个人信息保护合规系列:数据跨境流动新规解读及企业合规应对建议
2024年3月22日,中央网络安全和信息化委员会办公室(下文简称“网信办”)正式发布《促进和规范数据跨境流动规定》,同时发布《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》以指导企业落实数据出境合规义务。基于上述背景,本文将围绕新规及配套指南对数据出境合规要点及合规义务变化情况进行解读,并立足于法规指南、从实务操作角度为已通过、已进行及暂未进行数据出境安全评估申报或个人信息出境标准合同备案的企业落地或调整数据跨境合规工作提供建议与参考。
我国数据跨境流动立法与监管演进
自2017年《网络安全法》正式实施以来,我国的立法机构及有关政府主管部门逐步推动建立同数据出境相关的法律、法规和监管规则,形成了以《网络安全法》(下文简称“网安法”)、《数据安全法》(下文简称“数安法”)和《个人信息保护法》(下文简称“个保法”)三大法为纲领,配套办法、规定、标准和指南为补充的数据跨境传输合规监管框架。随着2021年个保法的正式生效,配合进一步制定和完善的配套办法及指南,如《数据出境安全评估办法》(下文简称“安全评估办法”)和《数据出境安全评估申报指南(第一版)》(下文简称“申报指南(第一版)”)、《个人信息出境标准合同办法》(下文简称“标准合同办法”)和《个人信息出境标准合同备案指南(第一版)》(下文简称“备案指南(第一版)”)以及《网络安全标准实践指南——个人信息跨境处理活动安全认证规范V2.0》等,我国以数据出境安全评估申报(下文简称“申报”)、个人信息出境标准合同备案(下文简称“备案”)和个人信息保护认证(下文简称“认证”)的三条数据出境合规路径逐渐清晰。
在数据跨境流动合规监管的实践探索进程中,政府和行业主管部门亦在积极探求为企业减负、促进必要数据流动的可能。2024年3月22日,网信办正式发布《促进和规范数据跨境流动规定》(下文简称“新规”),对现有数据跨境合规机制予以调整,自2023年9月28日发布征求意见稿(下文简称“征求意见稿”)历时半年,正式落地施行。同日,网信办发布了《数据出境安全评估申报指南(第二版)》(下文简称“申报指南(第二版)”)和《个人信息出境标准合同备案指南(第二版)》(下文简称“备案指南(第二版)”),对数据出境三大合规路径中的申报和备案路径的操作细则亦作出相应调整。
<< 左右滑动查看更多 >>
本次新规及配套指南的出台,体现了监管部门在促进数据要素合理流动上的积极态度,标志着我国数据跨境流动监管体系的日趋成型。
新规要点解析及合规路径演变
新规要点解析
新规对实践中企业就数据出境合规存在的部分疑点与难点作出回应并对数据出境合规路径的判定模型进行重构,在重要数据认定边界、数据出境条件、数据出境合规路径触发门槛等多方面作出了规定,细化了评估和备案及认证程序。根据新规内容,结合网信办有关负责人就新规答记者问,新规要点解析汇总如下:
明确重要数据认定边界:新规第二条回应了企业数据跨境实务中的重要数据认定这一难题,明确了在未被相关部门、地区告知或者公开发布为重要数据的情况下,企业不需要进行重要数据申报数据出境安全评估。
明确关键信息基础设施运营者认定边界:根据答记者问第6问,涉及的重要行业和领域的主管部门、监督管理部门负责制定本行业、本领域关键信息基础设施认定规则,组织认定本行业、本领域的关键信息基础设施,并会及时将认定结果通知关键信息基础设施运营者(下文简称“CIIO”)。
明确免予执行数据出境三大合规程序的条件(详见下图一):
特定数据类型的豁免:新规第三条和第四条对两类数据作出申报、备案、认证合规程序的豁免。
特定场景的豁免:新规第五条对四大场景进行豁免。
自由贸易试验区的豁免规则:新规第六条明确自由贸易试验区(下文简称“自贸区”)可以自行制定数据跨境流通中的负面清单,对自贸区内数据处理者向境外提供负面清单外的数据进行豁免。
调整数据出境三大合规程序的适用门槛(详见下图一):新规第七条和第八条从出境数据的数量和累计周期两个维度对申报、备案或认证程序的适用门槛进行了调整。
重申数据合规义务及数据安全事件处理义务(详见下图二):新规第十条提出,企业向境外提供数据当按照法律、行政法规的规定履行相关合规义务。第十一条则规定在发生或者可能发生数据安全事件的情况下,企业当采取补救措施,及时向省级以上网信部门和其他有关主管部门报告。
基于对新规的解读及相关答记者问内容,普华永道建议企业可参考如下模型就新规下适用的数据出境合规路径作出判断(图一):
在新规对数据出境合规路径的适用条件及其他方面进行调整的同时,申报指南(第二版)和备案指南(第二版)亦对数据出境的定义进行了进一步明晰。有关新规及相关指南的要点详解可参考如下图示(图二):
数据出境合规路径演变
新规在延续征求意见稿促进数据跨境流动的总体趋势的前提下,在一定程度上放宽了安全评估办法和标准合同办法提出的申报及备案合规路径的适用门槛,亦在征求意见稿的基础上对合规路径的适用门槛适当地进行了调整。
下图为数据出境合规路径适用门槛的演进图示:
<< 左右滑动查看更多 >>
注:此图仅为出境个人信息数量门槛的高度概括,CIIO、重要数据出境、详细豁免条件要求等规定详见上文
针对新规的出台,监管亦充分考虑企业在制度衔接过程中因发生合规义务的转变而引发疑问的可能性,并在答记者问中对制度衔接相关问题作出解答。根据新规及答记者问,新规施行前已经完成或者正在进行申报、备案的企业可参考下图采取相应的适用于新规要求的合规程序:
申报与备案流程及材料要求变化
申报指南(第二版)和备案指南(第二版)在新规的监管框架下就申报及备案流程、申报及备案材料提供了更为详尽的指导说明,并在申报指南(第一版)和备案指南(第一版)的基础上对部分要求进行了更新,同时以开通数据出境申报系统的方式提升了申报及备案程序的数字化程度,为企业的申报及备案工作带来便利。
申报流程及材料要求变化概述
根据新规和申报指南(第二版),适用申报路径的企业可按照以下申报流程以申报的方式开展数据出境活动。其中,新规第九条将通过数据出境安全评估的结果有效期从2年延长至3年;有效期届满,需要继续开展数据出境活动且未发生需要重新申报情形的企业,可在有效期届满前60个工作日内提出延长评估结果有效期申请;经国家网信部门批准,可以延长评估结果有效期3年。
<< 左右滑动查看更多 >>
依据申报指南(第二版),结合数据出境申报系统的注册及使用流程中的材料要求,下表左侧汇总了数据出境安全评估申报材料要求以及相较于第一版的材料要求变动。申报材料的主要变化为:1)提供了更新版的申报表模板,其中要求企业以业务场景为维度披露其出境数据情况;2)调整并适当简化了数据出境风险自评估报告模板结构及内容要求,细化了对出境数量的界定,并增加了证明性文件要求。下表右侧整理了第二版自评估报告在第一版的基础上就结构及内容上的变化以供参考。
示例:-(小变动);X(重大变动)
备案流程及材料要求变化概述
根据新规和备案指南(第二版),适用备案或认证路径的企业可按照以下备案流程以备案的方式开展个人信息出境活动:
<< 左右滑动查看更多 >>
依据备案指南(第二版)及数据出境申报系统的注册及使用流程,下表左侧汇总了个人信息出境标准合同备案材料要求以及相较于第一版的材料要求变动。新版备案材料中对个人信息保护影响评估报告模板结构及内容要求进行了大幅简化。下表右侧整理了第二版影响评估报告在第一版的基础上就结构及内容上的变化以供参考。
示例:-(小变动);X(重大变动)
新规下企业的合规应对之策
研判新规合规义务适用性,确定合规策略
从短期合规角度出发:
<< 左右滑动查看更多 >>
尚未进行申报或备案的企业:
1. 基于新规内容,全面梳理企业现有的数据出境场景,重点关注以下内容:
企业是否被告知属于关键信息基础设施运营者;
出境数据是否涉及重要数据或个人信息;
出境场景是否属于新规定义下的可免予申报、备案或认证的特殊场景;
自当年1月1日起累计向境外提供的个人信息、敏感个人信息量。
2. 根据出境数据盘查结果,评估新规相关数据出境合规义务的适用性,制定数据出境合规方案并履行相应合规义务:
如符合新规申报门槛,建议根据申报指南(第二版)准备或更新材料并尽快提交至数据出境申报系统。
如符合新规备案或认证门槛,建议根据备案指南(第二版)准备或更新材料并尽快提交至数据出境申报系统,或申请认证。
已进行申报或备案但未获取最终审批结果的企业:
1. 根据新规重新评估是否需对当前的合规路径进行调整。
2. 如需调整合规路径,建议同监管部门保持密切沟通以征求其处理意见:
如不再需要开展申报或备案程序,可按照原程序进行,或向所在地省级网信部门撤回申报、备案。
如由申报路径转为备案或认证路径,则需按照新规开展备案或申请认证。
3. 如无需调整合规路径且已线下提交相关材料的企业,根据新规答记者问,无需通过数据出境申报系统进行重新提交。
已进行申报且未通过或部分未通过的企业、已进行备案且未通过的企业:
1. 根据新规重新评估是否需对当前的合规路径进行调整。
2. 如需调整合规路径:
如不再需要开展申报或备案程序,建议企业主动征求监管部门针对企业是否可继续开展未通过或部分未通过的出境活动的处理意见或询问是否可撤回申请,同时积极开展相应风险进行整改,重新审视出境活动的必要性。
如由申报路径转为备案或认证路径,可按照新规开展备案或申请认证。
3. 如无需调整合规路径,企业可考虑根据不予通过的原因进行风险整改或调整出境活动。
已进行申报或备案且已通过的企业:根据申报或备案事项继续开展出境活动。
从长期合规角度出发:
建议企业建立数据监测机制,使用技术手段持续、准确监测个人信息、敏感个人信息、重要数据等的出境情况,以便及时识别数据出境场景的变化。在识别到新的出境场景或已有场景的变化时,根据新规及时判断合规义务并采取相应合规行动。
积极落实数据出境的其他合规义务
新规虽对数据出境合规义务进行适当“减负”,但数据出境的一般性合规义务未受影响。新规第十条再次对个保法下规定的个人信息出境的一般性合规义务进行强调,明确提出数据处理者向境外提供个人信息应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。新规生效后,虽然部分企业可免予进行申报、备案或认证程序,尤其对于部分出境场景相对单一且数据量相对较小的中小型企业而言,但企业仍需在开展个人信息跨境传输活动时履行相关义务,主要为:
个人信息出境活动具备必要性及合法性基础;
向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使个保法规定权利的方式和程序等事项;
对个人信息出境活动开展个人信息保护影响评估;
采取技术措施和其他必要措施,保障数据出境安全;
针对发生或者可能发生数据安全事件采取补救措施,并及时向省级以上网信部门和其他有关主管部门报告。
<< 左右滑动查看更多 >>
因此,建议有数据出境业务需求的企业根据现行法律、行政法规提出的要求积极落实数据出境相关的合规义务并留存相关记录,在保障出境数据安全的同时为个人信息保护合规审计及监管检查做好应对准备。
普华永道数字化解决方案 —— Privacy Ready助力数据出境合规
为帮助企业应对数据出境的合规挑战,普华永道结合多年隐私保护专业合规经验,自主研发并推出了数字化个人信息保护合规管理平台 —— Privacy Ready。
Privacy Ready数字化平台聚焦《个人信息保护法》,旨在为中国境内涉及个人信息收集处理的企业自动、精准识别合规问题,持续监控风险处置进程,实现端到端的个人信息合规管理。
针对数据出境合规义务,Privacy Ready可以从如下方面协助企业应对挑战:
联系我们
Privacy Ready产品相关问询,请发送至:privacyready@cn.pwc.com,或联系普华永道中国网络安全和隐私服务团队。
中部
张俊贤
普华永道中国中区网络安全和隐私服务主管合伙人
电话:+86 (21) 2323 3927
邮箱:chun.yin.cheung@cn.pwc.com
黄思维
普华永道中国网络安全和隐私服务合伙人
电话:+86 (21) 2323 2605
邮箱:miles.huang@cn.pwc.com
北部
李睿
普华永道中国网络安全和隐私服务中国内地主管合伙人
电话:+86 (10) 6533 2312
邮箱:lisa.ra.li@cn.pwc.com
南部
黄景深
普华永道中国网络安全和隐私服务主管合伙人
电话:+852 2289 2719
邮箱:kenneth.ks.wong@hk.pwc.com
翁泽鸿
普华永道中国网络安全和隐私服务合伙人
电话:+86 (20) 3819 2629
邮箱:danny.weng@cn.pwc.com
© 2024 普华永道版权所有。普华永道系指普华永道在中国的成员机构、普华永道网络和/或其一家或多家成员机构。每家成员机构均为独立的法律实体。详情请见 www.pwc.com/structure。
免责声明:本微信文章中的信息仅供一般参考之用,不可视为详尽说明,亦不构成普华永道的法律、税务或其他专业建议或服务。普华永道各成员机构不对任何主体因使用本文内容而导致的任何损失承担责任。
您可以全文转载,但不得修改,且须附注以上全部声明。如转载本文时修改任何内容,您须在发布前取得普华永道中国的书面同意。