平衡之道:数据跨境流动新规的重点分析及合规提示
2024-03-24
引言
3月22日晚,国家互联网信息办公室公布了《促进和规范数据跨境流动规定》(以下简称“《数据跨境新规》”或 “新规”),对数据跨境流动场景中所涉及的“数据依法有序自由流动”进行了明确和细化。同时,新规明确本规定自公布之日起施行,这就要求所有企业客户立即要按新规的内容及要求对数据跨境流动进行调整和安排,依法进行判定并进行相应合规工作的安排或调整。
面对作为跨境流动数据处理者的企业及机构类客户的繁重数据合规工作量,面对监管机关在调整数据跨境流动中数据的合法、安全需达标的责任及企业合规工作负担之间的平衡点,面对最新的监管要求和新规内容,德恒律师将通过本文来快速归纳、分析和梳理关于《数据跨境新规》的亮点和重点,为企业数据出境合规工作做出准确而明晰的指引和提示。
一、新规可为企业数据跨境流动的合规工作进行一定程度的减负
1.企业免予申报数据出境安全评估、免予订立个人信息出境标准合同、免予通过个人信息保护认证的场景和条件
a.国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的。
b.在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的。
c.为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供非重要数据的个人信息的。
d.按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供非重要数据的员工个人信息的。
e.紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供非重要数据的个人信息的。
f.关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人非重要数据的个人信息(不含敏感个人信息)的。
g.自由贸易试验区内数据处理者向境外提供负面清单外的数据。
【德恒简评】:《数据跨境新规》的出台,其最大的亮点是明确和细化了企业客户能够免予进行申报、订立或认证等数据出境合规工作的场景和条件,区分了合法合理的数据向境外提供场景,对日常生产经营类和跨国公司人力资源管理类、侧重个人生活场景类、合法且数量较小的个人信息跨境流转等场景进行了减负,同时对自然人紧急情况下,对自贸区先行先试的特点都给予了关注和规定。
对企业的合法、正常、日常的生产经营中所面临的数据跨境流动、提供、传输,进行了减负和明确了合规工作的范围,比较新规公布之前,避免了企业客户任何情况都面临比较繁重数据跨境合规的责任、义务和繁重工作量的困境和困惑。
2.对通过数据出境安全评估的结果有效期进行了调整
通过数据出境安全评估的结果有效期为3年,自评估结果出具之日起计算。有效期届满,需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的,数据处理者可以在有效期届满前60个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请。经国家网信部门批准,可以延长评估结果有效期3年。
【德恒简评】:对能够通过数据出境安全评估的企业客户,延长了评估结果有效期。使企业在满足依法合规评估和审批通过的前提下,可以集中精力去进行生产经营。
3.强调了对重要数据、对个人信息主体的保护,以及关键信息基础设施运营者的责任义务
新规在明确了何种责任主体免于进行申报、签订和认证的合规义务的同时,特别对重要数据的保护和特殊要求;对个人信息主体保护,如向境外提供个人信息的处理者必须履行告知、取得个人单独同意、进行个人信息保护影响评估等义务;强调及明确关键信息基础设施运营者向境外提供个人信息或者重要数据,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
【德恒简评】:虽然新规在重要数据、关键信息基础设施运营者和对个人信息保护进行了强调和规定,但是对于更多数量的企业用户而言,数据跨境传输场景下,在能够排除重要数据、构成关键信息基础设施运营者身份和包含个人信息的3个因素后,企业的数据合规工作量可以得到大幅减少。
对于企业客户而言,在数据跨境流动过程中,一旦涉及重要数据、个人信息及敏感个人信息,一旦构成关键信息基础设施运营者身份,要格外给予重视和注意,按法规及监管的要求进行合规工作,乃至可能进行的数据出境安全评估申报、订立个人信息出境标准合同、通过个人信息保护认证。
二、企业客户面对新规需要注意的合规工作重点指引
1.《数据跨境新规》与《数据出境安全评估办法》的关系
《数据跨境新规》是对《数据出境安全评估办法》的补充、细化和完善,而非替代。
结合2024年3月22日监管机构当天同时发布的《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》,我们认为,数据出境安全的合规工作,还是要依据《数据出境安全评估办法》的核心原则和基本要求,新规必须结合前面仍在生效的法规进行综合及全面把握。
2. 一旦构成免予申报数据出境安全评估等情况,企业是否可免除全部数据合规责任和义务
在数据跨境传输过程中,构成免予申报数据出境安全评估、免予订立个人信息出境标准合同、免予通过个人信息保护认证的情况,不代表企业客户可以免予进行相应数据合规工作和法定责任及义务。
根据相关法规及监管要求,企业必须结合自身的具体情况,数据跨境的特征和需求,企业还需要进行数据出境风险自评估的合规工作并形成报告备查,需要进行个人信息保护影响评估工作并形成报告备查,需要取得个人信息主体单独同意等法定要求,运用全部的合规手段和合规措施,在企业能够依法合规的基础上,保证数据安全、个人信息主体合法权益,乃至保证国家安全。
简明的讲,《数据跨境新规》的适用,必须结合《数据出境安全评估办法》、《数据安全法》、《网络安全法》及《个人信息保护法》及一系列法规来综合使用,方能使企业的数据跨境流动合规工作符合法规和监管要求,避免企业遭受重大损失及监管处罚。
(欲获得更多的相关信息、服务案例经验、申报工作指引、合规指南,请邮件联系本文两位作者。)
本文作者:
声明:
本文由德恒律师事务所律师原创,仅代表作者本人观点,不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。
