2024年3月22日,中国国家网信办正式公布了《促进和规范数据跨境流动规定》(“《规定》”),并自颁布之日起施行。根据此前的数据出境监管要求,数据出境主要有三种渠道:安全评估、标准合同、保护认证。《规定》旨在便利数据跨境流动,进一步放宽了数据跨境流动条件,对企业数据出境活动有重要影响,本文将进行简要解读。
1. 《规定》中载明,以下情况可免于事先监管程序:
- (1) 国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中不包含个人信息或者重要数据的数据跨境传输;
- 个人信息过境:境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的;
- (2) 为订立、履行个人作为一方当事人的合同所必需,例如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等;
- (3) 基于人力资源管理需要而传输员工个人信息的;
- (4) 在紧急情况下为保护自然人的生命健康和财产安全的;
- (5) 非关键信息基础设施运营者(“一般企业”)自当年 1 月 1 日起累计向境外提供不满 10 万人个人信息(不含敏感个人信息)。
2. 无法免于事先监管的情况下,一般企业应当采取的数据出境制度:
(1) 自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证;
- (2) 自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息,应通过所在地省级网信部门向国家网信部门申报并通过数据出境安全评估。
3. 《规定》为自由贸易试验区留出了特殊政策空间
《规定》载明,自贸区可以自行制定需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单,称为“负面清单”。负面清单之外的数据传输可免于事先监管。
4. 《规定》豁免后的其他合规义务
应当提示企业的是,无论是否存在豁免采取数据出境安全保障措施的情形或达到特定人数,《规定》第十条仍然强调,企业向境外提供个人信息的,仍应当履行《个人信息保护法》规定的履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。
综上,《规定》进一步确立了促进和规范数据跨境自由流动的监管框架,通过设置多种豁免情形,降低了数据出境的监管门槛,优化了从事跨境业务企业的营商环境。但我们建议企业仍需重视数据合规管理,结合企业自身经营情况,适配恰当的数据处理实践操作,确保数据处理的合规性。