数据出境专题之四丨中国拟议放宽数据跨境流动监管限制

2023年12月18日

来源：中国国际贸易促进委员会北京市分会

引言：

2023年9月28日，国家互联网信息办公室（“网信办”）发布《规范和促进数据跨境流动规定（征求意见稿）》（“征求意见稿”）并向社会公开征求意见。征求意见稿如正式实施，将在很大程度上放宽数据出境监管限制。

 

一、现行法律下的数据出境合规路径

根据2021年颁布的《个人信息保护法》（“《个保法》”）第三十八条规定，拟向境外传输个人信息的个人信息处理者必须通过以下三条合规路径（“合规路径”）之一：

（一）通过国家网信部门组织的安全评估（“安全评估”）；

（二）按照国家网信部门制定的标准合同（“标准合同”）与境外接收方订立合同，约定双方的权利和义务；

（三）按照国家网信部门的规定经专业机构进行个人信息保护认证（“认证”）；

（四）法律、行政法规或者国家网信部门规定的其他条件。

 

网信办颁布的以下规定为前述合规路径提供了落地指引：

 

合规路径	相关规定
安全评估	《数据出境安全评估办法》
标准合同	《个人信息出境标准合同办法》
认证	《关于实施个人信息保护认证的公告》

 

需要注意的是，《个保法》第三十八条第（四）项允许国家网信部门可针对个人信息出境制定新的规则。

 

二、合规路径的落实情况

（一）现有合规路径下企业负担较重

自2022年以来，网信办陆续颁布了安全评估、标准合同和认证这三条合规路径的具体规定，许多企业已经据此开展了合规工作。然而，现有合规路径下企业的合规义务总体较为繁重，需要耗费较多时间和人力才能完成，这些工作通常需要包括：

1. 数据盘点；
2. 完善企业内部的数据保护和信息安全政策；
3. 根据网信办要求开展评估工作并撰写评估报告，此类评估报告篇幅往往较长、动辄近百页；
4. 就个人信息出境征得个人信息主体的单独同意；
5. 对境外接收方所在的国家或地区的法律政策环境进行评估。

此外，安全评估和标准合同均涉及向网信办提交材料，在此过程中网信办可能会就企业的数据出境提出质疑。

 

• 企业的担忧以及网信办的回应

对于现有合规路径带来的繁重义务，许多跨国企业已向网信办反映困难，网信办在一定程度上予以回应，如：

1. 2023年7月，国务院发布了《关于进一步优化外商投资环境 加大吸引外商投资力度的意见》（“《意见》”），要求政府“探索便利化的数据跨境流动安全管理机制”“为符合条件的外商投资企业建立绿色通道，高效开展重要数据和个人信息出境安全评估，促进数据安全有序自由流动”。《意见》还鼓励北京、天津、上海、粤港澳大湾区等地区试点创建“可自由流动的一般数据清单”。
2. 据报道，2023年8月，网信办与数十家跨国公司的代表会面，回应了跨国公司对数据出境制度的担忧。详情请见：

https://www.bloomberg.com/news/articles/2023-08-17/chinese-officials-meet-with-foreign-firms-to-ease-data-law-fears#xj4y7vzkg

 

三、征求意见稿的要点

为促进数据跨境自由流动，网信办发布了征求意见稿，对企业关心的多个常见数据出境场景下的合规义务予以豁免。征求意见稿应属于网信办行使《个保法》第三十八条第（四）项赋予其的权力，创设现有合规路径之外的“其他条件”。

 

在征求意见稿下，如果企业的数据出境场景满足以下任一条件，则企业可豁免履行与三条合规路径相关的义务：

• 拟出境的个人信息不是在中国境内收集产生的；
• 为订立、履行个人作为一方当事人的合同所必需，如跨境购物、跨境汇款、机票酒店预订、签证办理等，必须向境外提供个人信息的；
• 按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理，必须向境外提供内部员工个人信息的；
• 紧急情况下为保护自然人的生命健康和财产安全等，必须向境外提供个人信息的；
• 预计一年内向境外提供不满1万人个人信息的。

 

征求意见稿授权自由贸易试验区可自行制定本自贸区数据跨境流动的负面清单。自贸区企业出境负面清单外的数据，企业可自由出境，无需履行三条合规路径的相关义务。

 

此外，征求意见稿提高了触发安全评估的数据出境量门槛，允许数据出境量较少的境内企业通过订立标准合同或认证来实现数据出境。（对企业而言，安全评估的要求相对更复杂，而标准合同和认证的要求相对更容易。）具体总结如下：

 

数据出境规模	是否触发安全评估	是否触发标准合同备案或认证
预计一年内向境外提供1万人以上、不满100万人个人信息	否	是
向境外提供100万人以上个人信息	是	否

 

四、征求意见稿的影响

相较于之前的规定，网信办此次发布的征求意见稿对跨国公司而言是一项重大利好；如获颁布，将有效降低公司的数据出境合规成本。但征求意见稿的突然发布也产生了一系列问题和不确定性，我们谨对以下问题进行分析和预测：

 

• 征求意见稿何时生效？

目前尚不清楚征求意见稿何时会正式生效。但网信办可能会希望尽快推动该规定的正式发布，因为：

1. 网信办仅提供了18天的时间（9月28日至10月15日）征求公众意见，且该征求意见期间中有8天是国家法定节假日。紧凑的时间安排侧面反映了网信办可能希望尽快发布、落实该规定的愿望。
2. 2023年12月13日，网信办和香港特别行政区政府创新科技及工业局共同发布《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》，为符合特定条件的企业开放个人信息跨境流动“绿色通道”，进一步表明网信办在数据跨境流动方面的监管可能趋缓。

 

• 企业能否依据征求意见稿停止当前的合规工作？

我们不建议企业完全停止合规工作，因为：

1. 在征求意见稿的正式版本发布之前，目前还不能将其作为有效的法律依据；
2. 根据标准合同备案相关规定，标准合同备案过渡期于2023年11月30日截止，而征求意见稿的正式版本目前仍未出台。在这种情况下，有标准合同备案需求的企业仍需根据现行规定要求，在2023年11月30日之前将已签署的标准合同提交给所在地的省级网信部门进行备案。
3. 征求意见稿提供了较为广泛的豁免范围，目前尚不明确这些豁免机制将如何与网信办此前发布的规定中相冲突的要求相互协调、衔接。我们预期正式版本会进一步明确这些问题。
4. 征求意见稿大刀阔斧地调整了现行的数据出境合规体系，这种情况在立法实践中较为罕见。网信办有可能会在正式版本中采取更为缓和的立场。例如，在相关场景下，网信办可能仍希望企业履行一定的合规义务（例如需要订立标准合同但不需要向网信办备案）以确保数据安全，而不是直接豁免全部三条合规路径的相关义务。
5. 征求意见稿并未免除《个保法》规定的数据合规要求。因此，即使企业可能不再需要采取任意一条合规路径，企业仍需履行以下合规义务，否则将面临合规风险：
   1. 建立数据保护合规体系（《个保法》第五十一条）；
      • 制定内部管理制度和操作规程；
      • 对个人信息实行分类管理；
      • 采取相应的加密、去标识化等安全技术措施；
      • 合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；
      • 制定并组织实施个人信息安全事件应急预案；
      • 法律、行政法规规定的其他措施。
   2. 就个人信息跨境传输向个人信息主体履行告知义务，并依法取得单独同意（《个保法》第三十九条）；
   3. 对个人信息跨境传输情况进行个人信息保护影响评估，并对处理情况进行记录（《个保法》第五十五条）；
   4. 与受托处理者签订数据处理协议（《个保法》第二十一条）。

三条合规路径所需的合规工作与上述《个保法》的要求基本一致，因此企业为落实合规路径而开展的工作仍具有实际价值。

 

五、企业应如何应对征求意见稿的出台？

截至目前，征求意见稿的正式版本还未出台。在此阶段，我们建议企业采取以下措施进行应对：

• 按原定计划继续开展标准合同/安全评估的合规工作；
• 了解当地网信部门对征求意见稿的立场以及其是否愿意像以前一样接受备案/评估材料；
• 分析现有数据出境场景是否落入征求意见稿规定的豁免范围；
• 密切关注立法动态，观察征求意见稿的出台情况。

 

北京安杰世泽律师事务所 杨洪泉、吴雯

信息内容来源于北京安杰世泽律师事务所 ，报告内容仅供预警与风险提示，供参考之用，不能将其视为做出决策的唯一依据。如有任何意见与信息反馈，请与我们联系。

北京市贸促会法律部

联系人：田博文

电子邮件：tianbowen@ccpitbj.org

电话：010-88070495；13718609060

网址：http://www.ccpitbj.org/