2023年9月28日,国家互联网信息办公室(“CAC”)发布的《规范和促进数据跨境流动规定(征求意见稿)》(“《新规草案》”)于2023年10月15日截止公开征求意见。《新规草案》是现行数据出境法律法规中适用范围条款的补充规定,在把握保护国家安全和公共利益的基本原则之上,顺应全球化的新形势,平衡监管力度与数字创新、跨境贸易发展。
《数据出境安全评估办法》等现行数据出境监管规定出台后,已有企业陆续成功通过安全评估和标准合同备案。然而,因成功案例的公开披露信息有限,大部分企业对于自身数据出境场景是否落入监管要求仍抱有疑虑,对于出境前置程序、规则的理解适用和监管口径也存在诸多不解。基于现行的数据出境监管框架,《新规草案》澄清部分实际操作中产生的疑义,实质性减轻企业数据跨境传输合规义务,并提供一系列豁免情形。
一、 数据出境监管背景
中国现行法律法规对于关键信息基础设施运营者(“CIIO”)、重要数据、核心数据、国家秘密,以及达到国家网信部门要求的个人信息,原则上要求本地化存储。相应的,数据处理者将上述数据向境外传输应依据法律法规履行出境合规义务,实施出境前置程序。以下为现行的数据出境合规路径:
1.通过国家网信部门组织的数据出境安全评估(“安全评估”);
2.按照国家网信部门制定的标准合同,与境外接收方订立合同,并完成备案(“标准合同备案”);
3.按照国家网信部门的规定通过专业机构进行的个人信息保护认证(“保护认证”)。
(以上三项合称“出境前置程序”)
二、 个人信息出境前置程序触发标准调整
《新规草案》将个人信息出境前置程序触发的标准从“既有个人信息数量”调整为“预计向境外提供的个人信息数量”,以未来一年内的个人数据出境数量作为判断依据。这是《新规草案》对个人信息出境监管范围作出的重大调整,具体包括:
1.预计一年内向境外提供的不满1万人个人信息的,不需要执行出境前置程序。
2.预计一年内向境外提供1万人以上、不满100万人个人信息,可以选择通过标准合同备案或者保护认证的方式,可以不申报安全评估。
3.向境外提供100万人以上个人信息,应申报安全评估。[1]
上述触发标准以“预计一年”作为计算期限,是对于未来可能发生的出境个人信息的估计值,存在一定的不确定性,在实际标准落地过程中可能会带来一系列的疑问。比如,“预计一年”的起算时间节点如何确定,是否应理解为任意的连续的12个月,个人信息实际出境的数量超出预计值后是否被要求补足合规义务等,具体问题的答复有待监管部门进一步地细化明确。
此外,《新规草案》并未调整敏感个人信息出境数量的触发标准,企业应当依据现有规定履行敏感个人信息的出境义务,即对于1年内既有的出境敏感个人信息数量达到1万人以上的应申报安全评估;不满1万人的,可以选择通过标准合同备案或保护认证。
最后,《新规草案》强调基于“取得个人同意”作为个人信息处理合法性基础的,将该等个人信息向境外提供之前应当另行取得个人信息主体的单独同意。从本条隐含的意思来看,基于同意之外的其他合法性基础处理个人信息的,似乎无需再获得个人信息主体的单独同意。但实践中,监管部门依然将“单独同意”作为审查时的合法性基础,较少直接依赖其他合法性基础。
三、 豁免个人信息处理者在部分场景下的出境前置程序
《新规草案》对以下三类数据出境场景豁免了出境前置程序,明确符合以下条件的企业不需要申报安全评估、完成标准合同备案、通过保护认证:
1.合同履行豁免:为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的。
2.人力资源管理豁免:按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的。
3.紧急状况豁免:紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的。
《新规草案》明确列出的三项豁免情形与《个人信息保护法》第13条规定的处理个人信息合法性基础的其中三项相对应。对于三项豁免场景中何为“必须向境外提供个人信息”的,并无细化标准。通常这三类场景下个人信息跨境传输的必要性可由企业自行构建,但在监管过程中是否无限放宽对以上三种情形的前置审查需等待《新规草案》落地后另行评估。
《新规草案》采用开放式列举的方式,对跨境购物、汇款等特定业务场景下,履行合同所必须时的数据出境监管适度松绑,有助于减轻相关企业合规压力。对于其他未明确列举的低风险个人信息出境场景是否能够适用合同履行豁免,《新规草案》为此留有进一步解释空间。
对于跨国集团而言,基于使用集团统一的人力资源管理系统的现实需要,中国子公司/分支机构可能会将其员工信息传输至境外服务器中,从而产生数据出境的现实场景。《新规草案》在一定程度上降低了人力资源管理所必须的出境场景的合规成本。需要注意的是,企业对于将员工信息向境外传输的目的、方式、范围均应依照法定程序纳入劳动规章制度,比如需要通过召开职工代表大会、公示或告知员工等。
四、 澄清其他无需执行出境前置程序的情形
1.重要数据
未被相关部门、地区告知或者公开发布为重要数据的,不需要申报安全评估。[2]
重要数据出境落入《数据出境安全评估办法》的适用范围,应当申报安全评估。然而,除了少数特定行业已制定相关“重要数据”目录和清单(如汽车行业、电信行业),其他行业涉及的重要数据识别规则和认定标准尚不清晰。《新规草案》对于重要数据认定的疑难问题作出澄清,以地方与相关行业部门告知为准,解决了企业难以判断自身是否属于重要数据安全评估范围的难题。
2.一般数据
国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的,无需执行出境前置程序。[3]
在《新规草案》所列举的国际贸易、学术合作、跨国生产制造、市场营销过程中,企业因基础运营而产生一般数据的跨境流通是难以避免的,若对一般数据流通进行过分约束会严重影响企业跨境日常业务往来的效率。对于非特殊行业、非CIIO的企业而言,现有的规则体系只对重要数据和达到一定体量的个人信息做出了数据出境约束性规定,对于一般数据的跨境流通并未作出限制。然而实务中由于对规则的理解不统一、解释不明晰,部分企业会担心和顾虑其业务活动相关数据是否属于一般数据,能否自由流通。《新规草案》在此重申一般数据的跨境自由流通,并未对现有规则进行修改,而是澄清和强调了国家对于一般数据流通未设置约束措施。
需特别注意的是,可自由流通的一般数据不得包含个人信息或重要数据,也不应包括国家秘密或者国家对特殊行业或领域有所规定的数据。在跨境合作研究活动中,研究人员可以共享不包含重要数据或个人信息的研究结果、统计数据。市场营销活动中,企业可以传输市场分析数据、行业研究报告等。但是,快消行业的营销活动很可能会利用去标识化后的消费者个人信息进行流量统计分析。因此,企业仍需重点判断跨境传输的市场营销物料是否包含了未完全达到匿名化处理的个人信息,若有所涉及,则无法豁免其出境合规义务。总体而言,这一澄清规定能够为企业减轻部分不必要的合规负担,但企业仍应在复杂的数据出境链条中严格甄别一般数据场景。
3.数据过境
不是在境内收集产生的个人信息向境外提供,无需执行出境前置程序。[4]
《新规草案》规定在境外收集个人信息传输至中国后再向境外提供的行为,实务中称之为“数据过境”,无需再执行前置性的出境保障程序。数据过境常见场景发生在跨境电商领域。具体而言,境内电商平台在海外布局独立的业务分支、国际站等,在境外收集消费者个人信息后可能会传输至中国境内以提供客服、物流等系列辅助性服务。需要注意的是,本条豁免仅适用于单纯在境外收集的个人信息,若该等个人信息在境内加工处理时结合了其他在境内收集的个人信息,形成了新的个人信息,那么此时难以被认定为“数据过境”而被豁免出境合规义务。
五、 确立自由贸易试验区(“自贸区”)负面清单制度
《新规草案》允许自贸区自行制定负面清单,促进自贸区内数据跨境流通。自贸区可自行制定本自贸区需要纳入安全评估、标准合同备案、保护认证管理范围的数据负面清单,并报经省级网络安全和信息化委员会批准后,报国家网信部门备案。[5]而对于负面清单外的数据,可以从自贸区向境外自由传输和流动。
在原有的数据出境安全体系中,安全评估的最终决策权和个人信息标准合同内容制定权力都集中于中央层面,形成中央集中管控的态势。然而,依据《新规草案》规定,省级网信部门有权自行制定自贸区负面清单,中央向地方分权,CAC决定增加部分地方政府对数据出境监管的权重,是数据安全管理体系的重大转变。
本条规定对于注册在自贸区的企业来说也是一项重大利好信号,这意味着中国的自由贸易区,比如中国(上海)自由贸易试验区(“上海自贸区”)、横琴粤澳深度合作区等有望进一步出台促进数据跨境流通的政策和制定负面清单。比如,2023年11月26日国务院印发《全面对接国际高标准经贸规则推进中国(上海)自由贸易试验区高水平制度型开放总体方案》表示支持上海自贸区(含临港新片区)率先实施高标准数字贸易规则,建立合法安全便利的数据跨境流动机制。具体举措包括率先制定重要数据目录、实施数据安全管理认证制度、明确获取和使用公开数据方式、发布开放数据集目录等。这是《新规草案》出台后,国家对于上海自贸区跨境数据流动推出的一项重要政策。我们期待上海自贸区日后尽快落实上述政策,进一步出台更清晰的数据出境负面清单,为企业指明数据出境的监管界限,促进企业跨国业务发展和经济交流。
六、 特殊主体的数据出境应严格遵守现有法律法规规定
《新规草案》对于与国家安全、公共利益相关并有重大影响的特殊主体的数据出境规定未作出调整,与现行法律法规保持一致。《新规草案》强调国家机关和CIIO向境外提供个人信息和重要数据的,以及向境外传输涉及国家秘密、敏感信息、敏感个人信息的,应遵守现有的法律法规规定。[6]依据《网络安全法》和《数据出境安全评估办法》相关规定,CIIO在中国境内收集和产生的个人信息和重要数据应储存在境内,向境外传输数据的应申报安全评估。
七、 我们的合规建
(一)关注数据出境监管动态
《新规草案》对数据出境实操中的复杂问题作出了澄清和解释,增设了促进多边数字经济自由交流的各项规定,一定程度上能够为企业减轻合规压力,是一项积极信号。但《新规草案》的出台并不代表我国对数据出境的监管工作完全松绑。达到各项监管要求的企业,仍应按照现行规定履行数据出境合规义务。由于此次《新规草案》的征求意见期限较短,仅有两周左右的时间(其中还包含了国庆法定假日),我们依据以往经验推测《新规草案》最终落地生效的版本同草案相比可能变动幅度不大。建议企业实时关注《新规草案》正式出台和生效,跟踪数据出境监管动态和趋势,了解监管口径变化。
(二)开展个人信息出境评估
依据《新规草案》关于个人信息出境前置程序触发标准的规定,建议企业对未来一年的个人信息出境量进行预测,积极开展数据出境自评估,识别个人信息出境场景、数据范围。此外,对于《新规草案》提出的个人信息出境豁免情节进行重点评估,特别关注个人信息出境的必要性。若企业日常业务处理和传输个人信息的情形不多,比如传统制造业企业只涉及零星的个人信息出境,并且该类信息还属于企业履行合同、人力资管理所必需的,那么,该类企业可以预判企业自身个人信息出境风险不大,应特别关注《新规草案》的生效时间节点及具体实际适用开展情况。
(三)重新评估数据出境程序进展和变化
对于还未办理数据出境程序的企业,建议重新评估企业的数据出境实际情况能否适用《新规草案》中的各项豁免规定,履行出境合规义务的需求和路径选择策略是否已发生变化。依据《新规草案》综合判断企业预计需出境的数据类型和数量是否达到了法律法规要求的申报或备案门槛。
对于已经在办理数据出境程序的企业,建议关注企业未来业务端是否存在重大调整,数据出境场景是否也将随之发生重大变化。建议企业增强与网信部门的沟通,适时调整数据出境方案。
(四)持续性开展数据保护合规治理
合理有效地拥抱数据监管合规要求,是企业提升现代化公司治理水平的必要组成部分。企业应建立合规管理体系和实施安全保障措施,以良好地进行持续性的数据保护合规管理。建议企业实施数据分类分级管理,建立数据出境白名单,明确哪些数据的跨境传输行为是属于《新规草案》规定的豁免情形,无需进行安全评估、标准合同备案或通过保护认证。
然而,即使《新规草案》豁免了国家层面的前置程序,企业仍应依照《个人信息保护法》第38条规定[7],采取必要措施,保障境外接收方处理个人信息活动达到本法规定的个人信息保护标准。因此,对于在日常经营中涉及向境外提供个人信息的企业,我们仍建议其积极梳理和评估个人信息处理活动,依照《个人信息保护法》的各项要求履行合规义务,开展个人信息保护影响评估。个人信息保护影响评估的具体工作内容主要包括:
(1)梳理个人信息清单和数据流图;
(2)明确个人信息处理活动具备“取得个人同意”等合法性基础;
(3)履行告知义务;
(4)处理方式、处理目的应当合法、正当、必要;
(5)处理敏感个人信息、向他人提供个人信息、向境外传输个人信息等高风险场景是否依法获得单独同意;
(6)评估对个人信息主体权益的影响及安全风险;
(7)评估采取的安全技术措施是否合法、有效并与风险相适应等。
建议企业建全数据生命周期的保护理念,制定内部管理制度与操作流程,持续性地落实内部数据保护与合规管理,以提高企业合规治理水平。
[1] 《新规草案》第5条 预计一年内向境外提供不满1万人个人信息的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。
《新规草案》第6条 预计一年内向境外提供1万人以上、不满100万人个人信息,与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的,可以不申报数据出境安全评估;向境外提供100万人以上个人信息的,应当申报数据出境安全评估。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。
[2] 《新规草案》第2条 未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
[3] 《新规草案》第1条 国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
[4] 《新规草案》第3条 不是在境内收集产生的个人信息向境外提供,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
[5] 《新规草案》第7条 自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),报经省级网络安全和信息化委员会批准后,报国家网信部门备案。
负面清单外数据出境,可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
[6] 《新规草案》第8条 国家机关和关键信息基础设施运营者向境外提供个人信息和重要数据的,依照有关法律、行政法规、部门规章规定执行。向境外提供涉及党政军和涉密单位敏感信息、敏感个人信息的,依照有关法律、行政法规、部门规章规定执行。
[7] 《个人信息保护法》第38条第3款 个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。
撰稿人
潘尤迪(Andy Y.D. Pan) 
权益合伙人
+86 21 6105 0917 
[email protected]
宋如静 (Chloe R.J. Song)
律师

+86 21 6105 0912

[email protected]
马竞可 (Coco J.K. Ma) 
资深律师

+86 21 6105 0576

[email protected]
关于元达律师事务所
元达是一家聚焦于跨境法律服务的律师事务所,我们的律师团队大多拥有国际一流法学院教育背景、多法域律师执业资格以及在监管机构的丰富工作履历。元达的律师在处理中国法律事务、与政府监管部门进行有效沟通、指导各类全球贸易、监管、诉讼案件及并购和资本市场等领域的交易中拥有数十年的经验。
关于元达温斯顿
元达律师事务所与美国温斯顿律师事务所的战略联盟为中国公司和在华投资的全球公司提供全面服务。凭借在众多行业和法律领域的强大业务实力,以及对中国日益复杂的法律环境的深刻理解,我们为各行各业的客户就交易、争议、监管、风险管理以及合规等事宜提供优质的法律服务。
关于美国温斯顿律师事务所
温斯顿拥有170多年的悠久历史,曾代理客户处理各种类型的广受关注的重大事宜——包括专利诉讼、跨境并购、能源交易、以及错综复杂的商业纠纷等等。通过一系列合并、新办公室的开设和律所间横向聘用,温斯顿已发展为一家在美洲、欧洲、亚洲和南美洲拥有九百多位律师的全球律师事务所,办公室网络覆盖上海、香港、布鲁塞尔、夏洛特、芝加哥、达拉斯、休斯顿、伦敦、洛杉矶、迈阿密、纽约、巴黎、旧金山、圣保罗、硅谷和华盛顿。
欢迎关注元达律讯
www.yuandawinston.com
继续阅读
阅读原文