自2023年11月28日國家互聯網信息辦公室(下稱“國家網信辦”)2023年第26次室務會議審議通過後,歷時近四個月,《促進和規範數據跨境流動規定》(國家互聯網信息辦公室令第16號,下稱“16號令”)終於於2024年3月22日公佈並自公佈之日起施行。同日,國家網信辦發佈了《數據出境安全評估申報指南(第二版)》和《個人信息出境標準合同備案指南(第二版)》,對申報數據出境安全評估、備案個人信息出境標準合同的方式、流程和材料等具體要求作出了說明,對數據處理者需要提交的相關材料進行了優化簡化。
在此之前,國家網信辦公佈了《網絡安全審查辦法》[1] 、《數據出境安全評估辦法》[2] 、《關於實施個人信息保護認證的公告》[3]、《個人信息出境標準合同辦法》[4]等一系列規定,就數據跨境流動進行了規定。16號令是根據《中華人民共和國網絡安全法》(下稱《網絡安全法》)、《中華人民共和國數據安全法》(下稱《數據安全法》)、《中華人民共和國個人信息保護法》(下稱《個人信息保護法》)等法律法規而制定,涉及的主要內容包括數據出境安全評估、個人信息出境標準合同、個人信息保護認證等數據出境制度的施行,主要是對現有數據出境安全評估、個人信息出境標準合同、個人信息保護認證等數據出境制度的實施和銜接作出進一步明確,適當放寬了數據跨境流動條件,適度收窄數據出境安全評估範圍,在保障國家數據安全的前提下,便利數據跨境流動[5]。筆者擬就16號令的前述主要內容進行簡要解讀。
一、何爲“數據出境”?
根據“國家網信辦《數據出境安全評估辦法》答記者問”,數據出境活動主要包括:“一是數據處理者將在境內運營中收集和產生的數據傳輸、存儲至境外;二是數據處理者收集和產生的數據存儲在境內,境外的機構、組織或者個人可以訪問或者調用。”
《數據出境安全評估申報指南(第二版)》在前述基礎上對“數據出境”進行了調整,規定數據出境行爲包括:(一)數據處理者將在境內運營中收集和產生的數據傳輸至境外;(二)數據處理者收集和產生的數據存儲在境內,境外的機構、組織或者個人可以查詢、調取、下載、導出;(三)符合《個人信息保護法》第三條第二款[6]情形,在境外處理境內自然人個人信息等其他數據處理活動。
《數據出境安全評估申報指南(第二版)》規定的前兩項與前述“國家網信辦《數據出境安全評估辦法》答記者問”的內容無實質差別,而第(三)項則對《個人信息保護法》第三條第二款所述情形進行了確認,是新增內容。
二、16號令與其他相關規定的銜接與調整
16號令第十三條明確規定,“2022年7月7日公佈的《數據出境安全評估辦法》(國家互聯網信息辦公室令第11號)、2023年2月22日公佈的《個人信息出境標準合同辦法》(國家互聯網信息辦公室令第13號)等相關規定與本規定不一致的,適用本規定。”
綜觀16號令內容,其與《數據出境安全評估辦法》、《個人信息出境標準合同辦法》等規定相比,主要有如下變化:
1、應當申報數據出境安全評估的條件有優化調整
| 《數據出境安全評估辦法》 | 16號令 | 比較 |
條款 | 第四條 數據處理者向境外提供數據,有下列情形之一的,應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估: (一)數據處理者向境外提供重要數據; (二)關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息; (三)自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息; (四)國家網信部門規定的其他需要申報數據出境安全評估的情形。 | 第七條 數據處理者向境外提供數據,符合下列條件之一的,應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估: (一)關鍵信息基礎設施運營者向境外提供個人信息或者重要數據; (二)關鍵信息基礎設施運營者以外的數據處理者向境外提供重要數據,或者自當年1月1日起累計向境外提供100萬人以上個人信息(不含敏感個人信息)或者1萬人以上敏感個人信息。 屬於本規定第三條、第四條、第五條、第六條規定情形的,從其規定。 | (1)16號令與《數據出境安全評估辦法》相比,對於關鍵信息基礎設施運營者向境外提供個人信息或重要數據的要求基本一致,對於其他數據處理者的規定有起算點和數量上的放寬。 (2)《數據出境安全評估辦法》有兜底條款,16號令對於第三條至第六條的豁免情形作了除外規定。 (3)與《數據出境安全評估辦法》相比,16號令的分類方法明顯更爲明確和合理,從主體方面予以區分,從而適用不同的條件。 |
2、對個人信息數量的計算方式有調整
如上表所示,《數據出境安全評估辦法》第四條第(三)項規定爲“自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息”,16號令第七條第(二)項則調整爲“自當年1月1日起累計向境外提供100萬人以上個人信息(不含敏感個人信息)或者1萬人以上敏感個人信息”——即,計算時點由“上年1月1日起”變更爲“自當年1月1日起”;計算數額由“累計10萬人”變更爲“累計100萬人以上”。
3、對於“訂立個人信息出境標準合同或者通過個人信息保護認證”的適用情形有調整
| 《個人信息出境標準合同辦法》 | 16號令 | 比較 |
條款 | 第四條 個人信息處理者通過訂立標準合同的方式向境外提供個人信息的,應當同時符合下列情形: (一)非關鍵信息基礎設施運營者; (二)處理個人信息不滿100萬人的; (三)自上年1月1日起累計向境外提供個人信息不滿10萬人的; (四)自上年1月1日起累計向境外提供敏感個人信息不滿1萬人的。 法律、行政法規或者國家網信部門另有規定的,從其規定。 個人信息處理者不得采取數量拆分等手段,將依法應當通過出境安全評估的個人信息通過訂立標準合同的方式向境外提供。 | 第八條 關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息(不含敏感個人信息)或者不滿1萬人敏感個人信息的,應當依法與境外接收方訂立個人信息出境標準合同或者通過個人信息保護認證。 屬於本規定第三條、第四條、第五條、第六條規定情形的,從其規定。
| (1)16號令與《個人信息出境標準合同辦法》相比,規定適用的主體無變化,系“關鍵信息基礎設施運營者以外的數據處理者”,僅表述存在差異。 (2)計算方法由“自上年1月1日起累計”調整爲“自當年1月1日起累計”。 (3)“累計向境外提供個人信息”的計算數量由“不滿10萬人”調整爲“10萬人以上、不滿100萬人(不含敏感個人信息)”。 (4)處理方式由“訂立標準合同的方式”調整爲“訂立個人信息出境標準合同或者通過個人信息保護認證”。 |
4、數據出境安全評估的結果有效期及相關內容有調整
| 《數據出境安全評估辦法》 | 16號令 | 比較 |
條款 | 第十四條 通過數據出境安全評估的結果有效期爲2年,自評估結果出具之日起計算。在有效期內出現以下情形之一的,數據處理者應當重新申報評估: (一)向境外提供數據的目的、方式、範圍、種類和境外接收方處理數據的用途、方式發生變化影響出境數據安全的,或者延長個人信息和重要數據境外保存期限的; (二)境外接收方所在國家或者地區數據安全保護政策法規和網絡安全環境發生變化以及發生其他不可抗力情形、數據處理者或者境外接收方實際控制權發生變化、數據處理者與境外接收方法律文件變更等影響出境數據安全的; (三)出現影響出境數據安全的其他情形。 有效期屆滿,需要繼續開展數據出境活動的,數據處理者應當在有效期屆滿60個工作日前重新申報評估。 | 第九條 通過數據出境安全評估的結果有效期爲3年,自評估結果出具之日起計算。有效期屆滿,需要繼續開展數據出境活動且未發生需要重新申報數據出境安全評估情形的,數據處理者可以在有效期屆滿前60個工作日內通過所在地省級網信部門向國家網信部門提出延長評估結果有效期申請。經國家網信部門批准,可以延長評估結果有效期3年。 | (1)有效期由2年調整爲3年。 (2)16號令未明確需要重新申報數據出境安全評估情形,應繼續適用《數據出境安全評估辦法》的相關內容。 (3)關於有效期屆滿後的處理,16號令將《數據出境安全評估辦法》規定的“重新申報評估”調整爲“申請延長評估結果有效期”,評估結果有效期可延長3年。 |
三、關於申報數據出境安全評估的概括性要求
1、應當申報數據出境安全評估的情形
根據前述16號令第七條,“數據處理者向境外提供數據,符合下列條件之一的,應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估:(一)關鍵信息基礎設施運營者向境外提供個人信息或者重要數據;(二)關鍵信息基礎設施運營者以外的數據處理者向境外提供重要數據,或者自當年1月1日起累計向境外提供100萬人以上個人信息(不含敏感個人信息)或者1萬人以上敏感個人信息。屬於本規定第三條、第四條、第五條、第六條規定情形的,從其規定。”
該條規定區分了是否屬於“關鍵信息基礎設施運營者”而作出了不同的要求。而“關鍵信息基礎設施”在《關鍵信息基礎設施安全保護條例》中被界定爲“公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等”(《網絡安全法》有類似界定),具體由涉及前述行業和領域的主管部門、監督管理部門根據其制定並報國務院公安部門備案的認定規則組織認定,及時將認定結果通知相應的信息基礎設施運營者,並通報國務院公安部門。而屬於16號令“第三條、第四條、第五條、第六條”情形的,是屬於“免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證”的情形,下文將會提及。
2、不需要作爲重要數據申報數據出境安全評估的情形
16號令第二條明確,“數據處理者應當按照相關規定識別、申報重要數據。未被相關部門、地區告知或者公開發布爲重要數據的,數據處理者不需要作爲重要數據申報數據出境安全評估。”
前述規定明確瞭如何識別“重要數據”,即數據處理者需要進行“申報數據出境安全評估”的數據範圍是“被相關部門、地區告知或者公開發布爲重要數據”的數據。在此之外的則無需申報數據出境安全評估。
那麼,相關部門或地區具體如何界定“重要數據”?《數據出境安全評估辦法》第十九條明確,“本辦法所稱重要數據,是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等,可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據。”《數據安全法》也明確規定了“數據安全制度”——“國家建立數據分類分級保護制度,根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護。國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄,加強對重要數據的保護。關係國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬於國家核心數據,實行更加嚴格的管理制度。各地區、各部門應當按照數據分類分級保護制度,確定本地區、本部門以及相關行業、領域的重要數據具體目錄,對列入目錄的數據進行重點保護。”[7]
3、免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證的情形
16號令第三至六條明確了“免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證”的情形,具體包括:
(1) 國際貿易、跨境運輸、學術合作、跨國生產製造和市場營銷等活動中收集和產生的數據向境外提供,不包含個人信息或者重要數據的;
(2) 數據處理者在境外收集和產生的個人信息傳輸至境內處理後向境外提供,處理過程中沒有引入境內個人信息或者重要數據的;
(3) 數據處理者向境外提供個人信息(不包括重要數據),符合下列條件之一的:
爲訂立、履行個人作爲一方當事人的合同,如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等,確需向境外提供個人信息的;
按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理,確需向境外提供員工個人信息的;
緊急情況下爲保護自然人的生命健康和財產安全,確需向境外提供個人信息的;
關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供不滿10萬人個人信息(不含敏感個人信息)的
(4) 自由貿易試驗區內數據處理者向境外提供負面清單外的數據[8]。
應當留意的是,上述第(3)項所述“個人信息”均不得包含“重要數據”(即:若向境外提供被相關部門、地區告知或者公開發布爲重要數據的個人信息,應當申報數據出境安全評估,不得選擇訂立個人信息出境標準合同或者通過個人信息保護認證的方式),且數據處理者向境外提供該等符合條件的個人信息可豁免的是“申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證”,並不包括豁免《個人信息保護法》規定的個人信息處理者在處理個人信息時應履行的義務(包括但不限於事前告知、明示同意、單獨同意等)[9]。
綜上,結合16號令及國家網信辦負責人就16號令的“答記者問”(以下簡稱“16號令答記者問”),就重要數據及不同數量的個人信息在出境時所適用的程序要求爲:
第一,關於重要數據:無論數據處理者是否屬於關鍵信息基礎設施運營者,只要其向境外提供任何重要數據(包括構成重要數據的個人信息),則需申報數據出境安全評估。
第二,關於個人信息:
(a)若數據處理者是關鍵信息基礎設施運營者,則不區分個人信息數量,只要其向境外提供個人信息,則需申報數據出境安全評估。
(b)若數據處理者並非關鍵信息基礎設施運營者,則:
若自當年1月1日起累計向境外提供不滿10萬人個人信息(不含敏感個人信息)(不包括重要數據)的,將免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證,該等個人信息可以自由出境;
若自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息(不含敏感個人信息)或者不滿1萬人敏感個人信息的,應當依法與境外接收方訂立個人信息出境標準合同或者通過個人信息保護認證,即兩種方式二選一;
若自當年1月1日起累計向境外提供100萬人以上個人信息(不含敏感個人信息)或者1萬人以上敏感個人信息的,則應申報數據出境安全評估。
四、如何履行相應的申報數據出境安全評估、備案個人信息出境標準合同、申請個人信息保護認證程序
根據16號令答記者問:
1、一般要求
(1)申報數據出境安全評估、備案個人信息出境標準合同:可以登錄數據出境申報系統(網址:https://sjcj.cac.gov.cn);已經通過線下方式提交安全評估申報、標準合同備案材料的,不需要通過數據出境申報系統進行重新提交。
(2)申請個人信息保護認證:可以登錄個人信息保護認證管理系統(網址:https://data.isccc.gov.cn)。
2、特殊情形
(1)關鍵信息基礎設施運營者或者其他不適合通過數據出境申報系統申報數據出境安全評估的,採用線下方式通過所在地省級網信部門向國家網信部門申報數據出境安全評估。
(2)16號令施行前已經完成或者正在申報數據出境安全評估、提交個人信息出境標準合同備案的,如何適用:
16號令施行前已經通過數據出境安全評估的數據出境活動:數據處理者可以根據申報事項繼續開展。
16號令施行前未通過或者部分未通過數據出境安全評估,根據16號令免予申報數據出境安全評估的數據出境活動:數據處理者可以依法通過訂立個人信息出境標準合同、通過個人信息保護認證等其他途徑向境外提供個人信息。
16號令施行前已經申報數據出境安全評估、提交個人信息出境標準合同備案,根據16號令無需開展上述程序的:數據處理者可以按照原程序進行,也可以向所在地省級網信部門撤回申報、備案。
註釋:
國家互聯網信息辦公室 中華人民共和國國家發展和改革委員會 中華人民共和國工業和信息化部 中華人民共和國公安部 中華人民共和國國家安全部 中華人民共和國財政部 中華人民共和國商務部 中國人民銀行 國家市場監督管理總局 國家廣播電視總局 中國證券監督管理委員會 國家保密局 國家密碼管理局令第8號,2021年12月28日公佈,自2022年2月15日起施行。
國家互聯網信息辦公室令第11號,2022年7月7日公佈,自2022年9月1日起施行。
國家市場監督管理總局 國家互聯網信息辦公室公告2022年第37號,2022年11月4日公佈。
國家互聯網信息辦公室令第13號,2023年2月22日公佈,自2023年6月1日起施行。
2024年3月22日國家互聯網信息辦公室有關負責人就《促進和規範數據跨境流動規定》答記者問。
《中華人民共和國個人信息保護法》第三條 在中華人民共和國境內處理自然人個人信息的活動,適用本法。在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動,有下列情形之一的,也適用本法:(一)以向境內自然人提供產品或者服務爲目的;(二)分析、評估境內自然人的行爲;(三)法律、行政法規規定的其他情形。
《中華人民共和國數據安全法》第三十一條規定,“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理,適用《中華人民共和國網絡安全法》的規定;其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。”
自由貿易試驗區在國家數據分類分級保護制度框架下,可以自行制定區內需要納入數據出境安全評估、個人信息出境標準合同、個人信息保護認證管理範圍的數據清單(以下簡稱負面清單),經省級網絡安全和信息化委員會批准後,報國家網信部門、國家數據管理部門備案。
16號令第十條規定,“數據處理者向境外提供個人信息的,應當按照法律、行政法規的規定履行告知、取得個人單獨同意、進行個人信息保護影響評估等義務。”
免責及版權申明
本微信文章僅為交流之目的,不構成李偉斌律師事務所任何形式的法律意見。歡迎轉發本微信文章。如需轉載或引用本微信文章的內容,請注明文章來源:李偉斌律師事務所微信公眾號-李偉斌律師事務所(ID:L-P-CN)。如您需要專業法律意見或就相關內容做進一步探討,歡迎與我們聯繫。