为了保障数据安全,保护个人信息权益,促进数据依法有序自由流动,国家互联网信息办公室于2024年3月22日公布《促进和规范数据跨境流动规定》(以下简称《规定》),自公布之日起施行。其共有14条,主要内容如下[1]:
一、明确重要数据出境安全评估申报标准
《规定》指明,数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。所谓“重要数据”,依据《数据出境安全评估办法》,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。
二、规定了部分情形适用豁免
此次《规定》还引入了一些适用“豁免”的情形,即在特定条件下免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。相关适用条件主要包括:一是国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中的向境外提供不包含个人信息或者重要数据的;再者是“来数加工”,即在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的;还有就是向境外提供个人信息是为订立或履行合同的,涉及人力资源管理的,紧急情况下为保护自然人的生命健康和财产安全,以及非关键信息基础设施运营者提供累计不满10万人的非敏感个人信息的。
三、设立自由贸易试验区负面清单制度
《规定》第六条指明,自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单,即负面清单;向境外提供非负面清单数据的,可适用豁免。
然而在实践中,有的地方在《规定》出台前就已经开始了相关的探索。如上海自由贸易试验区临港新片区管理委员会于2024年2月8日便印发了《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》[2]。
四、细化数据出境安全评估和个人信息出境标准合同及认证制度[3]
《规定》明确了应当通过相关部门申报数据出境安全评估的条件:关键信息基础设施运营者向境外提供个人信息或者重要数据的;非关键信息基础设施运营者当年度1月1日起累计向境外提供100万人以上非敏感个人信息的,或1万人以上敏感个人信息的。
此外,非关键信息基础设施运营者自当年1月1日起累计向境外提供10万人以上、不满100万人非敏感个人信息或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。
五、延长数据出境安全评估结果有效期
《规定》第九条将安全评估结果的有效期从以前规定的2年延长为3年,并且新增有效期届满,需要继续开展数据出境活动的,可以在有效期届满前60个工作日内提出延长评估结果有效期申请。但需注意,申请延长有效期是以未发生需要重新申报数据出境安全评估情形为前提的。
最后值得一提的是,如果《规定》与此前公布的《数据出境安全评估办法》和《个人信息出境标准合同办法》等相关规定存在不一致的情形的,适用《规定》。
[1]中华人民共和国国家互联网信息办公室:《促进和规范数据跨境流动规定》答记者问
https://www.cac.gov.cn/2024-03/22/c_17127766116
49184.htm
[2]关于印发《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》的通知
https://www.lingang.gov.cn/html/website/lg/index/government/file/1756018881550389249.html
[3]中华人民共和国国家互联网信息办公室:专家解读|促进和规范数据跨境流动的重要规定
https://www.cac.gov.cn/2024-03/22/c_17127766258
20516.htm
作者为上海理慈律师事务所律师与顾问,惟本文内容为个人意见,不代表事务所立场。