揭秘数据新规:如何影响全球数据跨境流动?
点击上方【蓝字】关注我们
近期,国家互联网信息办公室发布了《规范和促进数据跨境流动规定(征求意见稿)》(以下简称《规定》),并向社会公开征求意见。这一《规定》对《数据出境安全评估办法》、《个人信息出境标准合同办法》等数据出境相关法规进行了进一步细化和明确,旨在强化跨境数据流动监管,保护个人信息和国家安全,同时促进数据合理流动和利用。
数据被誉为"21 世纪的石油",已成为社会各界广泛关注的热点议题。新发布的《规定》共包含十一条条款,对数据跨境监管政策进行了重大调整,旨在确保数据有序跨境流动,同时降低企业合规负担。根据条款内容的不同,可以将《规定》划分为以下四个部分。
四种“豁免”数据
通常情况下,数据出境流动需完成三项前置环节,包括申报数据出境安全评估、订立个人信息出境标准合同和通过个人信息保护认证。然而,《规定》前四条以“豁免清单”的形式明确了四种无需遵循这些流程的数据类型:
1. 国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或重要数据;
2. 未被相关部门、地区告知或公开发布为重要数据;
3. 不是在境内收集产生的个人信息向境外提供;
4. 符合以下情形之一:
(1)为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息;
(2)按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息;
(3)紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息。
上述数据类型在出境流动时无需遵循出境前置程序。然而,未列入这四种类型的数据,在跨境流动时仍需完成出境前的三项前置程序。通过“豁免清单”对数据进行类型化规范,全面且科学地涵盖各类出境流动数据类型,有助于解决企业关于数据出境行为是否需审批的困惑。
两种“半豁免”数据
《规定》的第五、六条延续了前四条的精神,针对满足特定条件的数据制定了“豁免”管理的规定。然而,这两条所涉及的数据类型并未完全免除三项数据出境前置程序,而是根据以下不同情况实行“半豁免”:
1. 一年内向境外提供的个人信息数量不足 1 万人的数据处理者,无需进行数据出境安全评估、签订个人信息出境标准合同或获得个人信息保护认证。但在基于个人同意向境外提供个人信息的情况下,数据处理者仍需获得个人信息主体的同意。
2. 预测一年内向境外提供 1 万人以上但不超过 100 万人个人信息的数据处理者,只需在与境外接收方签订个人信息出境标准合同并向省级网信部门备案或通过个人信息保护认证的情况下,即可免于申报数据出境安全评估。而向境外提供 100 万人以上个人信息的数据处理者,则需申报数据出境安全评估。但无论哪种情况,基于个人同意向境外提供个人信息时,数据处理者都必须获得个人信息主体的同意。
总的来说,这两项豁免规定从“量”的角度对数据进行类型化,以向境外提供个人信息数据的数量为标准,赋予其对前置程序不同程度的“豁免”。这一做法与现有法律法规保持一致。
四类主体
《规定》的第七至九条明确了四类不同主体在数据跨境流动方面的具体要求。
首先,自由贸易试验区有权自行制定数据“负面清单”,并在完成后报经省级网络安全和信息化委员会批准,同时备案于国家网信部门。该“负面清单”指的是自贸区认为需要出境的数据,需完成出境前置程序,包括申报数据出境安全评估、签订个人信息出境标准合同、通过个人信息保护认证。除此之外的数据,可享受管理的“全豁免”。
其次,国家机关和关键信息基础设施运营者在传输个人信息和重要数据时,特别是涉及“敏感信息”和“敏感个人信息”的情况,必须遵守相关法律、行政法规和部门规章。
第三,数据处理者在遵守法律法规的基础上,向境外传输关键数据和个人信息时,还需负责数据安全保护。若发生数据出境安全事件或发现风险上升,应采取相应措施并尽快报告相关部门。
最后,地方网信部门需加强对数据处理者数据出境活动的指导和监督。发现风险或安全事件时,应要求数据处理者整改。对于拒不改正或导致严重后果的情况,依法责令停止数据出境活动,确保数据安全。
《规定》还明确了当《数据出境安全评估办法》、《个人信息出境标准合同办法》等相关规定与本规定不一致时,应以本规定为准,明确了其在数据出境流动领域的法律地位与效力。
总结
随着数据作为社会生产要素地位的不断提升,其出境流动已是不可避免的发展趋势,因而对其进一步明确与细化的治理也逐渐提上日程。毫无疑问,本次公布的《规定》从数据客体、主体两方面出发,提供了一个清晰的监管框架。在数据个体方面,《规定》以“申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”为出境前置程序,通过“豁免清单”的形式较为全面地囊括剩下需要受到监管的出境数据类型。在数据主体方面,《规定》单列了四类主体,其中的对自贸区的规定为一大亮点。赋予其制定本区“负面清单”的权利,建立了自贸区先试先行的数据跨境流通专有通道。
目前,对《规定》的意见反馈时间已截止。《规定》正式出台后数据出境流动的发展新态势也值得我们的期待。
附件:
--文章内容来源于网络,侵删致歉。
往期推荐
点个 在看 你最好看