【要点+笔记】《促进和规范数据跨境流动规定》
点关注不迷路,加星标★更好找
Follow & Favourite
☆
前言
3月22日,国家互联网信息办公室公布《促进和规范数据跨境流动规定》。《规定》对现有数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的实施和衔接作出进一步明确,适当放宽数据跨境流动条件,适度收窄数据出境安全评估范围,在保障国家数据安全的前提下,便利数据跨境流动,降低企业合规成本,充分释放数据要素价值,扩大高水平对外开放,为数字经济高质量发展提供法律保障。
以下是文件的要点总结及全文标注。
01
要点总结
一、从“规范和促进”到“促进和规范”
与2023年9月国家网信办发布的征求意见稿相比,标题上有着重大变化,由之前的“规范在前促进在后”改为了如今的“促进在前规范在后”。体现出国家在对待数据跨境流动领域的重心更加注重发展而非安全。
而在此之前,我们在对(征求意见稿) 进行分析时,就对这一政策风向进行了预判,当时说“中国之前关于数据战略的主要侧重点在于数据主权和数据安全,大多都是基于管理做出的规定,而该征求意见是从规范和促进的角度对体制机制进行了结构性的改变。”详情请见:
重磅!数据跨境规则发生结构性变化,网信办最新征求意见稿释放重大信号(点击查看原文)
在本次《促进和规范数据跨流动规定》出台前,无论是网信办还是数据局等与数据跨境流动相关的部门在对我国数据跨境流动方面的表述一直都是“规范和促进” ,预计从本次规定开始,未来数据跨境相关政策将越来越朝着促进发展方面进行结构性调整。二、在具体内容上,正式版与征求意见稿的对比表
内容类别 | 征求意见稿内容 | 最终稿内容 |
文件名称 | 《规范和促进数据跨境流动规定》 | 正式版本更名为《促进和规范数据跨境流动规定》,强调了在保障数据安全前提下的“促进”作用 |
法律依据 | 依据有关法律 | 明确依据《网络安全法》、《数据安全法》、《个人信息保护法》 |
豁免条件 | 详细列出四种免于申报评估的情形 | 细化并增加到五种免于申报评估的情形,尤其增加了境外收集数据回传境内的规定 |
数量门槛 | 以一年为时间维度设立人数阈值 | 以年度累计为基础设立人数阈值,并对不同类型数据处理者区分对待 |
程序细节 | 仅涉及一般性要求 | 明确了关键信息基础设施运营者与其他数据处理者的具体申报流程和要求,细化个人信息出境安全评估、标准合同和认证等方面的管理程序 |
法规废止衔接方式 | 简单说明与旧有规定冲突时以本规定为准 | 明确列出具体先前公布的相关规定,指明与新规定冲突时适用新规定 |
三、通过后4个月才公布
四、数据跨境流动的规定
针对数据跨境而言,可以简单概括为三类:(1)非重要数据且非个人信息的一般数据,随便出;
“征求意见稿”中规定了5种情况不需要申报。而在正式版规定中,则进一步明确免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形第三条 国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
第四条 数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
第五条 数据处理者向境外提供个人信息,符合下列条件之一的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:
第六条 自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
(2)重要数据,没被通知就不用管;
第二条 未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
(3)个人信息,具体情况具体分析。
五、没提“国家安全”不代表国家安全不重要,反而证明数据安全本身就非常重要
与征求意见稿相比,正式版规定在出台目的方面有一处重大变化:
征求意见稿首段:为保障国家数据安全,保护个人信息权益,进一步规范和促进数据依法有序自由流动,依据有关法律,对《数据出境安全评估办法》、《个人信息出境标准合同办法》等数据出境规定的施行,作出以下规定。
正式版规定第一条:为了保障数据安全,保护个人信息权益,促进数据依法有序自由流动,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,对于数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的施行,制定本规定。
六、相关文章已对该征求意见稿进行了一定程度的研判
在征求意见稿刚发布的时候,我们对其进行了精读和原文标注《重磅!数据跨境规则发生结构性变化,网信办最新征求意见稿释放重大信号》(点击查看原文),其中一开始就分析了“为响应时局的重大变化,中国数据跨境(出境)治理体制机制进行了结构性的调整。”同时指出,中国之前关于数据战略的主要侧重点在于数据主权和数据安全,大多都是基于管理做出的规定,而该征求意见是从规范和促进的角度对体制机制进行了结构性的改变。《推动“平台”向“生态”演进 布局未来全球数字经贸格局中的枢纽节点》(点击查看原文)在文章中指出数字技术领先国家致力于在市场层面建立一个开放、自由的跨境数据流动模式。《断了三年的欧美跨境数据“大动脉”终于通了,全球数据格局要变天了?》(点击查看原文)(点击查看原文)指出全球数据格局预期将在未来发生重大变化,欧美间新的数据框架的出现,他们正试图通过建立合作机制来管理数据流动,而非仅限于自身的数据主权,这种变化可能会对中国的当前数据战略产生重大影响。
早在去年七月的这篇文章(点击阅读原文《欧美数据“大动脉”重启,全球数据战争即将打响,中国不能缺席!》)就说明了这一观点。数据基础制度政策知识库
02
全文标注
促进和规范数据跨境流动规定
第一条
规定目的:
为了
保障数据安全,
保护个人信息权益,
促进数据依法有序自由流动,
根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,
对于
数据出境安全评估、
个人信息出境标准合同、
个人信息保护认证
等数据出境制度的施行,制定本规定。
具体规定:
第二条 数据处理者应当按照相关规定识别、申报重要数据。
未被相关部门、地区告知或者公开发布为重要数据的,
数据处理者不需要作为重要数据申报数据出境安全评估。
第三条 国际贸易、跨境运输、学术合作、跨国生产制造和市场营销
等活动中收集和产生的数据向境外提供,
不包含个人信息或者重要数据的,
免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
第四条 数据处理者
在境外收集和产生的个人信息传输至境内处理后向境外提供,
处理过程中没有引入境内个人信息或者重要数据的,
免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
第五条 数据处理者
向境外提供个人信息,符合下列条件之一的,
免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:
(一)为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的;
(二)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;
(三)紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;
(四)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。
前款所称向境外提供的个人信息,不包括重要数据。
第六条 自由贸易试验区在国家数据分类分级保护制度框架下,
可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),
经省级网络安全和信息化委员会批准后,
报国家网信部门、国家数据管理部门备案。
自由贸易试验区内数据处理者向境外提供负面清单外的数据,
可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
第七条 数据处理者向境外提供数据,符合下列条件之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
(一)关键信息基础设施运营者向境外提供个人信息或者重要数据;
(二)关键信息基础设施运营者以外的数据处理者向境外提供重要数据,
或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。
属于本规定第三条、第四条、第五条、第六条规定情形的,从其规定。
第八条 关键信息基础设施运营者以外的数据处理者
自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,
应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。
属于本规定第三条、第四条、第五条、第六条规定情形的,从其规定。
第九条 通过数据出境安全评估的结果有效期为3年,自评估结果出具之日起计算。
有效期届满,
需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的,数据处理者可以在有效期届满前60个工作日内
通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请。
经国家网信部门批准,可以延长评估结果有效期3年。
第十条 数据处理者向境外提供个人信息的,
应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。
第十一条 数据处理者向境外提供数据的,
应当遵守法律、法规的规定,履行数据安全保护义务,采取技术措施和其他必要措施,保障数据出境安全。
发生或者可能发生数据安全事件的,应当采取补救措施,及时向省级以上网信部门和其他有关主管部门报告。
第十二条 各地网信部门
应当加强对数据处理者数据出境活动的指导监督,健全完善数据出境安全评估制度,优化评估流程;
强化事前事中事后全链条全领域监管,
发现数据出境活动存在较大风险或者发生数据安全事件的,要求数据处理者进行整改,消除隐患;
对拒不改正或者造成严重后果的,依法追究法律责任。
冲突规定:
第十三条 2022年7月7日公布的《数据出境安全评估办法》(国家互联网信息办公室令第11号)、2023年2月22日公布的《个人信息出境标准合同办法》(国家互联网信息办公室令第13号)等相关规定与本规定不一致的,适用本规定。
第十四条 本规定自公布之日起施行。
——END——
政策关键词词库(完善中)
中央重点会议类:国务院及其它部委会议类:
考察调研及区域发展类:
政策文件类:
政治名词类:
理论与政策关键词类:
数字中国与数字经济类:
点击图片,查看更多
刘典
复旦大学中国研究院副研究员
清华大学人工智能国际治理研究院战略与宏观研究项目主任《技术经济与管理研究》总编辑主要研究领域为数字经济、数字货币、网络与数据治理,国际政治经济学等。
个人专著包括《非常法史》、《法眼看民国》、《政策沟通:国际合作引擎》;参与编著《“一带一路”大百科》《读懂“一带一路”》《破解中国经济十大难题》、《中国改革大趋势》等。
在《中国金融》、《文化纵横》、《人民论坛》等核心期刊发表十多篇研究论文,在《光明日报》、《经济日报》、《解放军报》、《北京日报》等数十家权威纸媒发表近百篇评论文章。