛方面,《征求意见稿》没有区分一般个人信息和敏感个人信息。《征求意见稿》还允许自由贸易区自行制定需要纳入安全评估、标准合同备案或认证的数据清单,即负面清单,免除清单之外的数据的监管义务。
2023年6月,香港特别行政区政府创新科技及工业局签订了《关于促进粤港澳大湾区数据跨境流动的合作备忘录》(“备忘录”)。2023年12月,为落实备忘录中关于“共同制定粤港澳大湾区个人信息跨境标准合同并组织实施,加强个人信息跨境标准合同备案管理”的合作措施,国家网信办与香港创新科技及工业局共同制定《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》。该指南进一步促进了大湾区内数据的安全、有序和自由流动,说明位于大湾区大陆部分或香港特别行政区内的数据处理者和接收者之间的数据流动可受该指南中概述的标准合同管辖。
三、 数据出境三路径实施情况
在政策调整优化的春风之下,我国数据跨境流动态势有所回暖。据统计,在《优化外商投资环境意见》出台前夕的2023年7月,全国通过安全评估的单位累计仅20家,其中北京地区为6家。而据北京网信办于2024年1月初披露的数据,北京地区已有117家单位正式提交安全评估申报,45家单位的申请被国家网信办受理,获批通过安全评估的单位数量已达39家。
标准合同备案方面,2023年6月,北京网信办受理的北京德亿信数据有限公司与香港诺华诚信有限公司签订的个人信息出境标准合同成为全国首个通过备案审核的案例。此后,浙江、海南、江西、湖北、湖南等地网信部门也均官宣本地区首例标准合同备案通过。
与前两个监管体系相比,认证的实施则较为延迟。2023年12月15日,珠海澳科大科技研究院、BOSS直聘、支付宝、SHEIN、京东获得第一批认证。
四、 展望2024与实务提示
在2024年2月5日举行的国务院政策例行吹风会上,商务部外国投资管理司司长表示,《征求意见稿》正在研究完善,准备推动出台。展望2024年,优化数据跨境监管政策的探索或将进一步深化,以回应日益增长的数据跨境活动与经济企稳回升的现实需求。
在这种数据出境政策优化的趋势下,企业仍不应放松其对数据跨境传输活动的合规工作。我们建议企业遵循以下建议:
首先,在《征求意见稿》正式稿颁布之前,企业应准确评估数据跨境传输规模,进行必要的准备工作,并确保数据传输符合现行政策;
第二,即使新规出台后,企业即便免于安全评估、标准合同备案或认证,仍应遵守数据相关法律规定的其他要求,如进行个人信息保护影响评估、获得个人信息主体同意、采取措施确保数据安全、在发生安全事件时及时报告等;
第三,企业应密切监测《征求意见稿》及其他相关政策的立法进展情况。对于正在进行安全评估或标准合同备案申请的企业,应当保持与监管机构的沟通,并在新政策实施后及时调整合规工作计划。
