9月28日,国家互联网信息办公室(下称“国家网信办”)起草了《规范和促进数据跨境流动规定(征求意见稿)》(下称“《征求意见稿》”),对《数据出境安全评估办法》、《个人信息出境标准合同办法》等数据出境规定进行细化,明确实际操作中的具体准则。
《征求意见稿》提出,跨境购物、跨境汇款、机票酒店预订、签证办理等必须向境外提供个人信息的情形,以及在华外企向境外提供内部员工个人信息的情形,无需数据安全评估等手续;向境外提供100万人以上个人信息的,应当申报数据出境安全评估。
《征求意见稿》对跨境服务、跨境电商等来说无疑是重大利好,业内人士称这是在为数字市场提振信心。
北京理工大学法学院教授洪延青在公众号“网安寻路人”撰文分析称,这份文件最大的亮点之处——对数据出境业务必要性判断的放松。他表示:“从事前监管,决定性地转变为事中事后监管。这一点怎么强调都不为过。”
哪些场景可纳入数据申报“白名单”?
一般情况下,个人信息处理者需向境外提供个人信息的,有三种合规手续路径可选,一是通过国家网信部门组织的安全评估,二是与境外接收方订立个人信息出境的标准合同,三是经专业机构进行个人信息保护认证。目前三种评估途径中,安全评估和标准合同已经生效。
《征求意见稿》的出台有何背景?一位数据跨境领域资深专家告诉南都记者,自从我国个人信息出境三条路径的具体合规要求基本清晰后,如何对其进行运用、其如何互相衔接就成为实务界的巨大困扰。一方面,个人信息处理体量较大的企业申报安全评估、认证等需求很大,另一方面,国家网信办处积压了大量申报请求,压力过载。“监管层和被监管层都搞得有点‘难以为继’。”
她表示,总体来看,《征求意见稿》的许多重点条款系针对外企和国企出海经营的情形,这对于国企在海外市场更好地“走出去”有重要意义。不仅有利于为数字市场提升信心,对数字经济发展而言也是重大利好。
为缓解监管层和被监管层的困境,《征求意见稿》细化了数据跨境流动规则,明确了无需申报数据“白名单”。
其中明确,国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的;符合为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的;紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息等情形之一的;不是在境内收集产生的个人信息向境外提供的,都不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
同时,未被相关部门、地区告知或者公开发布为重要数据的,数据处理者亦不需要作为重要数据申报数据出境安全评估。
在洪延青看来,上述规定明确了在三个跨境情形中,至少在数据出境安全管理这个环节中,监管部门不再事先判断数据出境的必要性,而是以向境外提供数据的一方对数据出境的必要性判断为优先。
企业的判断具有优先性无疑会提高其在跨境业务方面的自主性。《个人信息保护法》实施一周年之际,多位头部企业法务曾向南都记者透露,由于政策趋严,企业更倾向于避免数据跨境,减少合规风险;避免不了的,就“抓大放小”,优先选择影响重要业务的数据出境,减少其他出境需求。“很担心(自己)成为典型。”
数据出境的必要性判断以谁为优先?
洪延青分析指出,对于数据出境的必要性的判断,一直以来都比较棘手:在某项业务开展的过程,或者为了完成某项业务的开展,特定的字段是否需要出境,否则将会导致某项业务无法完成。“这里面既有商业判断,同时也有从履行我国法律中规定的最小必要原则的判断。”他强调,《征求意见稿》最大的亮点就是对数据出境业务必要性判断的放松。
具体来看,《征求意见稿》第五条规定,预计一年内向境外提供不满1万人个人信息的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。
第六条明确,预计一年内向境外提供1万人以上、不满100万人个人信息,与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的,可以不申报数据出境安全评估;向境外提供100万人以上个人信息的,应当申报数据出境安全评估。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。
洪延青指出,综合看上述条款,必要性判断均是企业为优先,不过也不排除监管部门的事中、事后监管。值得注意的是,100万人以上就要恢复为以监管部门的必要性判断为优先。
上述资深专家分析称,这些规定厘清了我国三种数据出境机制之间的适用关系,并且扩大了个人信息保护认证、个人信息出境标准合同之间的适用范围——凡是一年内预计不满100万人个人信息跨境的,不需要申报数据出境安全评估,签订标准合同后备案或者申请个人信息保护认证即可。
她进一步指出,可以期待之后会有更多的企业选择标准合同或认证这两条路径。个人信息保护认证作为一种能力认证和市场化的机制,不仅能够帮助企业证明其自身的合规性,也能帮助企业向市场释放其数据保护能力,或有更大的适用前景。
从实务的角度来看,“虽然《征求意见稿》对数据出境业务必要性判断有很大程度的放宽,但国家网信办接下来将如何处理此前积压的申报请求,仍是对实务界的重要指引和示范。”该资深专家补充。
自由贸易区聚焦资本、数据、技术等流动性要素,是开展数据跨境流动机制探索的重要主体。《征求意见稿》提出,自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单,报经省级网络安全和信息化委员会批准后,报国家网信部门备案。负面清单外数据出境,可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
对此资深专家表示,据她观察,此前自贸区大多倾向于放松自己区域内的数据流动政策等,也曾有过建立国际互联网专线,设置一些白名单、负面清单等尝试。此次《征求意见稿》相当于从监管侧对自贸区的数据跨境流动予以认可,或将加速自贸区外向型经济以及当地产业的发展。
洪延青分析,这意味着自贸试验区掌握了监管侧认定的必要性判断的位阶设置权限。简单而言,自贸区可以选择在某些情况下,监管的必要性判断优于企业的判断;或者在其他情况下,监管的必要性判断位于企业判断之后。与此同时,各个自贸区还要承担起个性化的制度安排所引发的决策责任。
值得一提的是,在法律效力方面,《征求意见稿》明确,《数据出境安全评估办法》、《个人信息出境标准合同办法》等相关规定与该规定不一致的,按照该规定执行。
采写:南都记者吕虹 樊文扬