May 2024
國家互聯網信息辦公室公布《促進和規範數據跨境流動規定》(中國大陸)
2024.05
姜麗慧、黃郁婷
為了保障數據安全,保護個人信息權益,促進數據依法有序自由流動,國家互聯網信息辦公室於2024年3月22日公布《促進和規範數據跨境流動規定》(以下簡稱《規定》),自公布之日起施行。其共有14條,主要內容如下[1]:
一、明確重要數據出境安全評估申報標準
《規定》指明,數據處理者應當按照相關規定識別、申報重要數據。未被相關部門、地區告知或者公開發布為重要數據的,數據處理者不需要作為重要數據申報數據出境安全評估。所謂"重要數據",依據《數據出境安全評估辦法》,是指一旦遭到篡改、破壞、洩漏或者非法獲取、非法利用等,可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據。
二、規定了部分情形適用豁免
此次《規定》還引入了一些適用"豁免"的情形,即在特定條件下免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。相關適用條件主要包括:一是國際貿易、跨境運輸、學術合作、跨國生產製造和市場營銷等活動中的向境外提供不包含個人信息或者重要數據的;再者是"來數加工",即在境外收集和產生的個人信息傳輸至境內處理後向境外提供,處理過程中沒有引入境內個人信息或者重要數據的;還有就是向境外提供個人信息是為訂立或履行合同的,涉及人力資源管理的,緊急情况下為保護自然人的生命健康和財產安全,以及非關鍵信息基礎設施運營者提供累計不滿10萬人的非敏感個人信息的。
三、設立自由貿易試驗區負面清單制度
《規定》第六條指明,自由貿易試驗區在國家數據分類分級保護制度框架下,可以自行制定區內需要納入數據出境安全評估、個人信息出境標準合同、個人信息保護認證管理範圍的數據清單,即負面清單;向境外提供非負面清單數據的,可適用豁免。
然而在實踐中,有的地方在《規定》出臺前就已經開始了相關的探索。如上海自由貿易試驗區臨港新片區管理委員會於2024年2月8日便印發了《中國(上海)自由貿易試驗區臨港新片區數據跨境流動分類分級管理辦法(試行)》[2]。
四、細化數據出境安全評估和個人信息出境標準合同及認證制度[3]
《規定》明確了應當通過相關部門申報數據出境安全評估的條件:關鍵信息基礎設施運營者向境外提供個人信息或者重要數據的;非關鍵信息基礎設施運營者當年度1月1日起累計向境外提供100萬人以上非敏感個人信息的,或1萬人以上敏感個人信息的。
此外,非關鍵信息基礎設施運營者自當年1月1日起累計向境外提供10萬人以上、不滿100萬人非敏感個人信息或者不滿1萬人敏感個人信息的,應當依法與境外接收方訂立個人信息出境標準合同或者通過個人信息保護認證。
五、延長數據出境安全評估結果有效期
《規定》第九條將安全評估結果的有效期從以前規定的2年延長為3年,並且新增有效期屆滿,需要繼續開展數據出境活動的,可以在有效期屆滿前60個工作日內提出延長評估結果有效期申請。但需注意,申請延長有效期是以未發生需要重新申報數據出境安全評估情形為前提的。
最後值得一提的是,如果《規定》與此前公布的《數據出境安全評估辦法》和《個人信息出境標準合同辦法》等相關規定存在不一致的情形的,適用《規定》。
[1] 中華人民共和國國家互聯網信息辦公室:《促進和規範數據跨境流動規定》答記者問https://www.cac.gov.cn/2024-03/22/c_1712776611649184.htm
[2] 關於印發《中國(上海)自由貿易試驗區臨港新片區數據跨境流動分類分級管理辦法(試行)》的通知 : https://www.lingang.gov.cn/html/website/lg/index/government/file/1756018881550389249.html
[3] 中華人民共和國國家互聯網信息辦公室:專家解讀|促進和規範數據跨境流動的重要規定https://www.cac.gov.cn/2024-03/22/c_1712776625820516.htm
姜麗慧、黃郁婷
為了保障數據安全,保護個人信息權益,促進數據依法有序自由流動,國家互聯網信息辦公室於2024年3月22日公布《促進和規範數據跨境流動規定》(以下簡稱《規定》),自公布之日起施行。其共有14條,主要內容如下[1]:
一、明確重要數據出境安全評估申報標準
《規定》指明,數據處理者應當按照相關規定識別、申報重要數據。未被相關部門、地區告知或者公開發布為重要數據的,數據處理者不需要作為重要數據申報數據出境安全評估。所謂"重要數據",依據《數據出境安全評估辦法》,是指一旦遭到篡改、破壞、洩漏或者非法獲取、非法利用等,可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據。
二、規定了部分情形適用豁免
此次《規定》還引入了一些適用"豁免"的情形,即在特定條件下免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。相關適用條件主要包括:一是國際貿易、跨境運輸、學術合作、跨國生產製造和市場營銷等活動中的向境外提供不包含個人信息或者重要數據的;再者是"來數加工",即在境外收集和產生的個人信息傳輸至境內處理後向境外提供,處理過程中沒有引入境內個人信息或者重要數據的;還有就是向境外提供個人信息是為訂立或履行合同的,涉及人力資源管理的,緊急情况下為保護自然人的生命健康和財產安全,以及非關鍵信息基礎設施運營者提供累計不滿10萬人的非敏感個人信息的。
三、設立自由貿易試驗區負面清單制度
《規定》第六條指明,自由貿易試驗區在國家數據分類分級保護制度框架下,可以自行制定區內需要納入數據出境安全評估、個人信息出境標準合同、個人信息保護認證管理範圍的數據清單,即負面清單;向境外提供非負面清單數據的,可適用豁免。
然而在實踐中,有的地方在《規定》出臺前就已經開始了相關的探索。如上海自由貿易試驗區臨港新片區管理委員會於2024年2月8日便印發了《中國(上海)自由貿易試驗區臨港新片區數據跨境流動分類分級管理辦法(試行)》[2]。
四、細化數據出境安全評估和個人信息出境標準合同及認證制度[3]
《規定》明確了應當通過相關部門申報數據出境安全評估的條件:關鍵信息基礎設施運營者向境外提供個人信息或者重要數據的;非關鍵信息基礎設施運營者當年度1月1日起累計向境外提供100萬人以上非敏感個人信息的,或1萬人以上敏感個人信息的。
此外,非關鍵信息基礎設施運營者自當年1月1日起累計向境外提供10萬人以上、不滿100萬人非敏感個人信息或者不滿1萬人敏感個人信息的,應當依法與境外接收方訂立個人信息出境標準合同或者通過個人信息保護認證。
五、延長數據出境安全評估結果有效期
《規定》第九條將安全評估結果的有效期從以前規定的2年延長為3年,並且新增有效期屆滿,需要繼續開展數據出境活動的,可以在有效期屆滿前60個工作日內提出延長評估結果有效期申請。但需注意,申請延長有效期是以未發生需要重新申報數據出境安全評估情形為前提的。
最後值得一提的是,如果《規定》與此前公布的《數據出境安全評估辦法》和《個人信息出境標準合同辦法》等相關規定存在不一致的情形的,適用《規定》。
[1] 中華人民共和國國家互聯網信息辦公室:《促進和規範數據跨境流動規定》答記者問https://www.cac.gov.cn/2024-03/22/c_1712776611649184.htm
[2] 關於印發《中國(上海)自由貿易試驗區臨港新片區數據跨境流動分類分級管理辦法(試行)》的通知 : https://www.lingang.gov.cn/html/website/lg/index/government/file/1756018881550389249.html
[3] 中華人民共和國國家互聯網信息辦公室:專家解讀|促進和規範數據跨境流動的重要規定https://www.cac.gov.cn/2024-03/22/c_1712776625820516.htm
