针对数字贸易实践中不断涌现的新问题、新需求,国家网信办立足产业实践需求,坚持统筹高质量发展和高水平安全,于2024年3月22日发布了《促进和规范数据跨境流动规定》(以下简称《规定》)。
相较于征求意见稿,《规定》最大的变化无疑隐藏在标题之中,由“规范和促进”变为“促进和规范”。这反映出我国对数据跨境流动的鲜明立场:适当放宽数据跨境流动条件,在保障国家数据安全的前提下,便利数据跨境流动,降低企业合规成本,充分释放数据要素价值,扩大高水平对外开放,打造数据跨境流动的“丝绸之路”。
《规定》实质性地调整了我国数据出境安全评估、个人信息出境标准合同、个人信息保护认证等制度的适配场景,为企业数据出境提供多样化、灵活性的制度工具。下文我们将着重探讨《规范》在优化我国数据跨境流动制度的重大变化。
《规定》第三条、第四条、第五条规定了免予申报安全评估、订立标准合同、通过保护认证的六种情形:
一是国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的。二是在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的。三是为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的。四是按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的。五是紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的。六是关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。
《规定》所列举的六种豁免情形,回应了不同商业活动的场景化需求。自我国确立以数据出境安全评估、个人信息出境标准合同以及个人信息保护认证为中心的数据跨境监管框架后,监管机构一直在持续探索推动制度的具体实施。如全国首个数据合规出境案例——首都医科大学附属北京友谊医院与荷兰阿姆斯特丹大学医学中心合作研究项目为医疗健康数据出境安全管理、国际医疗科研合作提供了实践指引。再如,我国汽车领域首个全系统盘点、全业务申报、全场景获批的数据出境安全评估案例——北京现代汽车有限公司数据出境安全评估项目为汽车领域数据出境活动展示了标准化的业务合规方式。
《规定》在场景导向的数据跨境传输治理理念下,针对特定场景的业务需求,明确常见跨境贸易活动数据跨境传输事先审查的豁免机制,消除了此类问题背后的监管不确定因素,为中国企业出海和跨国企业来华开展跨境业务提供了极大便利。
长期以来,我国数据跨境流动面临的一项难题是重要数据的界定。根据《数据出境安全评估办法》第19条,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。实践中,企业很难在没有具体标准规范的情况下判断数据是否构成“重要数据”。
《规定》第二条规定数据处理者应当依法申报、识别重要数据,但未被相关部门、地区告知或者公开发布认定为重要数据的,就无需考虑重要数据出境安全评估。这一举措无疑极大减轻了数据处理者的压力,使数据处理者不用再“如履薄冰”,充分体现了支持发展、支持开放的用意。当然,数据者也要时刻关注“数据分类分级”有关的标准规范文件,例如,在已发布的《数据安全技术 数据分类分级规则》(GB/T 43697-2024)中,附录G就明确规定了重要数据的相关识别标准。
三、针对不同性质、不同量级的数据处理者在数据跨境流动中对三种数据出境管理机制的不同适用。
《规定》第七条、第八条详细规定了针对不同性质、不同量级的数据处理者在数据跨境流动中对三种数据出境管理机制的不同适用。
具体而言,就数据出境安全评估制度,除上述豁免情形与自贸区特别规定外,两类主体需要通过所在地省级网信部门向国家网信部门申报数据出境安全评估,一是向境外提供个人信息或者重要数据的关键信息基础设施运营者;二是关键信息基础设施运营者以外的,向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息的数据处理者。
就个人信息出境标准合同与个人信息保护认证制度,除上述豁免情形与自贸区特别规定外,关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。《规定》扩大和明确了个人信息出境标准合同和个人信息保护认证的适用范围,提升了个人信息出境的便利化程度。
《规定》第六条明确规定,自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
自由贸易试验区是我国对外开放、制度创新和对标高标准经贸规则的重要桥梁,是数据跨境流动“丝绸之路”上的桥头堡。本条关于自贸区可制定数据出境“负面清单”的规定,意味着未来列在负面清单外的数据皆无需履行事前监管程序即可出境。《规定》明确了下放自贸区数据跨境管理权责的态度,有助于在自贸区进一步探索高效、便利的数据跨境流动通道。这将吸引出海企业、外资企业在自贸区设立分支机构或总部;其次,由于境外产生和收集的个人信息无需经过事前监管程序即可出境,自贸区有望承接海外数据处理需求,建设离岸数据中心、发展离岸数据处理服务产业,产生新的经济增长点。
总之,《规定》既是优化营商环境、支持外资企业在中国持续深耕发展的有力举措,也是统筹推进深层次改革和高水平开放,持续打造更具竞争力的数字经济的重要制度创新。《规定》的出台更好顺应数字经济高质量发展趋势、更加适应我国更高水平安全需要,必将更好释放数据作为新型生产要素的资源潜能、经济社会价值,打造具有中国特色的数据跨境流动的“丝绸之路”。