数据跨境流动是指数据处理者向境外提供个人信息等数据。一般将数据跨境流动理解为“数据从一法域被转移至另一法域的行为”或“跨境对存储在计算机中的机器可读数据进行处理”。数据跨境流动主要包括两种情形:(1)数据跨境的传输、转移行为;(2)尽管数据尚未跨境,但能够被境外的主体进行访问处理。
《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》都对数据跨境流动作出了规定,国家网信办为落实上述法律的相关规定,于2022年7月7日公布了《数据出境安全评估办法》,于2023年2月22日公布了《个人信息出境标准合同办法》。这些是处理数据跨境流动的重要部门规章。国家网信办近日公布了《促进和规范数据跨境流动规定》(以下简称《规定》),旨在对数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的施行进行调整,保障数据安全,保护个人信息权益,促进数据依法有序自由流动。
新出台的《规定》有以下主要内容:
符合规定情形的重要数据出境需要经过安全评估。数据跨境流动管理的基础是区别重要数据和非重要数据。依据《规定》,重要数据的跨境流动需要经过安全评估,数据处理者应当按照相关规定识别、申报重要数据。但是,未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
不包含个人信息或者重要数据的出境豁免。依据《规定》,国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,如果不包含个人信息或者重要数据,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供的,如果处理过程中没有引入境内个人信息或者重要数据,也免予申报数据出境安全评估、订立个人信息出境标准合同以及通过个人信息保护认证。
部分个人信息出境豁免。《规定》规定,为订立或者履行个人作为一方当事人的合同确需向境外提供个人信息、按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理确需向境外提供员工个人信息、紧急情况下为保护自然人的生命健康和财产安全确需向境外提供个人信息、关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人非敏感个人信息,只要不包含重要数据,免予申报数据出境安全评估、订立个人信息出境标准合同以及通过个人信息保护认证。
自贸区特别立法权与负面清单制度。《规定》指出,自由贸易试验区在国家数据分类分级保护制度框架下可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单,即负面清单,经省级网络安全和信息化委员会批准后报国家网信部门、国家数据管理部门备案。自贸区内数据处理者向境外提供负面清单之外的数据可以免予数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
细化数据出境安全评估和个人信息出境标准合同及认证制度。《规定》对需要进行数据出境安全评估的情形作出了明确规定:(1)关键信息基础设施运营者向境外提供个人信息或者重要数据;(2)关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上非敏感个人信息或1万人以上敏感个人信息。通过数据出境安全评估的结果有效期为3年,满期后可以申请延长。
关键信息基础设施运营者以外的数据处理者,自当年1月1日起累计向境外提供10万人以上不满100万人非敏感个人信息或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。
《规定》还以专门条文重申了数据处理者向境外提供个人信息和数据的法律义务,强调各地网信部门的监管职责。
《规定》的公布与实施,体现了优化营商环境、方便数据(个人信息)处理者经营活动的指导思想,对于非重要数据和特定个人信息的出境规定了方便快捷的路径,对重要数据和敏感个人信息提供了更加精确的保护,有利于实现发展与安全的平衡,更好地保障数据安全,保护个人信息权益,促进数据依法有序自由流动。
作者:张新宝 中国人民大学网络信息法中心主任,中国法学会网络信息法学研究会副会长