近年來,我國持續通過《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》等法律以及《網絡安全審查辦法》、《數據出境安全評估辦法》、《關于實施個人信息保護認證的公告》、《個人信息出境標準合同辦法》等一系列部門規章,對數據跨境流動進行規制和約束,可謂對數據跨境流動層層加碼。而就在2024年3月22日,國家互聯網信息辦公室公布了《促進和規范數據跨境流動規定》(以下簡稱“《跨境新規》”)。這一舉動,既是對國務院于2023年7月25日發布的《國務院關于進一步優化外商投資環境加大吸引外商投資力度的意見》中“探索便利化的數據跨境流動安全管理機制”和國務院辦公廳于2024年2月28日發布的《國務院辦公廳關于印發<扎實推進高水平對外開放更大力度吸引和利用外資行動方案>的通知》中“健全數據跨境流動規則”的回應,也是對我國在《跨境新規》出臺前數據出境監管中實際存在的周期過長、觸發門檻低等實際問題的回應,是加強市場活力,鼓勵外商投資和企業出海的一劑強心針。
本文將著重對《跨境新規》中涉及數據出境的評估、認證等義務的豁免情形進行解讀,為有相關需求的企業提供指引。
一、非重要數據
《跨境新規》第二條 數據處理者應當按照相關規定識別、申報重要數據。未被相關部門、地區告知或者公開發布為重要數據的,數據處理者不需要作為重要數據申報數據出境安全評估。
《中華人民共和國數據安全法》第二十一條 國家建立數據分類分級保護制度,根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護。國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄,加強對重要數據的保護。
其實在我國在《數據出境安全評估辦法》第二條中已經明確規定:數據處理者向境外提供在中華人民共和國境內運營中收集和產生的重要數據和個人信息的安全評估,適用本辦法。也就是說,非重要數據和個人信息無需進行安全評估。因此《跨境新規》第二條也是對《數據出境安全評估辦法》第二條的重申。對什么是重要數據這一問題,企業則無需過分擔憂,只要是相關部門、行業未列入重要數據目錄的,就不屬于重要數據。對于需要進行數據跨境傳輸的企業一方,需要關注相關行業領域發布的重要數據目錄進行確認,在明確傳輸數據的保護級別后采取相應的動作。
二、特定場景數據
《跨境新規》第三條 國際貿易、跨境運輸、學術合作、跨國生產制造和市場營銷等活動中收集和產生的數據向境外提供,不包含個人信息或者重要數據的,免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。
《跨境新規》第五條 數據處理者向境外提供個人信息,符合下列條件之一的,免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證:
(一)為訂立、履行個人作為一方當事人的合同,如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等,確需向境外提供個人信息的;
(二)按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理,確需向境外提供員工個人信息的;
(三)緊急情況下為保護自然人的生命健康和財產安全,確需向境外提供個人信息的;
(四)關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供不滿10萬人個人信息(不含敏感個人信息)的。
前款所稱向境外提供的個人信息,不包括重要數據。
三、過境個人信息
《跨境新規》第四條 數據處理者在境外收集和產生的個人信息傳輸至境內處理后向境外提供,處理過程中沒有引入境內個人信息或者重要數據的,免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。
該部分個人信息只要符合“境外收集產生”和“境內處理沒有引入境內個人信息或重要數據”這兩個要求,即可視為可自由過境。這一豁免措施惠及的企業主要包括在中國境內設立區域總部或數據中心的跨國企業,以及從事數據處理離岸外包業務的企業。
四、自貿區負面清單外數據
《跨境新規》第六條 自由貿易試驗區在國家數據分類分級保護制度框架下,可以自行制定區內需要納入數據出境安全評估、個人信息出境標準合同、個人信息保護認證管理范圍的數據清單(以下簡稱負面清單),經省級網絡安全和信息化委員會批準后,報國家網信部門、國家數據管理部門備案。
自由貿易試驗區內數據處理者向境外提供負面清單外的數據,可以免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。
除了已經發布數據分級管理辦法的自貿區以外,海南自貿港和粵港澳大灣區也在加緊建立數據跨境流動機制,促進內外資企業的創新合作。
綜上所述,《跨境新規》通過明確重要數據的范圍和認定方式、增加豁免適用情形、明確商業活動場景需求以及預留監管制度解釋空間等方式,為數據跨境流動領域帶來了諸多好處,有助于促進數據的依法有序自由流動和跨境數字貿易的發展。
