- 娄鹤:数据跨境“2.0时代”问答
- 作者: 日期:2024-04-15
一、 背景介绍
2024年3月22日,国家互联网办公室公布了《促进和规范数据跨境流动规定》(下称“数据跨境新政”),意味着长达6个月的征求意见工作终于完成。此外,《数据出境评估办法》(第二版)和《个人信息出境标准合同办法》(第二版)也同步实施,意味着数据跨境正式进入了“2.0时代”。
二、 重点归纳
数据跨境新政,总体可以归纳为:
1个核心目标:适当放宽数据跨境流动。
2类管控方法:设置义务豁免场景、管控出境数据总量。
3条数据基线:一般个人信息(10万和100万)、敏感个人信息(1万)。
4种合规路径:数据安全评估、标准合同备案、个人信息保护认证、豁免。
5类豁免场景:即履行合同必要、跨境人力资源管理、保护生命健康和财产安全、过境数据、自由贸易区负面清单。
三、 1个核心目标
此次出台数据跨境新政的主要目标,是适当放宽数据跨境流动条件,适度收窄数据出境安全评估范围,便利数据跨境流动,降低企业合规成本。
这是监管机构在结合之前数据跨境的实践经验,和社会各界反馈意见的基础上,对数据跨境政策作出的重大调整。
四、 2类管控方法
如何实现在保障国家数据安全的前提下,做到既能促进数据流动,又能规范、有序流动呢?新政采用了两种主要方法:
方法1. 新设置了一些准许豁免合规义务的场景和条件(详见下文第七条),即在满足条件的情况下,企业可以免予申报数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证。
方法2.控制出境数据的总量,根据不同数量级别,对应不同的合规义务(详见下文第五条),从而实现风险与义务的相匹配。
五、 3条数据基线
基线1:100万(一般个人信息)。即,当关键信息基础设施运营者以外的数据处理者,自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息),应进行数据安全评估。
基线2:10万(一般个人信息)。即,当关键信息基础设施运营者以外的数据处理者,自当年1月1日起累计向境外提供10万人以上个人信息、不满100万人个人信息(不含敏感个人信息),应订立个人信息出境标准合同,或通过个人信息保护认证。
如不足10万条个人信息的(不含敏感个人信息),可以豁免相关的合规义务。
基线3:1万(敏感个人信息)。即,当关键信息基础设施运营者以外的数据处理者,自当年1月1日起累计向境外提供1万人以上敏感个人信息,应进行数据安全评估。
如不足1万条敏感个人信息,应订立个人信息出境标准合同,或通过个人信息保护认证。
在具体适用时候,要特别注意交叉的情形,即:
1. 主体是否是关键信息基础设施运营者(规则另行适用);
2. 是否包含重要数据(规则另行适用);
3. 一般个人信息,还是敏感个人信息。
六、 4种合规路径
路径1,申报数据出境安全评估。数据处理者申报数据出境安全评估,应当通过所在地省级网信办向国家网信办申报数据出境安全评估。省级网信办收到数据处理者提交申报材料之日起5个工作日内完成申报材料的完备性查验,并向数据处理者告知查验结果。国家网信办自收到省级网信办提交的申报材料之日起7个工作日内,确定是否受理并书面通知数据处理者。
路径2,订立个人信息出境标准合同。个人信息处理者应当在标准合同生效之日起10个工作日内,通过数据出境申报系统备案。省级网信办应当自个人信息处理者提交备案材料之日起15个工作日内完成材料查验,并向符合备案要求的个人信息处理者发放备案编号。需要补充完善材料的,个人信息处理者应当在10个工作日内提交补充完善材料;逾期未补充完善材料的,可以终止本次备案程序。
路径3,通过个人信息保护认证。目前个人信息保护认证为GB/T 35273-2020《信息安全技术 个人信息安全规范》,对于开展跨境处理活动的个人信息处理者,还应当符合TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求。需要注意的是该证书分为两类,一类是含有PIP标准的证书,另一类是含有PIP CB标志的证书(数据跨境)。
(跨境标志)
路径4,豁免。明确免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件。为5+1的方式,在“2个场景”章节中有描述,但需要注意的是,向境外传输个人信息的,哪怕处于豁免情形下,也需要基于明确单独同意和进行个人信息保护影响评估。(数据跨境新政第十条:数据处理者向境外提供个人信息的,应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。)
七、 5种豁免场景
满足下列情形的数据出境,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:
一是在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的。
二是为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的。
三是按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的。
四是紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的。
五是自由贸易试验区内数据处理者向境外提供负面清单外的数据。
需要注意:
1. 如关键信息基础设施运营者以外的数据处理者,出境数据量不足10万条一般个人信息的,也可以享受豁免待遇,但这是从数量上进行的规范,不属于场景豁免。
2. 此处省略了不包含个人信息或者重要数据的跨境数据传输。
八、 问题答疑
1、 何为一般个人信息,何为敏感个人信息,参考标准是什么?
答:一般个人信息是指以电子或其他方式记录的能够单独或与其他信息结合识别自然人身份的各种信息,如姓名、出生日期、身份证号、个人账号信息、住址、电话号码、指纹、虹膜等。敏感个人信息是指指一旦泄露、披露或滥用可能危害人身和财产安全、损害个人名誉和身心健康、导致歧视性待遇等的个人信息。通常情况下,身份证号、银行卡号、健康记录、生物识别等属于个人敏感信息。参考标准为GB/T 35273-2020《信息安全技术 个人信息安全规范》个人信息分类指南。
2、 何为关键基础设施,参考标准是什么?
答:关键基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。参考标准为《关键基础设施识别指南》。
3、 何为重要数据,参考标准是什么?
答:重要数据是指以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。(注:重要数据不包括国家秘密和个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。)参考标准为《信息安全技术 重要数据识别指南》。
4、 关于个人敏感信息数量的申报标准是什么?
答:个人敏感信息的申报标准为三种,一是1万以下需要订立个人信息出境标准合同(哪怕只出境1条);二是1万以上申报数据出境安全评估;三是5类豁免场景不需要进行申报。
5、 关于5类豁免场景的定义是什么?如何确定自身属于这些场景。
答:关于5类场景的认定可以给一些简单参考,更多情形确认建议咨询律师,或网信部门。
一是在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的。
(此类较好认定,为过境数据,境外采集后向境外提供,在境内处理时没有混杂境内的个人信息和重要数据。需要注意的是境内的个人信息和包括非大陆国籍的自然人。)
二是为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的。
(此类较难认定,具体场景比较复杂,建议咨询专业律师。如跨境购物认定,是指实现跨境购物这个动作,自然人知悉提供的信息被传输至境外,而非会员信息同步)。
三是按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的。
(此类较难认定,正式稿中新增了“跨境”和“确需”的表述,建议咨询专业律师。跨国企业的一般境内员工信息,是否“确需”跨境管理?)
四是紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的。
(此类需要根据实际情形认定)。
五是自由贸易试验区内数据处理者向境外提供负面清单外的数据。
(需要结合自贸区各自公布的数据清单认定)
6、 数据跨境新政和征求意见稿相比,有哪些主要变化?
答:一是明确了个人敏感信息的数量要求,以1万条敏感个人信息作为控制项。
二是放宽了一般个人信息的出境数量,需要订立个人信息标准合同的数量从1万人直接提升为10万人。
三是明确了当豁免场景与数据出境总量发生重合时,应优先适用义务豁免条款。
7、 现在数据跨境“2.0时代”正式落地,企业该如何满足合规。
一是对需要跨境的业务场景进行梳理,确定自身跨境的数据类型(重要数据,一般个人信息,敏感个人信息)和数量,明确是否需要申报,以及报何种路径。
二是对业务所使用的信息系统进行安全评估和整改,采用《信息安全技术 网络安全等级保护实施指南》和ISO/IEC 27001《信息技术 安全技术 信息安全管理体系要求》是比较好的办法。
三是如何有个人信息和个人敏感信息,可以参考ISO/IEC 27701《个人信息管理体系要求》以及GB/T 35273-2020《信息安全技术 个人信息安全规范》经过安全评估和建设。
四是涉及到个人信息豁免的场景,也要做好个人信息跨境的单独同意和个人信息保护影响评估。可以参考GB/T 39335—2020《信息安全技术 个人信息安全影响评估指南》,并留存个人信息保护影响评估报告。
作者简介
娄鹤
德和衡(上海)律师所高级联席合伙人
娄鹤,CISO(注册信息安全专业人员),CDPSE(注册隐私保护工程师),中国国际商会(ICC)数字经济委员会委员,上海市科技创业导师。
娄鹤律师在信息安全、数据及隐私保护等领域拥有丰富经验,对境内外法律及监管均有深入研究。娄律师曾为一批金融企业、上市公司及知名互联网客户提供了网络安全咨询、GDPR咨询、APP合规治理等一系列法律服务。其服务的客户领域除金融、房地产、医药等传统领域外,还覆盖了电商、云平台、网络安全、大数据、无人驾驶、社交、在线教育、手游等新兴行业。
手机:13816316298
邮箱:louhe@deheheng.com