.png)
.png)
.png)
.png)
作者:劳嘉馨
2023年十一前夕,国家互联网信息办公室发布《规范和促进数据跨境流动规定(征求意见稿)》(以下简称“《征求意见稿》”),对数据跨境合规要求进行了重大调整,引起行业内轩然大波。时隔近6个月,《促进和规范数据跨境流动规定》(以下简称“《规定》”)终于落地。本文主要包括两个板块,主要介绍《规定》的主要内容以及指导企业选择正确的合规路径。
一、《促进和规范数据跨境流动规定》主要内容
(一) 明确重要数据出境安全评估申报标准
《规定》第二条明确提出,数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。该条款意味着,相关数据如未被相关部门、地区告知或者公开发布为重要数据,则不需要按照重要数据进行数据出境安全评估的申报。
(二) 应申报数据出境安全评估的数据出境活动条件
《规定》第七条明确规定了应申报数据出境安全评估的数据出境活动条件,具体为:
1. 关键信息基础设施运营者向境外提供个人信息或者重要数据;
2. 向境外提供重要数据;
3. 自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息);
4. 自当年1月1日起累计向境外提供1万人以上敏感个人信息。
(三) 应订立个人信息出境标准合同或者通过个人信息保护认证的数据出境活动条件
《规定》第八条明确规定了应订立个人信息出境标准合同或者通过个人信息保护认证的数据出境活动条件,具体为:
1. 自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息);
2. 自当年1月1日起累计向境外提供不满1万人敏感个人信息的。
(四) 免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件
《规定》第三条、第四条、第五条、第六条明确规定了免予订立个人信息出境标准合同或者通过个人信息保护认证的数据出境活动条件,具体为:
1. 向境外提供的数据不包含个人信息或者重要数据的;
2. 在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的;
3. 为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的;
4. 按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;
5. 紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;
6. 自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的;
7. 自由贸易试验区内数据处理者向境外提供负面清单外的数据。
(五) 自由贸易试验区负面清单制度
《规定》第六条赋予了自由贸易试验区制定负面清单的权利。具体为,自由贸易试验区在国家数据分类分级保护制度框架下,可自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称“负面清单”),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
目前上海地区已出台《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》,将跨境数据分级从高到低依次分为核心数据、重要数据、一般数据3个级别,核心数据禁止跨境,重要数据形成重要数据目录,一般数据形成一般数据清单。数据处理者对在一般数据清单内的数据,可向临港新片区管委会申请登记备案,并在满足相关管理要求下自由流动。
建议企业持续关注自由贸易试验区相关的政策更新。
二、 数据跨境合规路径
考虑到《规定》内容较多,我们特绘制了数据跨境路径图,供企业参考理解,选择适合自身的跨境合规路径。
三、结 语
功承瀛泰数据合规业务委员会在数据跨境合规领域拥有丰富的经验,曾协助多家跨国企业开展出境安全评估以及个人信息出境标准合同备案相关的工作。如果贵司在数据跨境合规方面有相关业务需求,我们将竭诚为您提供专业服务。欢迎随时与我们联系,我们期待与您合作。
