【中国数据保护】中国网络安全监管机构放宽跨境数据传输规则

中国网络安全监管机构发布了一份文件草案，建议放宽向海外出口个人信息和“重要”数据的规定。该文件草案取消了公司出口数据必须经过某些审批程序的要求，允许在某些情况下自由跨境数据传输。如果通过，这些规定将大大放宽目前中国跨境数据传输规则的某些方面，特别是对外国公司和跨国公司有利。

中国网络安全管理局（CAC）发布了一套新的法规草案，如果通过，将大大放宽对外国公司和跨国公司跨境数据传输的限制。

《规范和促进跨境数据流条例（征求意见稿）》（“条例草案”）为在某些情况下出口“重要数据”和个人信息（PI）提供了一些补贴，如果通过，将减轻许多公司的不确定性和合规负担。网络安全管理局正在征求公众对条例草案的反馈意见，直至2023年10月15日。

近年来，中国一直在大幅扩大PI保护和数据安全立法。这包括对PI和重要数据的出口实施严格的规定，要求公司接受各种安全评估和认证机制，以获得向海外转移数据的批准。

这些要求对依赖数据自由流动进行基本运营的国内外公司造成了重大干扰。因此，该条例草案可以被视为改善中国商业环境的共同努力，尤其是对外国公司而言，因为中国旨在推动疫情后的经济复苏。

当前CBDT规则是什么？

过去几年，围绕CBDT的法规在一系列法律和监管文件中得到了充实。其中最主要的是《个人信息保护法》（PIPL），该法要求需要出口一定数量数据的公司接受各种合规程序。

PIPL第38条规定，出口从中国受试者收集的数据的公司必须根据出口数据的数量和类型采取以下措施之一：

• CAC组织的安全评估；
• 由专业机构根据CAC的规定进行的个人信息（PI）保护认证；
• 与外方签订标准合同，按照网络安全管理局制定的标准规定各方的权利和义务；或
• 符合CAC或相关法律法规规定的其他条件。

网络安全管理局随后发布了针对上述每个机制的单独措施，不包括最终项目。这些措施不仅概述了如何实施这些要求，还规定了公司必须遵守其中一种机制的条件。

根据安全评估（最高合规标准）的实施措施，公司在以下任何情况下都必须接受网络安全管理局的安全评估：

• 该公司向海外出口“重要数据”；
• 该公司是一家关键信息基础设施运营商（CIIO），或者是一家处理100多万人个人信息的公司，并将个人信息出口到海外；
• 该公司自上一年1月1日起出口了10万人的个人信息或1万人的“敏感”个人信息，并在海外提供个人信息；和
• 公司有网络安全管理局规定的其他情形的。

同时，如果低于上述阈值，企业可以选择接受第三方机构的PI保护认证，或者与海外接受者签订标准合同；也就是说，他们不是CIIO，他们处理不到100万人的PI，自上一年1月1日以来，他们累计输出了不到10万人的PI和不到1万人的“敏感”数据。

一家公司在必须接受安全评估之前可以处理的数据量阈值相对较低，这意味着许多公司现在都要遵守这一要求。

此外，“重要数据”和“CIIO”等术语的模糊性使许多公司不确定其运营是否适用。

“重要数据”在安全评估措施中被定义为“一旦被篡改、销毁、泄露或非法获取或使用，可能危及国家安全、经济运行、社会稳定或公共健康安全的数据”。然而，当局尚未发布被视为属于该定义的数据类型的参考文件，该定义在很大程度上有待解释。

同时，《关键信息基础设施安全与保护条例》将CIIO定义为从事“重要行业或领域”的公司，包括：

• 公共通信和信息服务；
• 能量
• 运输
• 水
• 资金
• 公共服务；
• 电子政务服务；
• 国防；和
• 任何其他重要的网络设施或信息系统，在丧失能力、损坏或数据泄露的情况下，可能严重损害国家安全、国民经济和人民生计，或公共利益。

然而，对于一些公司来说，这一分类将明确适用，例如电网、公共交通、军事供应等领域的公司，而对于其他公司来说，则更为模糊。例如，“任何其他重要的网络设施或信息系统”都可以被解释为包括主要的在线服务公司，如腾讯的微信或叫车平台滴滴。

CBDT的要求引起了在华外国公司、跨国公司和外国企业集团的极大关注。外国公司和跨国公司也受到了特别的影响，因为它们业务的跨境性质意味着它们经常不得不将数据出口到中国境外。

放宽对外国公司的CBDT要求：新的法规草案中有什么？

中国当局多次暗示将放宽对外国公司CBDT的监管，特别是自疫情后中国重新开放以来，并努力吸引更多外国投资，以促进经济复苏。2023年8月，中国国务院发布了一套优化外商投资环境的措施，呼吁为符合条件的外国公司建立数据出口“绿色通道”，并在北京、天津和上海试点一系列可以跨境自由转移的“通用数据”。

新的条例草案包含11项建议，旨在减轻公司的CBDT合规负担，并“进一步规范和促进数据依法有序自由流动”。

放宽“重要数据”和PI的出口要求

如果生成的数据不包含任何PI或重要数据，并且是在国际贸易、学术合作、跨国制造和营销等活动中生成的，则条例草案免除了公司出口数据必须经过三个合规程序（安全评估、PI保护认证或标准合同）中的任何一个的要求。

尽管这仍然取决于“重要数据”的定义，但条例草案还规定，如果相关政府部门尚未通过地区通知或公告将相关数据宣布为“重要信息”，则该公司无需进行安全评估。换言之，如果数据没有被正式指定为“重要”，那么就CBDT而言，它将不会被视为“重要数据”。

条例草案还明确，企业出口未在中国收集或产生的PI不需要经过三种CBDT机制中的任何一种。

促进必要交易的CBDT

条例草案继续规定了PI出口被视为必要的情况，因此不受三个CBDT机制的约束。这些场景也是PIPL第13条下的项目，该条规定了允许公司处理受试者PI的场景。

这些场景包括：

• PI必须用于签订和履行个人作为缔约方的合同，如跨境电子商务、跨境汇款、机票和酒店预订、签证处理等；
• 内部员工的PI必须出口，以便根据劳动规章制度和与员工签订的集体合同实施人力资源管理；或
• 必须出口PI，以在紧急情况下保护自然人的生命、健康和财产安全。

放弃出口低量PI的CBDT机制

条例草案略微改变了公司在需要接受特定CBDT机制之前可以出口的数据量阈值。

条例草案规定，如果一家公司预计在一年内出口10000人以下的PI，那么他们不需要接受任何CBDT机制。如上所述，现行法规规定，自上一年1月1日以来，任何公司累计出口正常PI低于10万人或敏感PI低于1万人的，必须接受PI保护认证或与海外接受者签订标准合同。

CBDT机制PI出口量*阈值的拟议变化

Required CBDT mechanisms	Current regulations	Draft regulations
No mechanism required	N/A	Expected within 1 year:    0 > 10,000
PI protection certification or standard contract signing	Cumulative since January 1 of previous year:    ≥ 100,000 (normal PI); or    ≥ 10,000 (sensitive PI)	Expected within 1 year:    10,000 > 1,000,000
Security assessment by CAC	Cumulative since January 1 of previous year:    ≥ 100,000 (normal PI); or    ≥ 10,000 (sensitive PI)	Expected within 1 year:    ≥ 1,000,000
* The number of people whose PI a company has collected or expects to collect.

*公司已收集或希望收集其PI的人数。

与此同时，条例草案澄清，如果一家公司预计在一年内出口1万至100万人的PI，那么他们可以选择接受PI保护认证或签订标准合同（他们不需要接受安全评估）。这将这类机制的上限从只有10万人的PI提高到了100万人。最后，只有当一家公司预计一年内出口超过100万人的数据时，他们才会被要求接受安全评估。

安全条例草案将措辞从“累计”改为“预期”，这也表明，公司将被允许估计其在特定年份将处理的数据量，而不是根据过去的活动来确定其状态。然而，条例草案没有说明如果一家公司在某一年超过预期金额会发生什么。

在自由贸易区实施数据“负面清单”

条例草案建议中国自由贸易区制定某些类型数据的数据“负面清单”，企业必须通过CBDT机制之一，并获得CAC的批准才能出口。

在该系统下，任何未包含在负面列表中的数据类型都可以通过自贸区自由出口，而无需公司接受任何CBDT要求。

PI和数据保护要求

条例草案明确，公司和其他组织在出口PI时仍需遵守中国的数据和PI保护规定。例如，它们规定“在海外提供重要数据和PI的公司必须遵守法律、行政法规的规定，履行数据安全保护义务，确保数据出口的安全”。

此外，向海外出口PI和重要数据的国家机构和CIIO必须“遵守相关法律、行政法规和部门规章”，以及“向境外提供涉及党、政府、军队或涉密单位的敏感信息或敏感PI，应遵守相关法律、行政法规和部门规章的规定”。

对外国公司商业环境的潜在影响

如果以目前的形式通过，条例草案将使许多外国公司更容易遵守中国的CBDT条例。例如，允许公司在不经过CBDT机制的情况下出口潜在重要数据的条款——如果重要数据没有具体定义的话——解决了外国公司和企业集团的一个关键问题。

中国欧盟商会（EU Chamber of Commerce In China，简称欧盟商会）在上个月发布的《2023/2024年欧洲企业在华立场文件》中指出，重要数据缺乏明确定义，以及“敦促明确界定重要数据的范围，监管机构在未来发布与‘重要数据’和目录的定义及其实施有关的指导方针之间提供足够的宽限期”。

虽然条例草案没有为重要数据提供定义，但它们将允许那些因包含未定义的重要数据而被拒绝数据出口申请的公司推翻这些决定，至少在当局提供具体定义之前是这样。这将有助于缓解不确定性，并大大促进公司在此期间的正常运营。

欧盟的立场文件还对CBDT的安全评估机制“很容易被大多数大公司和面向消费者的公司触发”这一事实表示异议，因为该机制的数据量阈值较低。条例草案提议提高各种CBDT机制（尤其是安全评估机制）的门槛，这将是有益的，尤其是对处理较小数据量的小公司来说，这些公司可能没有员工或预算来处理增加的行政负担。

当然，在许多情况下，处理大量数据的公司仍将受到CBDT机制的约束。然而，添加不需要它们的特定场景将有利于这些公司处理特定任务。

同样需要注意的是，即使这些法规草案以目前的形式通过，中国也将继续制定PI保护和CBDT法规，这意味着未来的要求可能会变得更严格。随着定义和实施指南的范围越来越窄，针对性越来越强，对法规的合理无知空间也在缩小。因此，外国公司应继续发展其PI和数据保护合规能力，并为其数据被指定为重要的情况制定应急计划。