我国近年来对数据管理和跨境流动的规范越发重视,反映了全球化背景下数据安全与隐私保护的关键性。为促进数据依法有序自由流动,2024年3月22日出台了《促进和规范数据跨境流动规定》,标志着中国在数据治理领域迈出了重要一步。这一规定旨在平衡数据自由流动与安全保护的双重需求,确保数据跨境流动在促进经济发展的同时,不妨碍国家安全和公民隐私。它体现了对国际互联互通与本土数据治理法律框架之间的谨慎协调,同时也是对全球数据治理话语权的积极参与。在数字经济快速发展的今天,这项规定不仅对中国国内的企业和个人具有深远影响,也对全球数据治理格局产生重要作用。随着《促进和规范数据跨境流动规定》的实施,我们将见证数据管理方式的新变革,以及随之而来的国际合作与挑战。
为了保障数据安全,保护个人信息权益,促进数据依法有序自由流动,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,对于数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的施行,制定本规定。
第一条强调了在确保数据安全和个人信息保护的前提下,推动数据依法有序和自由地跨境流动,为此引入了一系列具体制度和措施。这反映了在数字时代,既要积极促进国际数据交流,又要严格控制数据安全和个人隐私保护的双重要求。
数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
这一条款强调了数据处理者在处理重要数据时需要遵守的规定,尤其是在数据跨境流动时进行安全评估的重要性,同时为非重要数据的跨境流动提供了一定的灵活性。
国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
这一条款涉及到在特定场景下数据向境外提供时的规定,为某些数据的跨境流动提供了便利,同时也凸显了对个人信息和重要数据保护的重视。
数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
这个条款提供了在特定条件下,对于境外收集后在境内处理并再次向境外提供的个人信息的一种便捷处理流程,同时确保不涉及境内个人信息或重要数据的保护。这有助于平衡数据流动的灵活性与数据安全与隐私保护的需求。
数据处理者向境外提供个人信息,符合下列条件之一的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:
(一)为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的;
(二)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;
(三)紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;
(四)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。
前款所称向境外提供的个人信息,不包括重要数据。
此条款规定了在某些特定条件下,数据处理者在向境外提供个人信息时免予进行数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情况。这些条件包括:
需要注意的是,这些情况中提及的“向境外提供的个人信息”不包括重要数据。如果涉及的是重要数据,则不适用这些例外,需要按照规定进行申报。
自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。
自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
本条规定在保障国家数据安全和个人信息保护的前提下,为自由贸易试验区提供了更加灵活的数据管理和跨境流动政策,旨在促进数据的有效流动和经济的进一步发展。
数据处理者向境外提供数据,符合下列条件之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
(一)关键信息基础设施运营者向境外提供个人信息或者重要数据;
(二)关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。
属于本规定第三条、第四条、第五条、第六条规定情形的,从其规定。
本条规定强调了数据跨境流动时的安全性和合规性,尤其是在涉及关键信息基础设施运营者或大量个人信息和敏感信息的情况下。
关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。
属于本规定第三条、第四条、第五条、第六条规定情形的,从其规定。
这条规定通过设定具体的量化标准和合规措施,针对非关键信息基础设施(非CIIO)运营者的数据处理者,明确了在特定情况下向境外提供个人信息时的合规要求。
通过数据出境安全评估的结果有效期为3年,自评估结果出具之日起计算。有效期届满,需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的,数据处理者可以在有效期届满前60个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请。经国家网信部门批准,可以延长评估结果有效期3年。
该条规定确保了数据出境安全评估结果的及时性和有效性,同时也提供了合理的程序来适应长期的数据出境需要。通过这种方式,既能保证数据的安全和合规,也能避免不必要的合规。
数据处理者向境外提供个人信息的,应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。
该条规定详细描述了在跨境数据流动,特别是在向境外提供个人信息时,数据处理者需要遵守的几项关键义务。
数据处理者向境外提供数据的,应当遵守法律、法规的规定,履行数据安全保护义务,采取技术措施和其他必要措施,保障数据出境安全。发生或者可能发生数据安全事件的,应当采取补救措施,及时向省级以上网信部门和其他有关主管部门报告。
本条规定强调了数据处理者在向境外提供数据时需要遵守的数据安全保护义务,以及在发生数据安全事件时的应对措施。
各地网信部门应当加强对数据处理者数据出境活动的指导监督,健全完善数据出境安全评估制度,优化评估流程;强化事前事中事后全链条全领域监管,发现数据出境活动存在较大风险或者发生数据安全事件的,要求数据处理者进行整改,消除隐患;对拒不改正或者造成严重后果的,依法追究法律责任。
该条规定涉及各地网信部门在数据出境活动中的监管职责和措施。
2022年7月7日公布的《数据出境安全评估办法》(国家互联网信息办公室令第11号)、2023年2月22日公布的《个人信息出境标准合同办法》(国家互联网信息办公室令第13号)等相关规定与本规定不一致的,适用本规定。
本规定自公布之日起施行。
在某些情况下,相关的法律规定的实施可能会有一个过渡期,但本规定没有过渡期,也就意味着本规定从公布(发布)的当天,即2024年3月22日,就开始正式生效。
