【热评】《促进和规范数据跨境流动规定》正式公布,具体改变了什么?
朱立奇
研究领域:数字化转型、数据要素
字数:3k+
此前,国家互联网信息办公室已经根据《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规,出台《数据出境安全评估办法》《个人信息出境标准合同办法》(以下合称《办法》)以及相应的指南文件,基本构建了数据出境安全评估、个人信息出境标准合同、个人信息保护认证三类数据出境安全管理制度。然而,在实践中,部分企业反映相关办法存在要求严格、适用标准不明确、操作难度较高等问题,企业合规难度和成本较高。
针对这一情况,国家互联网信息办公室从兼顾安全与发展、便利数据跨境流动的角度出发,已于2023年9月28日发布了《规范和促进数据跨境流动规定(征求意见稿)》,以下简称《征求意见稿》),在国内外关注者群体中引起广泛讨论。
此次正式公布的《规定》除了将正式名称定为《促进和规范数据跨境流动规定》,更加彰显了促进数据跨境流动的政策导向外,对比《征求意见稿》,以及与原先的《数据出境安全评估办法》和《个人信息出境标准合同办法》之间,主要还有以下几点变化:


安全管理制度适用范围
数据处理者开展数据跨境传输,是使用安全评估,还是标准合同或个人信息保护认证,主要有三条划分依据:(1)是否关键信息基础设施运营者;(2)是否重要数据;(3)是否满足个人信息/敏感个人信息的数量条件。
其中,重要数据由于缺乏明确标准,一直是争议的焦点。此次《规定》延续了《征求意见稿》中提出的原则,在第二条中明确“未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估”,对重要数据缺乏标准和判断依据问题作出了直接回应。但同时数据处理者仍然承担识别申报责任,《规定》特别强调数据处理者“应当按照相关规定识别、申报重要数据”。
其次,在个人信息数量方面,《规定》主要作出两点调整:
一是设定了需要开展个人信息出境标准合同或个人信息保护认证的数量下限。《规定》明确向境外累计提供10万人以上个人信息(不含敏感个人信息)的,才需要开展个人信息出境标准合同或个人信息保护认证,填补了原《办法》中数量下限的空白,减免了许多中小规模企业的合规压力;
二是调整了数量的判定条件:
一方面,减免了部分非关键信息基础设施运营者开展数据出境安全评估的要求,如原《办法》提出“处理100万人以上个人信息的数据处理者向境外提供个人信息”的,与关键信息基础设施运营者同样需要开展数据出境安全评估。而《规定》对于非关键信息基础设施运营者向境外提供个人信息的,仅根据实际向境外提供个人信息的数量进行判断。从表述上理解,《规定》实行后,对于处理大量个人信息但向境外仅实际传输少量的数据处理者,可适用更为便利的管理手段。
另一方面,改变了个人信息出境数量的判定依据。如原《办法》中“自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息”的,应申报数据出境安全评估;《征求意见稿》中改变了判断依据,改为“预计一年内......向境外提供100万人以上个人信息的,应当申报数据出境安全评估”,这一改变虽然有利于企业根据本年度业务情况动态调整采取的安全管理合规手段,然而实践中企业很难准确预测未来发生的数据传输规模。因此,《规定》在此基础上将条件进一步改为“自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息”,将判断依据变为本年度已经发生的累计数量,放宽了数据处理者对数据传输规模的预判要求。


支持自贸试验区制定“负面清单”
《规定》在第六条中正式提出“自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。”
相较《征求意见稿》,一是强调了自贸试验区制定“负面清单”应“在国家数据分类分级保护制度框架下”,为各地自行开展探索确立了整体框架约束;二是明文确立了“负面清单”外数据无须开展申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的原则。


增设例外场景
《规定》延续《征求意见稿》制定思路,在自贸试验区“负面清单”以外,陈列了多类例外场景。但在具体的场景上有所增加。
一是国际交流合作类场景,《规定》在《征求意见稿》中国际贸易、学术合作、跨国生产制造和市场营销基础上,新增了跨境运输的场景;二是数据入境再出境场景,在境外收集和产生的个人信息,符合条件的可免予申报;三是订立、履行合同场景,《规定》在《征求意见稿》基础上新增了跨境寄递、跨境支付、跨境开户、考试服务;四是按照集体合同实施跨境人力资源管理的;五是紧急情况下为保护生命健康和财产安全的;六是开展较小规模数据传输的,此处《规定》相较《征求意见稿》拉高了个人信息数量上限,从1万人变为10万人;但同时将包含敏感个人信息的情况排除在外。此外,对于以上第三、四、五类个人信息出境场景,《规定》将《征求意见稿》中“必须向境外提供个人信息”的表述改为“确需向境外提供个人信息”,强调了需要,而并非强制性要求,便于数据处理者合理解释个人信息出境的合理性。
需要注意的是,以上六类例外场景都有各自的额外条件,详情细节可参考下表:

可申请延长安全评估有效期
开展数据出境安全评估的操作难度较大,是企业普遍反映的痛点。此次《规定》第九条提出,“有效期届满,需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的”“经国家网信部门批准,可以延长评估结果有效期3年”,减少了部分企业重复开展评估的要求,一定程度上减少了合规压力。
总体来看,《规定》广泛吸纳了社会各界意见,针对数据出境实践过程中普遍反映的部分问题提出了解决方案,相对于《征求意见稿》更进一步明确划定了数据出境安全评估、个人信息出境标准合同、个人信息保护认证三类管理制度的适用标准,减轻了数据处理者对于重要数据、数据传输规模等方面的判断义务,优化调整和适当放宽了数据跨境流动条件,以及提出了延长安全评估有效期等易于操作的便利化举措,有利于促进数据跨境流动和有效利用。