國家網信辦公佈《促進和規範數據跨境流動規定》

3月22日,國家互聯網信息辦公室公佈《促進和規範數據跨境流動規定》(以下簡稱《規定》),自公佈之日起施行。

國家互聯網信息辦公室有關負責人表示,數據跨境流動已經成爲全球資金、信息、技術、人才、貨物等資源要素交換、共享的基礎。爲了促進數據依法有序自由流動,激發數據要素價值,擴大高水平對外開放,《規定》對數據出境安全評估、個人信息出境標準合同、個人信息保護認證等數據出境制度作出優化調整。

《規定》明確了重要數據出境安全評估申報標準,提出未被相關部門、地區告知或者公開發布爲重要數據的,數據處理者不需要作爲重要數據申報數據出境安全評估。

《規定》規定了免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證的數據出境活動條件:一是國際貿易、跨境運輸、學術合作、跨國生產製造和市場營銷等活動中收集和產生的數據向境外提供,不包含個人信息或者重要數據的;二是在境外收集和產生的個人信息傳輸至境內處理後向境外提供,處理過程中沒有引入境內個人信息或者重要數據的;三是爲訂立、履行個人作爲一方當事人的合同,確需向境外提供個人信息的;四是按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理,確需向境外提供員工個人信息的;五是緊急情況下爲保護自然人的生命健康和財產安全,確需向境外提供個人信息的;六是關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供不滿10萬人個人信息(不含敏感個人信息)的。

《規定》設立自由貿易試驗區負面清單制度。提出自由貿易試驗區在國家數據分類分級保護制度框架下,可以自行制定區內負面清單,經省級網絡安全和信息化委員會批准後,報國家網信部門、國家數據管理部門備案。自由貿易試驗區內數據處理者向境外提供負面清單外的數據,可以免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。

《規定》明確了應當申報數據出境安全評估的兩類數據出境活動條件,一是關鍵信息基礎設施運營者向境外提供個人信息或者重要數據;二是關鍵信息基礎設施運營者以外的數據處理者向境外提供重要數據,或者自當年1月1日起累計向境外提供100萬人以上個人信息(不含敏感個人信息)或者1萬人以上敏感個人信息。同時,明確了應當訂立個人信息出境標準合同或者通過個人信息保護認證的數據出境活動條件,即關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息(不含敏感個人信息)或者不滿1萬人敏感個人信息。

《規定》同時對數據出境安全評估的有效期限和延期申請、數據安全保護義務和監督管理責任、與數據出境安全管理其他規定的銜接適用等作了規定。

促進和規範數據跨境流動規定

第一條 爲了保障數據安全,保護個人信息權益,促進數據依法有序自由流動,根據《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》等法律法規,對於數據出境安全評估、個人信息出境標準合同、個人信息保護認證等數據出境制度的施行,制定本規定。

第二條 數據處理者應當按照相關規定識別、申報重要數據。未被相關部門、地區告知或者公開發布爲重要數據的,數據處理者不需要作爲重要數據申報數據出境安全評估。

第三條 國際貿易、跨境運輸、學術合作、跨國生產製造和市場營銷等活動中收集和產生的數據向境外提供,不包含個人信息或者重要數據的,免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。

第四條 數據處理者在境外收集和產生的個人信息傳輸至境內處理後向境外提供,處理過程中沒有引入境內個人信息或者重要數據的,免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。

第五條 數據處理者向境外提供個人信息,符合下列條件之一的,免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證:

(一)爲訂立、履行個人作爲一方當事人的合同,如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等,確需向境外提供個人信息的;

(二)按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理,確需向境外提供員工個人信息的;

(三)緊急情況下爲保護自然人的生命健康和財產安全,確需向境外提供個人信息的;

(四)關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供不滿10萬人個人信息(不含敏感個人信息)的。

前款所稱向境外提供的個人信息,不包括重要數據。

第六條 自由貿易試驗區在國家數據分類分級保護制度框架下,可以自行制定區內需要納入數據出境安全評估、個人信息出境標準合同、個人信息保護認證管理範圍的數據清單(以下簡稱負面清單),經省級網絡安全和信息化委員會批准後,報國家網信部門、國家數據管理部門備案。

自由貿易試驗區內數據處理者向境外提供負面清單外的數據,可以免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。

第七條 數據處理者向境外提供數據,符合下列條件之一的,應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估:

(一)關鍵信息基礎設施運營者向境外提供個人信息或者重要數據;

(二)關鍵信息基礎設施運營者以外的數據處理者向境外提供重要數據,或者自當年1月1日起累計向境外提供100萬人以上個人信息(不含敏感個人信息)或者1萬人以上敏感個人信息。

屬於本規定第三條、第四條、第五條、第六條規定情形的,從其規定。

第八條 關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息(不含敏感個人信息)或者不滿1萬人敏感個人信息的,應當依法與境外接收方訂立個人信息出境標準合同或者通過個人信息保護認證。

屬於本規定第三條、第四條、第五條、第六條規定情形的,從其規定。

第九條 通過數據出境安全評估的結果有效期爲3年,自評估結果出具之日起計算。有效期屆滿,需要繼續開展數據出境活動且未發生需要重新申報數據出境安全評估情形的,數據處理者可以在有效期屆滿前60個工作日內通過所在地省級網信部門向國家網信部門提出延長評估結果有效期申請。經國家網信部門批准,可以延長評估結果有效期3年。

第十條 數據處理者向境外提供個人信息的,應當按照法律、行政法規的規定履行告知、取得個人單獨同意、進行個人信息保護影響評估等義務。

第十一條 數據處理者向境外提供數據的,應當遵守法律、法規的規定,履行數據安全保護義務,採取技術措施和其他必要措施,保障數據出境安全。發生或者可能發生數據安全事件的,應當採取補救措施,及時向省級以上網信部門和其他有關主管部門報告。

第十二條 各地網信部門應當加強對數據處理者數據出境活動的指導監督,健全完善數據出境安全評估制度,優化評估流程;強化事前事中事後全鏈條全領域監管,發現數據出境活動存在較大風險或者發生數據安全事件的,要求數據處理者進行整改,消除隱患;對拒不改正或者造成嚴重後果的,依法追究法律責任。

第十三條 2022年7月7日公佈的《數據出境安全評估辦法》(國家互聯網信息辦公室令第11號)、2023年2月22日公佈的《個人信息出境標準合同辦法》(國家互聯網信息辦公室令第13號)等相關規定與本規定不一致的,適用本規定。

第十四條 本規定自公佈之日起施行。

《促進和規範數據跨境流動規定》答記者問

3月22日,國家互聯網信息辦公室公佈《促進和規範數據跨境流動規定》(以下簡稱《規定》)。國家互聯網信息辦公室有關負責人就《規定》相關問題回答了記者提問。

答:我國積極促進數據依法有序自由流動,相繼制定實施《網絡安全法》、《數據安全法》、《個人信息保護法》,對數據出境活動作出明確規定。《網絡安全法》規定,關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。《數據安全法》規定,關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理,適用《網絡安全法》的規定;其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。《個人信息保護法》規定,個人信息處理者因業務等需要,確需向中華人民共和國境外提供個人信息的,應當具備通過國家網信部門組織的安全評估、按照國家網信部門的規定經專業機構進行個人信息保護認證、按照國家網信部門制定的標準合同與境外接收方訂立合同等條件之一。中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息的條件等有規定的,可以按照其規定執行。法律作出這樣的規定,是爲了切實保護人民羣衆利益,維護國家網絡和數據安全,促進數據依法有序自由流動。數據出境安全管理不是對於所有數據,只限於重要數據和個人信息,這裡的重要數據是針對國家而言,而不是針對企業和個人。

落實法律規定要求,國家互聯網信息辦公室公佈了《數據出境安全評估辦法》和《個人信息出境標準合同辦法》,聯合國家市場監督管理總局公佈了《關於實施個人信息保護認證的公告》,基本構建了數據出境安全管理制度。此外,國家互聯網信息辦公室先後公佈了《數據出境安全評估申報指南》、《個人信息出境標準合同備案指南》等文件,對數據處理者申報安全評估、備案標準合同的方式、流程及需提交的材料等具體要求作出了說明。

國家互聯網信息辦公室結合數據出境安全管理工作實際,制定《規定》,對現有數據出境安全評估、個人信息出境標準合同、個人信息保護認證等數據出境制度的實施和銜接作出進一步明確,適當放寬數據跨境流動條件,適度收窄數據出境安全評估範圍,在保障國家數據安全的前提下,便利數據跨境流動,降低企業合規成本,充分釋放數據要素價值,擴大高水平對外開放,爲數字經濟高質量發展提供法律保障。

答:《規定》主要對下列內容進行了規定:一是明確重要數據出境安全評估申報標準。二是明確免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證的數據出境活動條件。三是設立自由貿易試驗區負面清單制度。四是調整應當申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證的數據出境活動條件。五是延長數據出境安全評估結果有效期,增加數據處理者可以申請延長評估結果有效期的規定。

答:《數據出境安全評估辦法》、《個人信息出境標準合同辦法》相關規定與《規定》不一致的,適用《規定》。

答:根據《數據出境安全評估辦法》,重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等,可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據。

《數據安全法》規定,國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄,加強對重要數據的保護。各地區、各部門應當按照數據分類分級保護制度,確定本地區、本部門以及相關行業、領域的重要數據具體目錄,對列入目錄的數據進行重點保護。

根據《規定》,數據處理者應當按照相關規定識別、申報重要數據。未被相關部門、地區告知或者公開發布爲重要數據的,數據處理者不需要作爲重要數據申報數據出境安全評估。

答:根據《個人信息保護法》,個人信息是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理後的信息。匿名化,是指個人信息經過處理無法識別特定自然人且不能復原的過程。

個人信息採用加密、脫敏等措施處理屬於去標識化,去標識化處理後的個人信息仍是《個人信息保護法》規定的個人信息。去標識化,是指個人信息經過處理,使其在不借助額外信息的情況下無法識別特定自然人的過程。

敏感個人信息,是指一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。

答:根據《關鍵信息基礎設施安全保護條例》,關鍵信息基礎設施是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。

涉及的重要行業和領域的主管部門、監督管理部門負責制定本行業、本領域關鍵信息基礎設施認定規則,組織認定本行業、本領域的關鍵信息基礎設施,及時將認定結果通知關鍵信息基礎設施運營者。

答:下列六種數據出境活動免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證:

一是國際貿易、跨境運輸、學術合作、跨國生產製造和市場營銷等活動中收集和產生的數據向境外提供,不包含個人信息或者重要數據的。二是在境外收集和產生的個人信息傳輸至境內處理後向境外提供,處理過程中沒有引入境內個人信息或者重要數據的。三是爲訂立、履行個人作爲一方當事人的合同,如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等,確需向境外提供個人信息的。四是按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理,確需向境外提供員工個人信息的。五是緊急情況下爲保護自然人的生命健康和財產安全,確需向境外提供個人信息的。六是關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供不滿10萬人個人信息(不含敏感個人信息)的。其中,第三種至第六種條件所稱向境外提供的個人信息,不包括被相關部門、地區告知或者公開發布爲重要數據的個人信息。

答:自由貿易試驗區在國家數據分類分級保護制度框架下,可以自行制定區內需要納入數據出境安全評估、個人信息出境標準合同、個人信息保護認證管理範圍的數據清單(簡稱負面清單)。

自由貿易試驗區內數據處理者向境外提供負面清單外的數據,可以免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。負面清單出臺前,自由貿易試驗區內的數據出境活動按照國家數據出境安全管理有關規定執行。

答:對於重要數據的出境活動和符合應當申報數據出境安全評估條件的個人信息出境活動,必須通過數據出境安全評估。

對於未達到數據出境安全評估申報條件的個人信息出境活動,個人信息處理者可以結合自身情況,選擇訂立個人信息出境標準合同或者通過個人信息保護認證的方式。符合免予訂立個人信息出境標準合同、通過個人信息保護認證條件的,個人信息處理者無需履行相關程序。

答:《規定》對《數據出境安全評估辦法》明確的應當申報數據出境安全評估的條件作了優化調整。《規定》明確了兩種應當申報數據出境安全評估的條件:一是關鍵信息基礎設施運營者向境外提供個人信息或者重要數據。二是關鍵信息基礎設施運營者以外的數據處理者向境外提供重要數據,或者自當年1月1日起累計向境外提供100萬人以上個人信息(不含敏感個人信息)或者1萬人以上敏感個人信息。屬於《規定》第三條、第四條、第五條、第六條規定情形的,從其規定。

答:計算週期爲自當年1月1日起至申報數據出境安全評估之日,數量以自然人爲單位去重後的統計結果爲準。

屬於《規定》第三條、第四條、第五條第一款第一項至第三項、第六條規定情形的,不計入累計數量。

答:《規定》對《個人信息出境標準合同辦法》明確的應當訂立個人信息出境標準合同的條件作了優化調整。根據《規定》,關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息(不含敏感個人信息)或者不滿1萬人敏感個人信息的,應當依法與境外接收方訂立個人信息出境標準合同或者通過個人信息保護認證。屬於《規定》第三條、第四條、第五條、第六條規定情形的,從其規定。

需要說明的是,向境外提供被相關部門、地區告知或者公開發布爲重要數據的個人信息,應當申報數據出境安全評估,不得選擇訂立個人信息出境標準合同或者通過個人信息保護認證的方式。

答:《規定》將通過數據出境安全評估結果的有效期由《數據出境安全評估辦法》中規定的2年延長至3年,自評估結果出具之日起計算。同時,增加數據處理者可以申請延長評估結果有效期的規定。有效期屆滿,需要繼續開展數據出境活動且未發生需要重新申報數據出境安全評估情形的,數據處理者可以在有效期屆滿前60個工作日內通過所在地省級網信部門向國家網信部門提出延長評估結果有效期申請。經國家網信部門批准,可以延長評估結果有效期3年。

答:《規定》施行前已經通過數據出境安全評估的數據出境活動,數據處理者可以根據申報事項繼續開展。

《規定》施行前未通過或者部分未通過數據出境安全評估,根據《規定》免予申報數據出境安全評估的數據出境活動,數據處理者可以依法通過訂立個人信息出境標準合同、通過個人信息保護認證等其他途徑向境外提供個人信息。

《規定》施行前已經申報數據出境安全評估、提交個人信息出境標準合同備案,根據《規定》無需開展上述程序的,數據處理者可以按照原程序進行,也可以向所在地省級網信部門撤回申報、備案。

答:申報數據出境安全評估、備案個人信息出境標準合同可以登錄數據出境申報系統,網址:https://sjcj.cac.gov.cn。已經通過線下方式提交安全評估申報、標準合同備案材料的,不需要通過數據出境申報系統進行重新提交。申請個人信息保護認證可以登錄個人信息保護認證管理系統,網址:https://data.isccc.gov.cn。

關鍵信息基礎設施運營者或者其他不適合通過數據出境申報系統申報數據出境安全評估的,採用線下方式通過所在地省級網信部門向國家網信部門申報數據出境安全評估。

答:(1)數據出境安全評估申報:010-55627135,sjcj@cac.gov.cn;(2)個人信息出境標準合同備案:010-55627565,bzht@cac.gov.cn;(3)個人信息保護認證申請:010-82261100,data@isccc.gov.cn。

各地省級網信部門受理數據出境安全評估申報、個人信息出境標準合同備案工作的聯繫方式(辦公地址、聯繫電話),詳見各省、自治區、直轄市和新疆生產建設兵團互聯網信息辦公室官網、微信公衆號,以及國家互聯網信息辦公室官網-數據治理欄目(https://www.cac.gov.cn)。