其他
个人信息保护合规系列:数据跨境流动新规解读及企业合规应对建议
2024年3月22日,中央网络安全和信息化委员会办公室(下文简称“网信办”)正式发布《促进和规范数据跨境流动规定》,同时发布《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》以指导企业落实数据出境合规义务。基于上述背景,本文将围绕新规及配套指南对数据出境合规要点及合规义务变化情况进行解读,并立足于法规指南、从实务操作角度为已通过、已进行及暂未进行数据出境安全评估申报或个人信息出境标准合同备案的企业落地或调整数据跨境合规工作提供建议与参考。我国数据跨境流动立法与监管演进自2017年《网络安全法》正式实施以来,我国的立法机构及有关政府主管部门逐步推动建立同数据出境相关的法律、法规和监管规则,形成了以《网络安全法》(下文简称“网安法”)、《数据安全法》(下文简称“数安法”)和《个人信息保护法》(下文简称“个保法”)三大法为纲领,配套办法、规定、标准和指南为补充的数据跨境传输合规监管框架。随着2021年个保法的正式生效,配合进一步制定和完善的配套办法及指南,如《数据出境安全评估办法》(下文简称“安全评估办法”)和《数据出境安全评估申报指南(第一版)》(下文简称“申报指南(第一版)”)、《个人信息出境标准合同办法》(下文简称“标准合同办法”)和《个人信息出境标准合同备案指南(第一版)》(下文简称“备案指南(第一版)”)以及《网络安全标准实践指南——个人信息跨境处理活动安全认证规范V2.0》等,我国以数据出境安全评估申报(下文简称“申报”)、个人信息出境标准合同备案(下文简称“备案”)和个人信息保护认证(下文简称“认证”)的三条数据出境合规路径逐渐清晰。在数据跨境流动合规监管的实践探索进程中,政府和行业主管部门亦在积极探求为企业减负、促进必要数据流动的可能。2024年3月22日,网信办正式发布《促进和规范数据跨境流动规定》(下文简称“新规”),对现有数据跨境合规机制予以调整,自2023年9月28日发布征求意见稿(下文简称“征求意见稿”)历时半年,正式落地施行。同日,网信办发布了《数据出境安全评估申报指南(第二版)》(下文简称“申报指南(第二版)”)和《个人信息出境标准合同备案指南(第二版)》(下文简称“备案指南(第二版)”),对数据出境三大合规路径中的申报和备案路径的操作细则亦作出相应调整。>本次新规及配套指南的出台,体现了监管部门在促进数据要素合理流动上的积极态度,标志着我国数据跨境流动监管体系的日趋成型。新规要点解析及合规路径演变新规要点解析新规对实践中企业就数据出境合规存在的部分疑点与难点作出回应并对数据出境合规路径的判定模型进行重构,在重要数据认定边界、数据出境条件、数据出境合规路径触发门槛等多方面作出了规定,细化了评估和备案及认证程序。根据新规内容,结合网信办有关负责人就新规答记者问,新规要点解析汇总如下:明确重要数据认定边界:新规第二条回应了企业数据跨境实务中的重要数据认定这一难题,明确了在未被相关部门、地区告知或者公开发布为重要数据的情况下,企业不需要进行重要数据申报数据出境安全评估。明确关键信息基础设施运营者认定边界:根据答记者问第6问,涉及的重要行业和领域的主管部门、监督管理部门负责制定本行业、本领域关键信息基础设施认定规则,组织认定本行业、本领域的关键信息基础设施,并会及时将认定结果通知关键信息基础设施运营者(下文简称“CIIO”)。明确免予执行数据出境三大合规程序的条件(详见下图一):特定数据类型的豁免:新规第三条和第四条对两类数据作出申报、备案、认证合规程序的豁免。特定场景的豁免:新规第五条对四大场景进行豁免。自由贸易试验区的豁免规则:新规第六条明确自由贸易试验区(下文简称“自贸区”)可以自行制定数据跨境流通中的负面清单,对自贸区内数据处理者向境外提供负面清单外的数据进行豁免。调整数据出境三大合规程序的适用门槛(详见下图一):新规第七条和第八条从出境数据的数量和累计周期两个维度对申报、备案或认证程序的适用门槛进行了调整。重申数据合规义务及数据安全事件处理义务(详见下图二):新规第十条提出,企业向境外提供数据当按照法律、行政法规的规定履行相关合规义务。第十一条则规定在发生或者可能发生数据安全事件的情况下,企业当采取补救措施,及时向省级以上网信部门和其他有关主管部门报告。基于对新规的解读及相关答记者问内容,普华永道建议企业可参考如下模型就新规下适用的数据出境合规路径作出判断(图一):在新规对数据出境合规路径的适用条件及其他方面进行调整的同时,申报指南(第二版)和备案指南(第二版)亦对数据出境的定义进行了进一步明晰。有关新规及相关指南的要点详解可参考如下图示(图二):数据出境合规路径演变新规在延续征求意见稿促进数据跨境流动的总体趋势的前提下,在一定程度上放宽了安全评估办法和标准合同办法提出的申报及备案合规路径的适用门槛,亦在征求意见稿的基础上对合规路径的适用门槛适当地进行了调整。下图为数据出境合规路径适用门槛的演进图示:>注:此图仅为出境个人信息数量门槛的高度概括,CIIO、重要数据出境、详细豁免条件要求等规定详见上文针对新规的出台,监管亦充分考虑企业在制度衔接过程中因发生合规义务的转变而引发疑问的可能性,并在答记者问中对制度衔接相关问题作出解答。根据新规及答记者问,新规施行前已经完成或者正在进行申报、备案的企业可参考下图采取相应的适用于新规要求的合规程序:申报与备案流程及材料要求变化申报指南(第二版)和备案指南(第二版)在新规的监管框架下就申报及备案流程、申报及备案材料提供了更为详尽的指导说明,并在申报指南(第一版)和备案指南(第一版)的基础上对部分要求进行了更新,同时以开通数据出境申报系统的方式提升了申报及备案程序的数字化程度,为企业的申报及备案工作带来便利。申报流程及材料要求变化概述根据新规和申报指南(第二版),适用申报路径的企业可按照以下申报流程以申报的方式开展数据出境活动。其中,新规第九条将通过数据出境安全评估的结果有效期从2年延长至3年;有效期届满,需要继续开展数据出境活动且未发生需要重新申报情形的企业,可在有效期届满前60个工作日内提出延长评估结果有效期申请;经国家网信部门批准,可以延长评估结果有效期3年。>依据申报指南(第二版),结合数据出境申报系统的注册及使用流程中的材料要求,下表左侧汇总了数据出境安全评估申报材料要求以及相较于第一版的材料要求变动。申报材料的主要变化为:1)提供了更新版的申报表模板,其中要求企业以业务场景为维度披露其出境数据情况;2)调整并适当简化了数据出境风险自评估报告模板结构及内容要求,细化了对出境数量的界定,并增加了证明性文件要求。下表右侧整理了第二版自评估报告在第一版的基础上就结构及内容上的变化以供参考。示例:-(小变动);X(重大变动)备案流程及材料要求变化概述根据新规和备案指南(第二版),适用备案或认证路径的企业可按照以下备案流程以备案的方式开展个人信息出境活动:>依据备案指南(第二版)及数据出境申报系统的注册及使用流程,下表左侧汇总了个人信息出境标准合同备案材料要求以及相较于第一版的材料要求变动。新版备案材料中对个人信息保护影响评估报告模板结构及内容要求进行了大幅简化。下表右侧整理了第二版影响评估报告在第一版的基础上就结构及内容上的变化以供参考。示例:-(小变动);X(重大变动)新规下企业的合规应对之策研判新规合规义务适用性,确定合规策略从短期合规角度出发:>尚未进行申报或备案的企业:1.