邮发代号 2-786
征订热线:010-82341063
促进数据依法有序自由流动
文 | 中国人民大学法学院博士研究生、北京大学粤港澳大湾区知识产权发展研究院研究人员 闫文光3月22日,国家互联网信息办公室发布《促进和规范数据跨境流动规定》(以下简称《规定》),对现有数据出境安全评估、个人信息出境标准合同、个人信息保护认证制度(以下简称“三类路径”)的实施和衔接作出进一步明确,促进数据依法有序自由流动。重要数据的认定一直是各界关心的重点。目前,国内对重要数据和核心数据缺乏明确、详细的界定,分类分级也存在较大模糊地带,这使得多数数据处理者无法确定自身业务是否涉及对重要数据的处理,在数据出境安全评估申报上进退两难。对此,《规定》第二条明确给出指引,即未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。这意味着重要数据有了相对明确的界定范围:以是否被相关部门、地区告知或公开发布为标准。这在一定程度上督促各地区、各部门按照《中华人民共和国数据安全法》第二十一条的规定,尽快制定重要数据具体目录,以减轻市场主体的合规成本。此外,相比于此前的《规范和促进数据跨境流动规定(征求意见稿)》(以下简称《征求意见稿》),《规定》还增加了“数据处理者应当按照相关规定识别、申报重要数据”的义务,以平衡各相关主体的义务。《规定》第三条至第六条规定了无需适用申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形(本文称为“豁免情形”),这有效衔接了《中华人民共和国个人信息保护法》第三十八条的规定。对该条规定的“法律、行政法规或者国家网信部门规定的其他条件”内容进行了补充和细化。
《规定》第三条主要体现宣示性意义。按照此前数据出境相关法规,我国数据出境监管制度只针对个人信息和重要数据(核心数据、国家秘密等另有规定),非重要数据和个人信息不在该制度体系监管之内。但从行业实践看,有些主体即使不符合安全评估、标准合同和保护认证的标准,也为了规避可能产生的风险和法律责任,会主动选择上述合规路径,这增加了企业合规成本和相关部门的工作量。该规定明确了不包含个人信息或重要数据不需要评估的路径,为市场提供了“定心丸”。《规定》第四条对过境数据的适用情形进行了规定。《规定》第五条前三款来源于个人信息保护法第十三条关于不需取得个人信息主体同意而进行处理的情形。这类情形下数据量较小、数据字段范围较为稳定、敏感程度较低,更为重要的是时效性较强,除人力资源管理外大部分需要进行境内外的实时数据交换,而三类路径都需要较大的时间成本,显然不符合要求。此外,在“知情同意”原则下,如果个人信息处理不需要经过主体同意的话,那么在数据出境中降低监管要求也是应有之义。对此三类情形的豁免明确区分了以数据跨境活动以外目的的经营活动,与以数据跨境为目的的经营活动的要求,为日常经营活动中不可避免的少量数据出境活动降低了合规成本。与《规定》第五条第四款相对应的是《征求意见稿》中的第五条,其将不需要适用三类路径的标准划定为“预计一年内向境外提供不满1万人个人信息的”,且未区分敏感个人信息。相对于《征求意见稿》,《规定》表述更加严谨科学:一方面,其区分了敏感个人信息和一般个人信息、关键信息基础设施运营者和其他数据处理者,强化了敏感个人信息和关键信息基础设施数据的保护力度,回应了《征求意见稿》公开以来各界的意见;另一方面,将个人信息数量标准由1万人提升至10万人,放宽了出境门槛。可以看出,该规定的变动改变传统“一刀切”模式,强化精准监管,聚焦风险高的敏感个人信息和关键信息基础设施数据安全,对风险较低的其他数据则强化流通。自贸区具有发展经济的特殊功能定位,应因时因地在部分行业、部分场景下采取更加便捷、高效的数据出境措施,以最大限度地满足产业发展需求,如国务院2023年先后发布《关于进一步优化外商投资环境加大吸引外商投资力度的意见》《全面对接国际高标准经贸规则推进中国(上海)自由贸易试验区高水平制度型开放总体方案》。同时,可以利用自贸区的优势与特色融入国际贸易体系及数据跨境国际规则,如《区域全面经济伙伴关系协定》《数字经济伙伴关系协定》等。基于此,《规定》第六条规定自贸区可以制定数据出境的负面清单,负面清单外的数据出境可以免予适用三类路径。该规定在实现数据跨境流动政策灵活性上有了重大突破,是“一元二级多层次多分支”的立法体制在数据跨境流动领域的实践和体现,具有鲜明的中国特色。此外,对于各界关注的自贸区是否具备相关实力来准确判断负面清单的合理性、科学性,可以从其程序性规定中找到答案:“报经省级网络安全和信息化委员会批准”。这意味着需要经过省级网信委(注意并非网信办)主任(由省委书记兼任)的批准;“报国家网信部门备案”意味着国家网信部门将对其进行审查。
值得注意的是,和《征求意见稿》相比,《规定》增加了对适用主体的限定,即“自由贸易试验区内数据处理者”,但“自由贸易试验区内数据处理者”是否必须在自贸区注册?是否可以在自贸区内设立子公司或分公司?未在自贸区注册,但数据处理活动在自贸区内是否适用?这些问题亟须进一步澄清和明确。《规定》的第七条、第八条对三类路径的触发条件进行了调整。相对于《数据出境安全评估办法》,《规定》在促进数据跨境流通方面向前迈出了较大一步,将数量标准由10万人上调至100万人,且不再要求处理100万人以上个人信息的数据处理者申报安全评估,极大降低了企业合规成本。此外,相对于《征求意见稿》,有学者认为,《规定》在促进数据跨境流通方面 “向后收回了半步”;笔者则认为,《规定》在具体条件设计上更加精细化,体现了分类分级管理的理念。《征求意见稿》将申报安全评估的条件统一确定为100万人,并未明确区分一般个人信息和敏感个人信息,也未提及重要数据,而《规定》则明确区分了关键信息基础设施运营者及其以外的数据处理者、个人信息与敏感个人信息、重要数据与一般数据等不同场景下的数据出境要求,且澄清和明确了上文所述的豁免情形优先适用。
值得注意的是,在关于个人信息出境量的计算周期上,《数据出境安全评估办法》《征求意见稿》和《规定》经历了由“聚焦历史”转向“聚焦未来”再到“聚焦阶段历史”的变化。《数据出境安全评估办法》关注的是“处理过100万人个人信息”和“自上年1月1日起”,《征求意见稿》聚焦于“预计一年内向境外提供”的数量,这一从历史到未来的变化被认为更具科学性,更能够准确评估数据出境所带来的风险。不过,《规定》根据当前的国际形势变化与对风险防控的综合考虑,采用折中的方式将计算阶段确定为“自当年1月1日起累计”,一方面与过往的历史出境量相关联,另一方面也能够反映出接下来数据出境的趋势。相较《征求意见稿》,《规定》增加了对延长数据出境安全评估结果有效期的规定,由《数据出境安全评估办法》规定的2年延长至3年。更具价值和意义的是,《规定》明确有效期届满之后数据处理者可以提出延长评估结果有效期的申请而不是重新申请评估,虽然其前提条件是“需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形”,但可以极大减轻数据处理者的合规成本,提高数据跨境流通的效率。
此次与《规定》同时发布的还有《数据出境安全评估申报指南(第二版)》《个人信息出境标准合同备案指南(第二版)》,对相关的自评估模板文件进行了优化,标准合同备案的自评估模板也大幅简化了内容要求,体现了与数据出境安全评估之间的差别。此外,本次发布的另外一大亮点是为便捷数据出境申报提供了专门的网站,提高了申报、备案程序的数字化、信息化程度,能够支持数据处理者申报数据出境安全评估和个人信息出境标准合同备案,且个人信息保护认证相关功能正在建设中,数据出境申报日益向自动化、智能化、一体化方向发展。
(来源:民主与法制时报)
分享网络安全知识 强化网络安全意识
![]()
文章来源: https://mp.weixin.qq.com/s?__biz=MzA5MzE5MDAzOA==&mid=2664211278&idx=5&sn=2e26a6f1e5646d289c1e1925cce53a52&chksm=8b59a1b7bc2e28a1c002e8765c5cec9caf7cfbb5646a37eef379cfbbc7b7d9da114e5d86a855&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh