政策速递 | 数据跨境合规要求进一步明确：重要数据、个人信息出境合规问题有了新答案

FontEnd 2023-10-09 13:28:43  65433

分类专栏：资讯

2017年6月1日，《中华人民共和国网络安全法》实施，第三十七条明确提出“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。2021年9月1日，《中华人民共和国数据安全法》施行，第三十一条新增“其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定”。同年11月1日，《中华人民共和国个人信息保护法》生效，明确了个人信息出境场景下的三条合规路径。至此，以重要数据和个人信息为核心的出境监管要求正式确立。在上位法指导下，《数据出境安全评估办法》《个人信息保护认证实施细则》《个人信息出境标准合同办法》等文件接连发布，为进一步落实监管要求提供了实施指引。

近一年来，相关企业积极排查跨境业务，判别适合自身的合规路径，基于监管要求制定、落实整改方案。北京、上海、浙江、江苏等区域的企业向主管部门提交数据出境安全申报材料并完成审批，数据出境安全评估项目已陆续落地。但同时，企业在合规治理工作中也面临拟出境数据中重要数据难识别，100万以上个人信息处理者即使出境少量个人信息也需要进行出境安全评估，从而影响跨境业务效率等问题。2023年9月28日，网信办发布《规范和促进数据跨境流动规定（征求意见稿）》（以下简称《规定》），针对这些问题给予了澄清和细化。

《规定》主要内容如下：

01 再次强调，不涉及重要数据和个人信息的数据可自由出境。

《规定》第一条指出，“国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境，不包含个人信息或者重要数据的，不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。”亿赛通在为企业提供数据跨境合规咨询服务的过程中，一些开展跨境业务的企业对我国数据跨境监管目标、监管范围不甚明确，较难判定拟出境的数据中是否包含需要进行合规申报的数据，可结合《规定》中的此条内容，对拟出境数据分类分级，将重要数据和个人信息依照合规要求单独识别和保护，将不涉及重要数据和个人信息的数据放心出境。

02 进一步明确，数据出境场景中是否涉及重要数据需要由国家“相关部门或地区”认定。

《规定》第二条指出，“未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。”自数据安全法构建了重要数据保护制度以来，各类组织在数据分类分级、数据安全评估、数据出境合规管理工作中都避免不了要进行重要数据识别的工作。但是国家标准《重要数据识别规则》一直未正式发布，各行业重要数据目录的制定工作也刚刚开始，重要数据保护制度的落地面临困难。此条目针对数据出境这一重要场景，提出只有被告知或公开发布为重要数据的相关数据出境才需要进行数据出境安全评估申报，在重要数据识别规则不明朗的现阶段，可一定程度上帮助企业规避重要数据识别困难的问题。但是，仍建议相关机构审慎考量拟出境的数据范围，密切跟进行业重要数据目录等相关文件的制定进度，对“疑似重要数据”积极识别、保守出境。

03 进一步澄清，向境外提供个人信息的高效、便利化监管条件。

之前，个人信息保护法等针对向境外提供个人信息的场景，已经明确了个人信息出境安全评估、标准合同、保护认证三条合规路径。但相关企业在合规治理工作中，仍面临一些个人信息出境场景是否属于合规监管范畴的难题。《规定》针对此类问题进一步明确：

（1）向境外提供不属于在境内收集产生的个人信息，不需要走三条合规路径。一些企业在从事跨境业务中，不乏数据从境外采集过来，在境内存储一段时间后又传输到境外，或者从境外采集的数据在境内存储过程中被境外调用的场景，此条目强调，如果可证明这部分数据不属于在境内收集产生，且没有经过境内主体的处理，则无须走三条合规路径；如果在境内存储过程中经过了境内主体的处理，则要判断数据处理过程是否涉及国家核心技术等，以防止该部分数据向境外提供构成影响我国国家安全或公共利益的隐患。

（2）跨境购物等个人信息主体自主发起的个人信息出境行为、依照制度或合同实施人力资源管理工作所必须、紧急情况下需要向境外提供个人信息以保护他人生命财产安全的，不需要走三条合规路径。首先，跨境购物、跨境汇款、机票酒店预订、签证办理等，个人信息主体按照自己的意愿主动发起，或者自然人因个人或者家庭事务处理个人信息的，不适用于数据跨境监管要求。其次，跨境企业内部进行人力资源管理，依照依法制定的劳动规章制度和依法签订的集体合同进行个人信息跨境传输的，不适用于数据跨境监管要求。最后，紧急情况下为了保护个人生命健康、财产安全等利益所必须向境外提供个人信息的，不适用于数据跨境监管要求。这也是《规定》在数据跨境场景中进一步细化个人信息保护法第十三条、第七十二条的表现。

（3）预计一年内向境外提供不满1万人个人信息的，不需要走三条合规路径；预计一年内向境外提供1万人以上、不满100万人个人信息，可选择标准合同或个人信息保护认证。国家机关和关键信息基础设施运营者向境外提供个人信息的，依照有关法律、行政法规、部门规章规定执行。

按照先前文件要求，关键信息基础设施运营者和100万人以上个人信息处理者，只要向境外提供个人信息，就需要申报个人信息出境安全评估。即，这类主体即使出境一条个人信息，也需要进行相应评估和申报。数据出境安全评估相比其他两条合规路径，程序更为复杂，要求更为严格。此条规定的发布，从源头处进一步把控了数据出境安全评估的适用范围，大大降低了这类主体的数据跨境合规成本，是我国探索便利化的数据跨境流动安全管理机制的具体体现。同时，《规定》第八条明确，关基运营者向境外提供个人信息，仍按照关基保护等相关制度执行，在保障跨境流动便利机制的同时，对特殊群体的数据安全管理工作进行了兜底性约束。

（4）不适用三条合规路径的个人信息出境行为，仍需开展个人信息保护影响评估工作。

依照个人信息保护法第五十五条，向境外提供个人信息的个人信息处理者，应当事前进行个人信息保护影响评估。因此，即使不受三条合规路径的监管，将要向境外提供个人信息的个人信息处理者也应参照数据安全风险评估相关标准要求开展相应的评估工作。

04 首次提出，由自贸区自行制定“负面清单”，“负面清单”以外的数据可以自由跨境流动。

8月13日，国务院印发《关于进一步优化外商投资环境加大吸引外商投资力度的意见》提出，“试点探索形成可自由流动的一般数据清单”。此条目可理解为对这项政策的回应。在实践中，数据出境场景频繁，相比大量不危及国家安全、公共利益、个人隐私保护权益的一般数据跨境行为，受国家重点监管的数据和场景有限。因此，从制定受限场景下（即适用于三条合规路径）的数据清单为抓手，以自由贸易区为试点，探索数据自由跨境流动管理模式，是我国优化外商投资环境、高效构建数据跨境流动管理机制的又一举措。

《规范和促进数据跨境流动规定（征求意见稿）》就相关机构关心的多个数据出境场景下的安全评估、签署出境标准合同、通过个人信息保护认证的义务予以豁免，如获颁布，将大幅降低机构的数据出境合规成本，是国家探索便利化的数据跨境流动安全管理机制的重要体现。

亿赛通深入研究相关政策法规文件精神，致力于为相关机构提供数据出境合规咨询服务，通过建立出境合规管理机制、数据出境业务分析、拟出境数据分类分级、数据出境安全合规评估、出境方数据安全能力论证、数据出境合规整改、境外方数据安全能力论证、编制数据出境安全合规评估报告、出境行为和风险持续监测九个步骤，帮助相关企业落实数据出境监管要求，掌控敏感数据流向，完善数据安全体系化能力，从而最终实现数据资产的放心流转，加强关联主体间的信息共享，保障出境业务的高效流通。

网站声明：如果转载，请联系本站管理员。否则一切后果自行承担。

本文链接：https://www.xckfsq.com/news/show.html?id=27437

赞同 0

评论 0 条

政策速递 | 数据跨境合规要求进一步明确：重要数据、个人信息出境合规问题有了新答案

相关文章

关注我们