一、《促进和规范数据跨境流动规定》出台的背景
数据跨境流动是指数据处理者将个人信息等数据提供至境外,通常情形下可理解为“数据从一法域被转移至另一法域的行为”或“跨境对存储在计算机中的机器可读数据进行处理”。我国自2016年起先后通过了《中华人民共和国网络安全法》(以下简称“《网络安全法》”)、《中华人民共和国数据安全法》(以下简称“《数据安全法》”)、《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)等法律法规,为规范数据出境活动、推动数据跨境有序流动提供了基础法律框架。为进一步为跨境数据流动提供指引,国家网信办于2022年7月7日和2023年2月22日先后公布了《数据出境安全评估办法》和《个人信息出境标准合同办法》,我国数据出境的合规体系由此逐步确立。
二、《规定》出台后数据出境监管的主要变化及影响
《规定》在我国数据跨境监管框架的基础上,对跨境数据监管的范围、方式作出系列重大调整,这些调整主要体现在“收窄出境受监管的数据范围”、“扩大可豁免数据出境前置审批的个人信息范围”及“发挥特定区域合作优势”三个方向。
(一)收窄受监管的出境数据范围
其次,《规定》创新性地将过境数据也排除出了数据合规监管范围。依据《规定》第四条之规定,如个人信息是在境外收集和产生,传入境内处理后又向境外提供,只要处理过程没有引入境内的个人信息或重要数据,即可以免予通过法律规定的三种途径完成数据出境前置审批。
(二)扩大可豁免数据出境前置审批的个人信息范围
此外,《规定》结合待出境数据数量豁免了小体量个人信息出境的前置审批程序。《规定》第五条、第七条、第八条结合关键信息基础设施运营者(CIIO)以外的个人信息处理者拟向境外提供个人信息的数量,设置了不同的前置审批程序。对向境外提供不满10
万人个人信息(不含敏感信息)的,无需审批;对向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,前置审批程序可在标准合同和个人信息保护认证中二选一;对于拟向境外提供重要数据,或者拟向境外提供的个人信息(不含敏感个人信息)累计超过100万人的,应该进行数据出境安全评估。在《规定》发布的答记者问中明确,前述数量的计数周期自当年1月1日起至申报数据出境安全评估之日,且属于《规定》第三条、第四条、第五条第一款第一项至第三项、第六条规定情形的,不计入累计数量。虽然《规定》严守了对重要数据的监管要求,规定重要数据不适用任何豁免情形,但对不含敏感信息的个人信息区分数量对应了不同的前置审批措施。这一创新性规定不仅能一定程度上减轻数据处理者的审批负担,也有利于为数据处理者提供明确参考,方便其调整数据出境的方案和策略。
(三)发挥特定区域合作优势
除通用的数据出境规范外,《规定》第六条还赋予了自由贸易试验区更高程度的数据跨境自由,在不违反国家数据分类分级保护制度框架下,自贸区可以自行制定区内分别适用三种前置审批程序的数据清单,经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案即可。自贸区内的数据处理者向境外提供负面清单外的数据也可以免予前置审批。
此外,《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》也为特定区域内的个人数据跨境流动提供了便利条件。数据处理者如符合签订《大湾区标准合同》的条件,即可不受《个人信息出境标准合同办法》个人信息跨境数量和敏感个人信息的限制,免除就接收方所在地区个人信息保护的法律法规进行评估的义务,要求开展个人信息保护影响评估的范围也大幅减少。
(四)《规定》出台前已申报出境项目的处理
仅以我们办理的案件为例,2023年6月1日施行的《个人信息出境标准合同办法》规定了为期6个月的整改期限,为避免合规风险,符合以标准合同出境的企业需要在2023年12月前对已经出境的个人信息进行标准合同备案。《标准合同办法》出台后,我们同时收到了客户韩国企业、南非企业的个人信息出境标准合同备案需求。
该两跨国企业的总部分别在韩国、南非,在中国设立有分支机构。韩国客户是一贸易公司,涉及到的个人信息出境场景主要是将在中国形成的员工信息出境至韩国总部。南非客户是一跨国医药公司,涉及到的个人信息出境场景多样,包括员工信息、医疗专业人员信息、讲者信息等。我们针对该两客户进行了合规整改、拟定《标准合同》、指导出具《个人信息保护影响评估报告》,在项目申报的过程中,《规定》(征求意见稿)出台,可以预判到有较大的数据跨境要求修改的可能性。我们针对两客户分别提供了可能对其更为有利的处理建议:对于韩国客户,由于其出境的主要为劳动人事方面的员工个人信息,虽然彼时《规定》并未正式出台,但从《征求意见稿》中可以看到“内部员工个人信息”系明确豁免备案的,且该类个人信息的出境产生重大影响的可能性较小,因此对于该客户的备案申请我们暂停提交。对于南非客户,由于其出境的个人信息场景多样,且是医药行业跨国企业,个人信息出境产生重大影响的可能性相对较高,我们仍在规定的期限向网信办提交了备案材料。
《规定》出台后,按照《规定》第五条第一款第四项关于个人信息出境总量的规定,前述两客户均可用豁免申报个人信息出境(无论是安全评估、标准合同备案、个人信息保护认证的方式)。且根据《规定》答记者问第14答,对于《规定》施行前已经完成或正在申报的项目,可以继续开展,也可申请撤回。考虑到南非公司的申报材料付出了极大的工作量,获得正式的备案通过亦可作为客户个人信息安全保护能力的证明,因此我们并未撤回。近期,我们已收到广东省网信办的通知,我们提交的备案申请正式获批,且获批并非因《规定》的出台,而是备案材料符合审批要求。
因此,对于《规定》出台前已经申报数据出境安全评估、备案个人信息出境标准合同、申请个人信息保护认证的,不须急于撤回,可综合考虑出境是否有其他不良影响、获得通过的可能性、获批记录对于后续公司数据合规方面的影响等因素,综合决策。
三、欧盟数据跨境流动监管的启示
(一)市场化规制转向与监管底线
欧盟数据监管立法发展体现出明显的市场规制转向,通过巩固单一数据市场、提振消费者和中小企业信心尝试打造更公平的数据市场竞争环境,防止出现市场垄断和新的数据壁垒。但这种市场规制转向和促进数据流动、共享的态势似乎并未延伸至数据跨境流动监管领域。为保证欧盟国家境内数据安全,欧盟的数据监管模式呈现出“外紧内松”的特征,维持了对数据跨境高标准的监管底线,以更好的保护欧盟的数据主权,增将其在全球互联网与信息产业中的优势地位。
(二)GDPR监管框架下促进数据跨境流动的曲折探索
结语
参考文献
6.夏菡:《欧盟数据跨境流动监管立法的市场规则转向及对中国的启示》,载《河北法学》2023年第8期,第169-182页。
8.金晶:《欧盟的规则,全球的标准?——数据跨境流动监管的“逐顶竞争”》,载《中外法学》2023年第1期。