·丁学明注意到,这次征求意见稿有一个特别的地方——一般征求意见稿出来后至少需要一个月的意见征求时间,但这次只有15天,到10月15日截止。
“《规范和促进数据跨境流动规定(征求意见稿)》(下称“征求意见稿”)出台后,有的法律专家解读说这是把以前的标准更加细化了,但其实在我看来基本上是重构了一遍。”10月8日,兰迪律师事务所高级合伙人、兰迪数字经济团队牵头人丁学明在数据要素产业化系列论坛第一期“数据治理论坛”上分享道。
9月28日,国家互联网信息办公室发布消息称,为保障国家数据安全,保护个人信息权益,进一步规范和促进数据依法有序自由流动,依据有关法律,该办起草了《规范和促进数据跨境流动规定(征求意见稿)》(下称“征求意见稿”),向社会公开征求意见。
此前的数据跨境流动监管是什么样?出现哪些难点?这次的11条规定又会带来什么转变?丁学明逐一进行了解读。
“企业数据出境申报通过率为1%”
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
丁学明认为,《个人信息保护法》第三十八条架构了3条个人信息出境的路径,第一是企业取得个人信息保护认证,第二是向中央网信办(中共中央网络安全和信息化委员会办公室)申请评估。第三是在签立标准合同之后,在地方网信办备案。
数据出境合规路径。
怎么理解数据出境?丁学明分为两个层次解释:第一,是将境内运营中收集和产生的个人信息传输、存储至境外;第二,境外的机构、组织或个人可以查询、调取、下载、导出境内存储的数据。常见的数据出境场景包括,跨国公司的人力资源系统及客户信息集中管理。“有一个数据,截至去年8月,中国大概有超过70万家外企都满足这个场景。”丁学明说。
为什么这么难?
丁学明认为,首先在于数据出境的场景识别较难,即使《数据出境安全评估申报指南(第一版)》罗列了数据跨境的两类情形:传输(包括存储)与访问(包括查询、调取、下载、导出),但这两类数据出境场景在企业实务中可能表现为多种具体的场景,如境内主体使用服务器位于海外的信息系统上载或存储数据等;其次是合规路径的选择难,包括重要数据识别和出境数据量的判断;第三,申报主体选择难,比如在中国境内有多家实体的外企如何选择申报主体,在境内无实体的外企如何进行申报。
除此之外,一个重要的问题也在于,公司层面与监管层面对于数据出境合法性、正当性和必要性的论述思路上有鸿沟,比如基于人力资源管理场景进行数据出境是否满足“必要性”,仅因系统部署在境外导致数据出境是否满足“必要性”等。
《规范和促进数据跨境流动规定(征求意见稿)》逐条解读
丁学明对征求意见稿包含的11条新规逐条进行了解读。
一、国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
“这条没有特殊的新增信息量。”丁学明说。
《数据出境安全评估办法》规定,重要数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。不过在实践中,对于行业里具体哪些数据属于重要数据的判断实际并不明晰。“而这一条对企业在判断出境数据是否属于‘重要数据’的难点上做出了明确导向。”丁学明认为。
三、不是在境内收集产生的个人信息向境外提供,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
“以前很多企业在境内有业务,但在境内没实体,比如香港的保险公司,在境内登录网站就可以买保险,但是它在境内没有实体。之前它们要么需要在境内注册一个实体,要么再找一个代理人,现在不需要了。”丁学明认为,这一条对于非“境内收集”个人信息是否需要满足3条合规路径之一进行了明确。
四、符合以下情形之一的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:
(一)为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的;
(二)按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的;
(三)紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的。
“这一条有利于减轻跨境公司数据出境合规压力。”丁学明说。
五、预计一年内向境外提供不满1万人个人信息的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。
“之前我们还区分敏感个人信息和不敏感个人信息,现在只要不超过1万条就不需要申报。这一条也有利于减轻跨境公司数据出境合规压力。”丁学明说。
六、预计一年内向境外提供1万人以上、不满100万人个人信息,与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的,可以不申报数据出境安全评估;向境外提供100万人以上个人信息的,应当申报数据出境安全评估。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。
“这一条有利于减轻即使为‘100万人个人信息处理者’但出境数据量较少的企业合规压力。”丁学明说。
七、自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),报经省级网络安全和信息化委员会批准后,报国家网信部门备案。负面清单外数据出境,可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
丁学明认为,这一条明确了自由贸易试验区可制定“负面清单”,有利于数据跨境流动。”
八、国家机关和关键信息基础设施运营者向境外提供个人信息和重要数据的,依照有关法律、行政法规、部门规章规定执行。向境外提供涉及党政军和涉密单位敏感信息、敏感个人信息的,依照有关法律、行政法规、部门规章规定执行。
“该条款基于国家安全以及社会公共利益的考虑。”丁学明说。
九、数据处理者向境外提供重要数据和个人信息,应当遵守法律、行政法规的规定,履行数据安全保护义务,保障数据出境安全;发生数据出境安全事件或者发现数据出境安全风险增大的,应当采取补救措施,及时向网信部门报告。
“该条款仍明确了数据安全保障义务。”丁学明说。
十、各地方网信部门应当加强对数据处理者数据出境活动的指导监督,强化事前事中事后监管,发现数据出境活动存在较大风险或者发生安全事件的,要求数据处理者进行整改消除隐患;对拒不改正或者导致严重后果的,依法责令其停止数据出境活动,保障数据安全。
“这一条跟之前相比完全改变了。之前到了一定规模以上的企业,如果申报评估不被通过,就要停止业务。这个惩罚对企业来说非常严重,现在把这个标准改了。即如果发现问题,可以先整改,如果整改消除了隐患就没问题,而如果没有整改,那么再责令其停止数据出境活动。”丁学明说。
丁学明认为,该条款明确了《规范和促进数据跨境流动规定(征求意见稿)》与其他文件的冲突效力。
本期数据治理论坛由上海市数据科学重点实验室、中国数据管理协会(DAMA China)主办,澳汰尔工程软件(上海)有限公司、澎湃新闻以及DataFun社区提供支持。出品人分别为上海市数据科学重点实验室知识工场执行副主任、复旦大学青年研究员李直旭,全球数据要素50人论坛专家、DAMA数据管理专家马欢,上海市数据科学重点实验室主任、复旦大学教授肖仰华。