2023年9月28日,网信办起草了《规范和促进数据跨境流动规定(征求意见稿)》(以下简称《规定》),并向社会公开征求意见。《规定》的出台一方面是针对企业执行数据出境安全评估申报或标准合同备案中遇到的问题进行回应。另一方面是调整企业数据出境成本,提高数据出境效率,落实国务院文件《关于进一步优化外商投资环境 加大吸引外商投资力度的意见》第五条第十四项的“探索便利化的数据跨境流动安全管理机制”要求。
第一条:国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
《规定》再次强调了管理范围,表示数据跨境流动安全管理制度并非是用于限制国际贸易、学术合作、跨国生产制造和市场营销等活动,仅针对个人信息及重要数据,回应外媒不实传闻。
第二条:未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
根据现有法规,重要数据出境,须向网信办申请数据出境安全评估。实践中部分企业依据内部标准判断数据是否属于重要数据,存在内部判断数据不属于“重要数据”并出境,但事后被监管部门认定为“重要数据”的不确定性。
《规定》明确了“重要数据”的范围以监管机构发布的内容为准。解决了重要数据认定标准缺失带来的不确定性,大幅减轻企业的潜在风险。
《规定》实施后,出境个人信息数量较少、出境员工个人信息的企业将直接受益于《规定》,减轻或豁免数据出境合规压力。
1、第四条:按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
该条未对出境的员工个人信息类型、数量进行限定,只要能证明该数据的必须性,即可符合第四条的豁免条件。此前21家完成数据出境安全评估、个人信息出境标准合同备案的企业中,有1家企业申报范围为“员工管理、供应商管理”,本法规发布后将显著降低此类企业的数据出境审批压力。
但此条款仍有一定潜在问题,如:如何证明该数据的必要性、员工数据超1万条后是否需要按照《规定》第六条进行备案或认证。企业仍需关注监管部门后续发文,便于后续执行。
2、第五条:预计一年内向境外提供不满1万人个人信息的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。
第五条将便利数据出境量级较小的企业,现有法规是基于实际向境外提供数据的量级划分监管力度,《规定》中将分类方法变更为“预计一年内”向境外提供数据的量级。但“一年”期限如何确定、“一年”期限内出境数量是否包含符合第四条的员工数据,以及如果实际出境数量超过预计数量如何处理,需等待监管部门详细文件。
3、第六条:预计一年内向境外提供1万人以上、不满100万人个人信息,与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的,可以不申报数据出境安全评估;向境外提供100万人以上个人信息的,应当申报数据出境安全评估。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。
值得注意的是,出境个人信息无论是否符合《规定》第四条中的豁免条件,依旧需要取得个人信息主体的同意。
第七条:自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),报经省级网络安全和信息化委员会批准后,报国家网信部门备案。负面清单外数据出境,可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
“负面清单”机制是对数据出境机制的进一步简化,目前需等待“负面清单”详细内容的问世。
第十条:各地方网信部门应当加强对数据处理者数据出境活动的指导监督,强化事前事中事后监管,发现数据出境活动存在较大风险或者发生安全事件的,要求数据处理者进行整改消除隐患;对拒不改正或者导致严重后果的,依法责令其停止数据出境活动,保障数据安全。
《规定》明确要求各地网信部门加强监督,并首次强调需按照“事前事中事后”思路进行指导监管。
爱加密持续跟进监管动态致力于数据流动安全的防护与治理,为解决企业数据出境备案痛点,推出爱加密数据出境合规治理平台,产品遵循“事前评估、事中监测、事后留档”的治理思路,满足《规定》第十条核心要求。事前对出境资产进行合规风险评估,事中对出境行为变化进行实时监测并将风险事件纳入处置中心,事后可依据实际情况决定是否采纳治理或再次进行评估,生成报告会存档以便后期进行对比分析和整改。
可帮助企业持续有序地治理出境业务,提供出境资产管理 、出境前风险自评估 、风险治理以及持续监测等功能、从而达到规范数据出境活动,构建全流程的数据跨境流动安全治理体系,满足合规监管要求。
爱加密作为知名的移动信息安全综合服务提供商,将持续加强技术创新与研究,持续关注数据安全领域监管要求并进行解读。从法律、技术、规则等角度继续提升数据流动治理能力,帮助企业有效防范化解风险,为数字经济高质量发展保驾护航。