x

中国跨境数据传输新规:《促进和规范跨境数据流动条例》

cioctocdo
22 April 2024
SEO Title
New Chinese Regulation on Cross-Border Data Transfer: The Regulations on Promoting and Regulating Cross-border Data Flows

文章分类

《中国网络安全法》、《中华人民共和国数据安全法》和《中国个人信息保护法》等相关法规建立了中国跨境数据传输的监管框架,并实施了跨境传输安全评估、个人信息保护认证和个人信息跨境传输标准合同三条路径。

2024年3月22日,中国网信办发布了《促进和规范跨境数据流动条例》(“新条例”),调整了跨境数据转移申报机制的触发门槛,明确了跨境数据转让免申报关税的场景,解决了实践中困扰企业的问题,也在一定程度上减轻了企业在跨境数据转移中的合规负担。

1.调整跨境数据传输申报机制的触发阈值

《新规》调整了跨境数据传输申报机制的触发门槛。一方面,跨境转移安全评估对关键信息基础设施运营商(“CIIO”)向国外转移个人信息和重要数据以及非CIIO向国外转移重要数据的要求没有改变。

另一方面,新规定降低了非CIIO将个人信息转移到国外的要求。与以往规定个人信息量自上一年1月1日起累计计算不同,新规定要求个人信息量从当年1月1日起累计计算。

计数期的调整将最长计数期从两年缩短为一年,实质上提高了触发跨境数据传输申报机制的门槛。

根据新规定,调整后的跨境数据传输申报要求如下:

2.哪些情况可以免于申报?

《新规》规定了以下六种情形,不受跨境转移申报安全评估、与境外接收方签订个人信息跨境转移标准合同、通过个人信息保护认证等要求的限制:

  • 向海外各方提供在国际贸易、跨境运输、学术合作、跨国制造和营销等活动中收集和生成的不包含个人信息或重要数据的数据。
  • 将境外收集、生成的个人信息提供给境内处理后提供给境外当事人,在处理过程中未引入境内个人信息或重要数据。
  • 为签订或履行相关个人作为一方的合同而在国外提供个人信息,如跨境购物、跨境送货、跨境汇款、跨境支付、跨境开户、机票和酒店预订、签证处理和考试服务(仅在必要时适用)
  • 根据雇佣规则、法规和依法签订的集体合同(仅在必要时适用),为进行跨境人力资源管理而在国外提供员工的个人信息
  • 在紧急情况下向国外提供个人信息,以保护自然人的生命、健康和财产安全(仅在必要时适用)
  • 截至当年1月1日,非CIIO在国外提供的个人信息(不包括敏感个人信息)累计不超过10万人。
    需要注意的是,上述义务豁免仅包括申报跨境转移的安全评估、签订个人信息跨境转移的标准合同以及通过个人信息保护认证。

数据处理者向境外提供个人信息,仍应当依照法律、行政法规的规定履行告知、征得个人同意、评估个人信息保护影响等义务。

此外,任何在国外提供数据的数据处理者都应履行数据安全保护义务,并采取技术和其他必要措施确保跨境数据传输的安全。发生或者可能发生数据安全事件的,数据处理者应当采取补救措施,并及时向省级以上网络空间管理局和其他主管部门报告。

3.如果公司不确定是否涉及重要数据,是否需要主动申报评估?

中国的数据合规法规强调对重要数据的保护,无论何时涉及重要数据,都应适用跨境传输的安全评估。《境外数据提供安全评估办法》将重要数据定义为,如果被篡改、销毁、泄露、非法获取或非法使用,可能危及国家安全、经济运行、社会稳定、公众健康和公共安全的数据。

《中华人民共和国数据安全法》要求有关部门制定重要数据目录,并对目录中的数据提供特殊保护。目前,不同行业和地区的重要数据目录仍在制定和推广中。关于国家规定,只有汽车行业通过《汽车数据安全管理若干规定(试行)》明确了重要数据的标准。

在实践中,尽管公司可以遵循识别重要数据的规则来确定所处理的数据在基本层面上是否是重要数据,但很难得出明确的结论,这让许多公司怀疑是否需要与监管机构协商并申报跨境转移的安全评估。在这方面,《新规》明确,如果相关部门或地区未将数据告知或公开宣布为重要数据,则数据处理者无需申报跨境转移的安全评估。

4、自贸区企业能否享受特殊政策?

根据新规定,在中国数据分类分级保护的监管框架下,自贸试验区可以自行制定需要纳入跨境转移安全评估、境外提供个人信息标准合同和个人信息保护认证管理范围的数据清单(“负面清单”)。

自贸试验区内的任何数据处理者向境外接收方提供未列入负面清单的任何数据,均可免于申报境外提供数据的安全评估、签订境外提供个人信息的标准合同以及通过个人信息保护认证。

5.对已完成或正在进行跨境数据传输的企业有何影响?

如果一家公司在2024年3月22日之前通过了跨境转移的安全评估,它可能会继续其数据提供活动。

如果公司在2024年3月22日之前未能通过或仅部分通过跨境转移安全评估,则可以通过其他方式向海外接收者提供个人信息,如与海外接收者签订个人信息跨境转移标准合同或通过个人信息保护认证,前提是根据新规定免除跨境转移的安全评估。

如果公司在2024年3月22日之前已经申请了跨境转移的安全评估或提交了个人信息跨境转移标准合同的备案,但根据新规定不需要履行上述程序,数据处理者可以继续原程序或向当地省级网络空间管理局撤回申请和备案。

6.跨境转让安全评估有效期由2年延长至3年,经批准可再延长3年

根据新规定,跨境转移安全评估有效期为3年,自评估结果发布之日起计算。如需继续向境外提供数据,且有效期届满无需重新申报跨境转移安全评估的情形,数据处理者可在有效期届满前60个工作日内,通过所在地省级网信办向食典委申请延长有效期。经食典委批准,评估结果的有效期可延长至3年。

7.我们的建议

《新规》总体上适当放宽了跨境数据流动的条件,这将促进跨境数据流动,降低企业的合规成本。仍处于观望状态的企业应尽快按照新规定调整后的标准整理数据,并选择适当的途径向国外提供数据。

对于跨境企业来说,如果其在必要的情况下向国外提供员工的个人信息,以根据法律规定和集体合同进行跨境人力资源管理,则可能无需申报跨境转移的安全评估,无需与跨境转移个人信息的海外接收方签订标准合同,也无需通过个人信息保护认证,这可能有助于企业的全球统一人力资源管理。

但是,跨境企业仍应依照法律、行政法规的规定履行通知、征得个人同意、进行个人信息保护影响评估和数据安全保护等义务。还可以参照个人信息跨境传输标准合同的内容,与境外接收方签订相关数据处理协议。