跨境电商、跨境服务或迎重大利好 数据跨境特别规定拟对多个场景免去安全评估

2023年09月29日 05:00   21世纪经济报道   王俊,郑雪

中秋国庆双节前重磅消息释放。9月28日,国家互联网信息办公室发布关于《规范和促进数据跨境流动规定(征求意见稿)》(以下简称《征求意见稿》),文中针对国际贸易、学术合作以及跨境购物、跨境汇款、机票酒店预订等涉及数据跨境的多个场景“放行”,符合相应情形,无需再进行安全评估、通过认证、订立标准合同。

北京理工大学法学院教授洪延青在公众号“网安寻路人”撰文分析称,《征求意见稿》最大的亮点之处在于对数据出境业务必要性判断的放松,“这一点的重要性如何强调都不为过”。

《征求意见稿》对跨境服务、跨境电商等来说无疑是重大利好,业内人士称这是在为数字市场提振信心。

重要数据认定难题或被开解

从2022年下半年到今年年初,《数据出境安全评估办法》、《个人信息跨境处理活动安全认证规范》以及《个人信息出境标准合同办法》相继发布,我国数据出境的“三条路径”逐渐清晰和明朗。不过,安全评估、认证和标准合同这三条路径如何衔接,以及实践中对三条路径模糊之处,比如对重要数据的界定等,业内一直存在疑惑。

此次发布的《征求意见稿》中对多种情形都进行了“放行”。洪延青指出,监管部门不(事先)判断数据出境的必要性,换句话说,向境外提供数据的一方,对数据出境的必要性的判断,具有了优先性。

北京师范大学法学院博士生导师、中国互联网协会研究中心副主任吴沈括分析称:第一,国际数据流动生态圈在快速地推进和形成,需要做出及时的回应。第二,数字产业和数据产业的快速发展,需要有更为敏捷、灵活和弹性的数据跨境流动机制。第三,《征求意见稿》是对目前数据跨境各项机制的系统性总结、提炼和反思。

具体来看,《征求意见稿》规定,国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

一直以来,难以准确识别重要数据是合规实践中的难点。根据2022年9月实施的《数据出境安全评估办法》,向境外提供重要数据等四种情形下的数据处理者,应当申报数据出境安全评估。

就在今年3月,南财合规科技研究院推出的《数据跨境现状调查与分析报告——基础问题与十个痛点的解决》中显示,调研中有近40%的企业对于划分重要数据“感到困难”,33%的“不确定自己是否需要申报数据跨境安全评估”,这些因素都对企业选择哪种数据出境的安全保障机制有重要影响。

“由于重要数据等数据类型识别标准模糊,漏报数据未履行合规义务,或多报数据造成资源浪费的问题都可能存在,我们在划分数据时往往感觉无从下手。”有企业反馈。

此次《征求意见稿》明确,未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。

此外,《征求意见稿》还提出,不是在境内收集产生的个人信息向境外提供,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

跨境电商迎利好

跨境服务、跨境电商难免涉及数据跨境,此次《征求意见稿》指出,为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

一家涉及跨境电商业务公司的人士告诉21世纪经济报道记者,这是期待中最好的结果,尽管相关的业务场景已经都通过了安全评估,但依旧很受鼓舞。“这提高了政策法律的可预期性,给数字市场提振信心。”

除去上述场景,还有一些常见场景也可免除走三条路径:按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的;紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的。

负面清单外数据出境更加畅通

《征求意见稿》第五条指出,预计一年内向境外提供不满1万人个人信息的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。洪延青分析,监管部门是将必要性判断的优先性,给了向境外提供数据的一方。但不排除监管部门的事中、事后的监管。

《征求意见稿》第六条提出,预计一年内向境外提供1万人以上、不满100万人个人信息,与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的,可以不申报数据出境安全评估;向境外提供100万人以上个人信息的,应当申报数据出境安全评估。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。

洪延青表示,第六条中,对“一年内向境外提供1万人以上、不满100万人个人信息”,必要性判断同样是向境外提供数据的一方优先。因为标准合同是企业双方自行签订。认证是一种能力认证,并不针对特定的数据集。所以综合来看,必要性判断均是企业为优先。但是超过100万人以上,就回到目前的路径,必要性判断为监管部门的判断为优先。

吴沈括指出,针对第五条和第六条,分了三个档次,预计一年内向境外提供不满1万人个人信息的就不需要法定手续;数量超过1万以上、100万以下的如果能够有标准合同或者认证,也不需要安全评估;100万以上的才需要评估。同时明确了必须取得当事人的同意,这个法定要件不能扣减。

此外,《征求意见稿》还设置了“政策高地”,自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),报经省级网络安全和信息化委员会批准后,报国家网信部门备案。负面清单外数据出境,可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。“这是第一次提出负面清单,对于发挥自贸区的先行先试的作用,具有基础性的制度意义。”吴沈括说道。

最后,《征求意见稿》指出,《数据出境安全评估办法》、《个人信息出境标准合同办法》等相关规定与本规定不一致的,按照本规定执行。受访专家认为,这说明了《征求意见稿》的优先级别。

关注我们