出海实务 | 中国数据出境政策现状如何?《大湾区实施指引》系列解读(一)
团队介绍:
W&W国际法律团队,国内外一站式法律合规顾问
W&W 国际法律团队已为超过50+头部与知名互联网公司、500强企业、大中型外资企业、独角兽企业提供专业的法律合规服务和落地解决方案。为多个产品及业务线落地互联网综合合规、国内外数据合规及出海合规法律项目。特殊行业覆盖前沿科技领域,如AIGC、区块链、GPT、云计算等新兴领域、智能网联汽车与车机系统、智能制造业与物联网。涉及业务地区为国内、欧洲、北美、亚太、中东等地区。
(如有项目需求或了解代表案例,欢迎联系。)
联系方式:
邮箱:jie.wang@kindinglaw.com
TEL:+86 13650790754
文/ 王捷律师团队
引言
2023年12月31日,《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(以下简称为《大湾区实施指引》)出台,这标志着大湾区数据跨境流动路径的进一步畅通,为企业在这一地区的数据传输活动提供了更清晰的法律指引和规范。
面对日益复杂的数据跨境流动环境,为了更好地协助企业合规开展大湾区跨境数据传输业务,W&W国际法律团队特别推出了一系列文章解读《大湾区实施指引》。文章将涉及《大湾区实施指引》的立法背景、中国数据出境政策现状,以及对《大湾区实施指引》实质内容的分析等多个方面。
立法背景
2021年3月11日,十三届全国人大四次会议表决通过了关于国民经济和社会发展第十四个五年规划和2035年远景目标纲要的决议,国家「十四五」规划明确支持香港建设国际创新科技中心。
2023年6月29日,香港创新科技及工业局与国家互联网信息办公室(以下简称为“国家网信办”))在北京签署了《促进粤港澳大湾区数据跨境流动的合作备忘录》(以下简称为《合作备忘录》),《合作备忘录》是对国家「十四五」规划号召的响应,降低了大湾区内相关企业跨境数据流动的合规成本,促进内地数据在大湾区内安全有序流动。
为了进一步落实《合作备忘录》关于粤港澳大湾区(内地、香港)的数据跨境流动创新的制度安排,2023年12月31日,国家互联网信息办公室、香港特别行政区政府创新科技及工业局共同发布了《大湾区实施指引》。
中国数据出境政策现状
01
内地数据出境政策现状
我国数据治理的基本原则和制度架构的“三驾马车”
回顾我国数据保护立法历程,自2016年11月7日《中华人民共和国网络安全法》(以下简称为《网络安全法》)发布以来,之后又陆续通过了《中华人民共和国数据安全法》(以下简称为《数据安全法》)、《中华人民共和国个人信息保护法》(以下简称为《个人信息保护法》),这三部法律共同构成了我国数据保护的“三驾马车”,确立了我国数据治理的基本原则和制度架构。相关条款及其内容如下:
《网络安全法》第三十七条
“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”
《数据安全法》第三十一条
“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。”
《个人信息保护法》第三十八条第一款
个人信息出境的四条合规路径,包括“通过网信部门组织的安全评估”、“按照国家网信部门的规定经专业机构进行个人信息保护认证”、“按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务”和“法律、行政法规或者国家网信部门规定的其他条件”。
个人信息出境的配套规定
随后国家网信办陆续发布了《数据出境安全评估办法》《个人信息保护认证实施规则》《个人信息出境标准合同办法》等在出境安全评估、保护认证、标准合同方面的配套规定进一步细化了个人信息出境路径的适用条件和程序等适用要求。
从前述的三条数据(含个人信息)出境路径的性质来看,数据出境安全评估为强制性要求,即符合一定条件的数据出境必须通过国家网信部门组织的安全评估。具体规定如下:
《数据出境安全评估办法》第四条
数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
数据处理者向境外提供重要数据;
关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
国家网信部门规定的其他需要申报数据出境安全评估的情形。
未达到上述门槛的数据处理者,则不需要申报数据出境安全评估,可选择适用其他数据跨境传输机制,如标准合同或保护认证。
数据跨境流动的补充文件
为了进一步规范和促进数据依法有序自由流动,国家网信办在2023年9月28日发布了《规范和促进数据跨境流动规定(征求意见稿)》(以下简称为《数据跨境流动规定》(征求意见稿))。
《数据跨境流动(征求意见稿)》对数据出境相关规定做出了重大调整:
一、减轻了数据处理者数据出境的合规义务
《数据跨境流动规定》(征求意见稿)第一条
“国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。”
二、规定了部分情形下无需适用前面提及的三种路径
《数据跨境流动规定》(征求意见稿)第四条
“为订立、履行个人作为一方当事人的合同所必需”
“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理”
“紧急情况下为保护自然人的生命健康和财产安全”等情形下,
必须向境外提供个人信息的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
此外,《数据跨境流动(征求意见稿)》通过正面列明豁免清单以及自由贸易试验区负面清单等规定大幅降低了部分数据出境的合规成本。
2024年2月5日举行的国务院政策例行吹风会中,商务外国投资管理司司长朱冰表示:中央网信办制定了《规范和促进数据跨境流动规定》,正在研究完善、准备推动出台。
02
香港特别行政区数据出境政策现状
《个人资料(私隐)条例》
1995年,香港特别行政区参考1980年经济合作与发展组织(OECD)的《隐私保护与个人数据跨境流动准则》(Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)、欧盟GDPR的前身1995年《数据保护指令》(正式名称为《第95/46/EC号保护个人在数据处理和自动移动中权利的指令》),制定了《个人资料(私隐)条例》(以下简称为《私隐条例》)。《私隐条例》第三十三条是对资料跨境传输的专门规定。
《私隐条例》第33(2)条
除下列情况外,禁止转移个人资料至香港以外:
专员有合理理由相信转移目的地存在与本条例大体相似的法律,或与本条例目的相同的法律正在生效;
使用者有合理理由相信转移目的地有与本条例大体上相似或达致与本条例的目的相同的目的之法律正在生效;
有关的资料当事人已以书面同意该项移转;
该使用者有合理理由相信在有关个案的所有情况下 ——
(i)该项移转是为避免针对资料当事人的不利行动或减轻该等行动的影响而作出的;
(ii)获取资料当事人对该项移转的书面同意不是切实可行的;及
(iii)如获取书面同意是切实可行的,则资料当事人是会给予上述同意的;
该资料凭借《私隐条例》第八条的规定获得豁免,包括执行司法职能、个人事务、雇佣等事由;或
凡假使该资料在香港以某方式收集、持有、处理或使用,便会属违反本条例下的规定,该使用者已采取所有合理的预防措施及已作出所有应作出的努力,以确保该资料不会在该地方以该方式收集、持有、处理或使用。
《私隐条例》第三十三条经过多次修订,但如今仍未实施。
《保障个人资料:跨境资料转移指引》
为了对企业数据出境提供合规指引,推动《私隐条例》的落实,香港个人资料私隐专员公署于2014年发布《保障个人资料:跨境资料转移指引》(以下简称为《2014指引》),明确了《私隐条例》三十三条的监管情形,对三十三条所提及的个人信息跨境传输的条件做了进一步说明,同时就第三十三条适用的原则、范围和主体进行了解读。
《跨境资料转移指引:建议合约条文范本》
为了补充《2014指引》,私隐公署于2022年5月发布了《跨境资料转移指引:建议合约条文范本》(以下简称为《2022指引》)。《2022指引》专门说明了其附表中的《建议合约条文范本》,着重强调建议条文范本在个人信息跨境传输中的作用。
虽然《私隐条例》第三十三条尚未生效,但《2014指引》和《2022指引》为香港企业个人信息出境活动提供了指引,帮助企业在合规的基础上促进了个人信息的自由流动。
03
大湾区数据出境政策现状
《合作备忘录》
《合作备忘录》的出台属于政策突破,具标志性的意义,让我们可以在国家数据跨境安全管理制度下,推动内地数据在大湾区内安全有序流通的具体工作,大湾区内相关企业跨境数据流动的合规成本将可大大降低,促进区内相关跨境服务的提供,便民利商。同时,香港个人资料出境依然按照香港现行法例严格规管。
《大湾区实施指引》
《大湾区实施指引》是《合作备忘录》下有关简化粤港澳大湾区个人信息跨墇流动合规安排的便利措施,属自愿性质参与,让大湾区内地城市和香港两地的个人及机构按统一范本订立标准合同。其规范了个人信息处理者和接收方个人信息保护的权利、义务和责任,简化了事前监管和安全评估,支持数据在安全合规前提下跨境流通利用。
《网络安全标准实践指南—粤港澳大湾区个人信息保护要求(征求意见稿)》
2023年11月1日,全国信安标委发布了《网络安全标准实践指南—粤港澳大湾区个人信息保护要求(征求意见稿)》,规定了粤港澳大湾区跨境处理个人信息应遵守的基本原则和要求等,为实施粤港澳大湾区个人信息保护认证提供了认证依据,也为大湾区个人信息处理者规范个人信息跨境处理活动提供参考。
主编介绍
王 捷 律师
垦丁律师事务所合伙人、广州联合创始人、执行主任
W&W国际法律团队创始人
荣登律商联讯(LexisNexis)2023「40位40岁以下的法律精英」榜单
王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了13年+科技型公司实务经验,具备中外律所从业背景;为各类涉互联网企业提供各类综合合规支持,包括数据合规、个人信息保护、产品模式合规等,尤其擅长为企业出海产品提供各类有效的合规解决方案与落地支持。目前已为超过50+头部与知名互联网公司、500强企业、大中型外资企业、独角兽企业提供服务和产品落地解决方案;并发表了超过200多篇的实务文章与专题报告。
专攻领域:
个人信息保护与全球数据合规、企业出海合规、互联网产品及业务模式综合合规、网络安全、广告合规、知识产权攻防布局、前沿科技领域实务合规等。专精于移动互联网、智能制造业与物联网、智能网联汽车与车机系统、电子商务及平台、直播与短视频、社交网络平台、AIGC、区块链、云计算、web3.0、NFT等新兴前沿行业。
涉足国家及地区:
中国(含港澳台地区)、印度、印尼、东南亚等多国、日、韩、欧盟、美国、中东多国、南美洲、非洲。
职业资格:
持有CIPP/E(国际信息隐私专家认证/欧盟)、区块链应用操作员资格证书、数据安全师、数据合规官等资格证书,是联合国世界丝绸之路委员会专家,中国国际贸易促进委员会深圳调解中心专家调解员,广东省法学会信息通讯法学常务理事,荷兰RuG国际经济法与商法硕士。
联系方式:jie.wang@kindinglaw.com
+86 13650790754
推荐阅读:
垦丁荣誉|王捷律师荣登律商联讯2023年 “40位40岁以下的法律精英”榜单
访谈实录(中):没有什么事是做分享解决不了的,如果有,那就继续坚持
新年贺礼| 《全球数据合规2023图鉴》重磅发布 ,要做年终总结吗,我们帮你梳理好了
开辟万象,OPEN你的AI|垦丁W&W国际法律团队发布《AIGC产业发展与法律合规实务手册》(附下载)
冬至礼物 | 法律法规汇编大礼包V5.0 《个人信息保护数据合规法律汇编》
W&W国际法律团队 | 欧盟-美国隐私框架「DPF」解读全系列
W&W国际法律团队 | 印度2023数字个人数据保护法案最新要点解读