查看原文
其他

数据跨境新规|如何理解和应用《规范和促进数据跨境流动规定(征求意见稿)》?

法嘉LAWPLUS
2024-09-07

以下文章来源于海问律师事务所 ,作者海问律师事务所


2023年9月28日,国家互联网信息办公室(“网信办”)发布《规范和促进数据跨境流动规定(征求意见稿)》(“《征求意见稿》”),拟对《数据出境安全评估办法》、《个人信息出境标准合同办法》等数据出境规定的适用门槛进行重大调整。

《征求意见稿》一方面强调“规范”,根据实质风险适配相应的监管手段,并贯穿事前、事中、事后阶段,保障数据出境安全有序;另一方面强调“促进”,特别是对于风险较低的场景,释放出放宽事前监管的积极信号,为企业的数据出境活动减轻了合规负担。

同时需要注意的是,《征求意见稿》的豁免主要针对出境合规机制,即申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。在出境合规机制之外,企业出境个人信息仍需履行《个人信息保护法》规定的其他合规要求,典型包括:告知个人信息主体、取得个人同意或满足其他合法性基础、开展个人信息保护影响评估(即PIA)、保障同等保护标准等。

为协助企业更好地理解与应用《征求意见稿》,我们梳理了企业判断出境合规机制的理论工具,并通过4个实践案例进一步分析新规的具体应用。


 1 

理论工具

出境合规机制的判断与选择


根据《征求意见稿》的最新规定,数据处理者(如企业)在判断数据出境活动应当采取何种出境合规机制时,可以按照“强制监管—豁免监管—自由选择”的如下顺序进行评估。


(一)强制监管的判断:如果构成特殊的主体、数据性质或数据量,则数据出境应当适用安全评估或其他强监管手段。


1. 主体性质:是否构成特殊主体?


关键信息基础设施运营者:如果构成关键信息基础设施运营者,且向境外提供个人信息、重要数据,则应依照有关法律、行政法规、部门规章规定执行,现行法要求进行数据出境安全评估。


国家机关:如果构成国家机关,且向境外提供个人信息、重要数据,则应依照有关法律、行政法规、部门规章规定执行,现行法要求进行安全评估。


2. 数据性质:是否构成特殊数据?


官方认定的重要数据:如果构成重要数据,则应进行数据出境安全评估。重要数据的认定以相关部门、地区的告知或公开发布为依据,被官方认定的重要数据才需要申报安全评估。


特定敏感信息:如果构成涉及党政军和涉密单位敏感信息、敏感个人信息,则应依照有关法律、行政法规、部门规章规定执行。


3. 数据量:是否预计一年内出境100万人个人信息?


100万人/年:预计一年内向境外提供100万人以上个人信息,则应申报数据出境安全评估。


豁免监管的判断:如果满足特定的数据类型、收集地、合法性基础或数据量,则数据出境无需采取任何出境合规机制。



1. 数据类型:是否不构成特定的数据?


不包含个人信息或重要数据:国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的,无需采取任何出境合规机制。


此外,根据《网络安全法》《数据安全法》《个人信息保护法》《数据出境安全评估办法》《个人信息出境标准合同办法》,受出境监管的数据主要为个人信息、重要数据,其他数据的出境一般不受监管,除非存在外国司法或执法等特定场景。


不属于自贸区负面清单:自由贸易试验区可自行制定本自贸区需要纳入监管范围的数据清单(“负面清单”)。对于负面清单之外的数据出境,无需采取任何出境合规机制。


2. 收集地:是否在境外收集、产生个人信息?


境外收集:不是在境内收集产生的个人信息向境外提供,则无需采取任何出境合规机制。


3. 合法性基础:是否满足特定的合法性基础?


为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息,则无需采取任何出境合规机制。


按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息,则无需采取任何出境合规机制。


紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息,则无需采取任何出境合规机制。


4. 数据量:是否预计一年内出境小于1万人个人信息?


小于1万人/年:预计一年内向境外提供不满1万人个人信息,则无需采取任何出境合规机制。我们倾向于认为,在计算1万人时,无需纳入上述已被豁免监管的个人信息。


(三)出境合规机制的自由选择:对于强制监管、豁免监管之外的数据出境,数据处理者可以自行选择合适的出境合规机制。


1. 数据量:是否预计一年内出境1~100万人个人信息?


1~100万人/年:预计一年内向境外提供1万人以上、不满100万人个人信息,数据处理者可以自行选择合适的出境合规机制,包括申报数据出境安全评估、订立个人信息出境标准合同并备案、或通过个人信息保护认证。


 2 

案例分析

《征求意见稿》的理解与应用



对于《征求意见稿》的上述规定,我们通过以下四个案例进一步分析新规的具体应用,以便企业参考。


(一)案例1:境外酒店预定场景 


案例事实概况:某酒店位于中国境外,通过官方网站及App等线上渠道,面向全球(包括中国境内)的顾客提供酒店相关服务,涉及中国境内顾客超过100万人。


1. 境外处理者是否需要采取出境合规机制?能否适用“境外收集”的豁免?


《征求意见稿》提供了“境外收集”的豁免,即,不是在境内收集产生的个人信息向境外提供,则无需采取任何出境合规机制。该豁免情形与2017年国家标准《信息安全技术 数据出境安全评估指南(征求意见稿)》中提到的如下两种情形较为相似:


(1)非在境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动或加工处理的,不属于数据出境;


(2)非在境内运营中收集和产生的个人信息和重要数据,在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据的,不属于数据出境。


在本案例中,个人信息并非前述的先入境、再出境(往往涉及境外个人的个人信息),而是由境外处理者从境外直接向境内个人收集个人信息。《个人信息保护法》并未明确位于境外但受到域外管辖的个人信息处理者是否需要采取出境合规机制,而网信部门在实践中并未排除该等适用,认为可通过境外处理者在境内设立的专门机构或指定代表执行出境合规机制。根据《征求意见稿》,该情形能否适用“境外收集”的豁免,目前尚未可知,有待网信部门予以澄清。


2. 境外酒店预定能否适用“个人合同所必需”的豁免?


《征求意见稿》中提供了基于三种特定的合法性基础的豁免,其中一种为:为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息,则无需采取任何出境合规机制。“为订立、履行个人作为一方当事人的合同所必需”这一合法性基础已被《个人信息保护法》所认可,而《征求意见稿》进一步列举的典型合同场景均属于客观必要的场景,即,不跨境传输相应的个人信息给境外服务提供方(如电商平台及境外卖家、支付平台及境外银行、境外航空公司、境外酒店、境外政府机构等),则个人无法进行跨境购物、跨境汇款、预定机票酒店、办理签证等活动。该等列举在一定程度上反映了网信办对于该合法性基础的谨慎立场。


本案例属于《征求意见稿》明确列举的酒店预订场景,境外酒店可以为订立、履行个人合同所必需而出境个人信息,无需采取任何出境合规机制。但出境个人信息的类型、处理目的、处理方式仍受制于该合法性基础以及企业的合理商业判断。


(二)案例2:跨国公司人力资源管理场景 


案例事实概况:某跨国公司的中国境内子公司统一使用全球总部的人力资源系统处理中国境内员工、求职者的个人信息,从而出境人力资源相关个人信息。


1. 出境员工个人信息能否适用“人力资源管理”的豁免?


《个人信息保护法》为人力资源管理场景提供了专门的合法性基础,《征求意见稿》也明确提出,“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的”,无需采取任何出境合规机制。相较于求职者,已经入职跨国公司的员工显然对于其个人信息出境至全球总部具备更为明确的预期,人力资源统一管理亦为跨国公司运作机制的应有之义。


《征求意见稿》为员工个人信息出境场景提供了重大利好,同时需要关注以下两方面的制约因素:


(1)程序要件:《征求意见稿》依然强调人力资源管理的依据为依法制定的劳动规章制度、依法签订的集体合同。根据《劳动合同法》,直接涉及劳动者切身利益的规章制度需要依法履行平等协商和公示程序,而集体合同需要依法履行平等协商和报送程序。


(2)必要性的限制:《征求意见稿》依然强调出境员工个人信息的必要性,可能涉及个人信息种类、处理目的、处理方式等方面,且“出境”个人信息的必要性往往比“(境内)收集”个人信息更难论证。一方面,《个人信息保护法》提出了“必要原则”、“限于实现处理目的的最小范围”、“实现处理目的所必要的最短时间”、“采取对个人权益影响最小的方式”等指导原则;另一方面,在实践中,企业应当对上述原则的具体应用享有合理的商业判断与解释空间。


2. 出境求职者个人信息能否适用“个人合同所必需”的豁免?


《征求意见稿》关于人力资源管理的豁免情形仅适用于员工,不包括求职者。公司收集、处理求职者个人信息的目的为招聘员工、订立求职者作为一方当事人的劳动合同,可以考虑能否适用“个人合同所必需”这一豁免情形,关键在于如何解释出境求职者个人信息的必要性,即是否为实现前述目的“所必需”。


如前所述,《征求意见稿》列举的典型合同场景均服务于个人的跨境业务,个人亦对因参与该等业务而出境个人信息具备明确认知。


本案例中,即使求职者应聘境内公司的职位,在某些情况下,公司如果不出境个人信息确实难以完成招聘流程,例如:对于通过业务考核的求职者,全球总部为满足监管或内控要求而需对求职者进行合规审查、背景调查,尤其对于强监管行业的从业人员;对于应聘高级职位的求职者,全球总部需要直接对其进行考核。但是,在初步遴选阶段、普通职位应聘场景,出境求职者个人信息的必要性论证则存在不确定性,有可能无法适用豁免情形。


(三)案例3:跨国公司系统回迁场景 


案例事实概况:某跨国公司的中国境内子公司出境员工、消费者、供应商联系人的个人信息。该公司现有员工约1.5万人,每年平均新入职员工约1500人。该公司每年平均出境约50万消费者的个人信息,但正在向境内回迁消费者管理系统,预计将于2023年年内完成。此外,该公司平均每年出境约100人供应商联系人的个人信息。


1. 公司能否因回迁大数量级的系统而豁免安全评估?


不同于《数据出境安全评估办法》《个人信息出境标准合同办法》中“自上年1月1日起”面向过去的视角,《征求意见稿》在计算人数时采取面向未来的视角,为数据处理者通过减少个人信息出境量而简化、豁免出境合规机制提供可行路径:预计一年内向境外提供1万人以上、不满100万人个人信息,数据处理者可以自行选择合适的出境合规机制。


回迁系统(尤其是涉及大量个人信息的系统)是降低出境量的典型方式。本案例中,公司出境个人信息的数量大部分落在消费者管理系统,如果公司能在短期内完成该系统的回迁,则可以大幅降低未来一年的出境量至远低于100万人,不会触发强制安全评估。


2. 如何计算1万人?公司能否因预计一年内出境个人信息低于1万人而豁免出境合规机制?


根据《征求意见稿》,预计一年内向境外提供不满1万人个人信息的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。问题的关键在于,如何预估一年内个人信息的出境数量。


除了系统回迁,还有如下两种计算口径可以降低出境量,但尚不明确网信部门是否认可该等计算口径。结合本案例分析如下:


(1)能否仅计算增量人员:公司每年的增量员工(即新员工)仅为1500人,未达到1万人。但与此同时,还存在1.5万现有员工,每年均可能发生信息变化或新增,如在职时间、联系方式、薪资奖金等,从而出境存量人员的增量数据。在网信部门给出明确、相反的解释之前,建议公司从谨慎出发仍需计算现有员工的个人信息出境量,从而难以将出境量下降至1万人以下而豁免出境合规机制。


(2)能否刨除已被豁免的出境信息:如果公司采用为实施人力资源管理所必需这一合法性基础,且依法制定劳动规章制度、依法签订集体合同,则出境员工个人信息无需采用任何出境合规机制。我们倾向于认为,在计算1万人时,无需纳入已被豁免监管的个人信息。此时,公司每年仅出境约100人供应商联系人的个人信息,从而无需采用任何出境合规机制。


(四)案例4:科技公司出境潜在重要数据、敏感个人信息场景 


案例事实概况:某科技公司使用境外关联公司统一部署的业务系统,上年1月1日至今出境员工敏感个人信息超过1万人,但预计未来一年内不会超过1万人;同时使用该系统处理研发数据。公司自评估认为,不排除研发数据中包含重要数据,但尚未接收到任何关于重要数据的官方通知或公告。


1. 针对潜在的重要数据出境,公司是否需要申报安全评估?


依据《数据出境安全评估办法》,出境重要数据应当申报安全评估。目前,大部分行业、领域的重要数据目录还处于空白状态,国家标准《重要数据识别规则》也尚未发布正式稿。《征求意见稿》明确规定,“未被相关部门、地区告知或者公开发布为重要数据的,不需要作为重要数据申报数据出境安全评估”。


基于此,即使公司自评估认为其出境的部分研发数据有可能构成重要数据,只要公司没有被告知其处理的数据涉及重要数据,或落入正式发布的重要数据目录范围,则无需考虑申报数据出境安全评估。


2. 公司出境敏感个人信息,是否仍可适用《征求意见稿》?


《征求意见稿》明确规定,《数据出境安全评估办法》《个人信息出境标准合同办法》等相关规定与其不一致的,应按《征求意见稿》执行。此外,《征求意见稿》第八条规定了排除其适用的特殊情形,其中包括:“向境外提供涉及党政军和涉密单位敏感信息、敏感个人信息的,依照有关法律、行政法规、部门规章规定执行”。问题在于,如何确定出境敏感个人信息的法律适用。


仅字面理解,确实可能存在如下解读,即:向境外提供敏感个人信息的,应适用有关法律法规,如《数据出境安全评估办法》《个人信息出境标准合同办法》,而不适用《征求意见稿》。但从立法意图理解,第八条强调特殊主体(国家机关、关键信息基础设施运营者)、或涉及特殊主体(党政军、涉密单位)的特殊数据(敏感信息、敏感个人信息),仅在该等特定情形下《征求意见稿》才会被排除适用。


本案例中,如果公司并非党政军和涉密单位、亦与该等单位无往来,且预计一年内出境的个人信息(无论是否为敏感个人信息)不会超过1万人,则可豁免数据出境合规机制。



杨建媛律师在数据合规领域拥有非常丰富的实战经验,想听杨律师的数据合规线上胶囊课欢迎扫码咨询法嘉小助手。




本文转载自 海问律师事务所

作者:海问律师事务所 杨建媛 邬丹 杨吕敏 魏依文


*文章仅为作者观点,未必代表法嘉LAWPLUS立场,插图来源于网络,仅作学习交流使用。如涉及侵权问题,请及时联系我们删除。



热门课程


【招生简章】卓越法务与合规精英班招生简章

【火热招募中】法务必修的争议解决实务工作坊火热招募中!

企业VIP法商内训定制服务

资质认证 | IAPP隐私保护人员认证培训

一键解锁创新药企业成功出海的密码



热门文章


国际仲裁是富人的游戏?

敬老,从理解老年心理开始

创新药成功出海的公式,你学起来了吗?


继续滑动看下一个
法嘉LAWPLUS
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存