五大要点
一是明确重要数据出境安全评估申报标准。
二是明确免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件。
三是设立自由贸易试验区负面清单制度。
四是调整应当申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件。
五是延长数据出境安全评估结果有效期,增加数据处理者可以申请延长评估结果有效期的规定。
六类豁免情形
免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形:
一是国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的。
二是在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的。
三是为订立、履行个人作为一方当事人的合同,确需向境外提供个人信息的。
四是按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的。
五是紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的。
六是关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。
促进和规范数据跨境流动规定(《规定》) *下划线处为对比征求意见稿的改动部分 | |
第一条 | 为了保障数据安全,保护个人信息权益,促进数据依法有序自由流动,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律 法规,对于数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的施行,制定本规定。 |
第二条 | 数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。 |
解读: 1、未被相关部门、地区告知或者公开发布为重要数据的,暂且不认为该数据为重要数据,无需申报数据出境安全评估。 2、强调“数据处理者应当按照相关规定识别、申报重要数据”,目前工信部已开展工业和信息化领域重要数据识别试点工作,已有一部分企业向主管部门报送重要数据目录。强调企业应按照相关规定先进行重要数据识别,企业可参考GB/T 43697—2024《数据安全技术 数据分类分级规则》附录G-重要数据识别指南、《电信领域重要数据和核心数据识别指南》《工业领域重要数据和核心数据识别指南》等相关文件进行重要数据识别。 | |
第三条 | 国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据 向境外提供,不包含个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。 |
解读: 该条规定与原有法律法规相比无变化,不涉及个人信息或重要数据出境的,在《规定》出台之前也不需要履行数据出境合规程序。 | |
第四条 | 数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。 |
解读: 明确在境外收集和产生的个人信息传输到境内加工处理后再出境,如该加工处理不涉及境内个人信息或重要数据的,无需履行数据出境合规程序。 | |
第五条 | 数据处理者向境外提供个人信息,符合下列条件之一的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证: (一)为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的; (二)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的; (三)紧急情况下为保护自然人的生命健康和财产安全 ,确需向境外提供个人信息的; (四)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息 (不含敏感个人信息 )的。 前款所称向境外提供的个人信息,不包括重要数据。 |
解读: 1、对比征求意见稿,将“必须”表述改为“确需”;企业可解释“确实需要”的空间比“必须(一定需要)”更大更广。 我们倾向认为,在监管部门尚未公布“所必需,确需”的明确范围之前,数据处理者可自行判断“确需”的合理范围。 2、所称向境外提供的个人信息,不包括被相关部门、地区告知或者公开发布为重要数据的个人信息。 3、关键信息基础设施运营者以外的数据处理者,未接到国家监管部门关基认定结果通知的,则不是关基。 4、自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的,计算周期为自当年1月1日起,数量以自然人为单位去重后的统计结果为准。属于《规定》第三条、第四条、第五条、第六条规定豁免情形的,不计入累计数量。我们理解: ① 在当年1月1日之前已传输出境的个人信息,不溯及既往,不纳入累计计算; ② 若当年1月1日之前已传输出境的个人信息主体,在当年1月1日之后新增出境新的个人信息字段,仍需累计计算,如当年1月1日之前出境个人A的个人信息为“姓名、手机号码”,当年1月1日之后新增出境个人A的个人信息“年龄、地址”; ③ 若为境外人员访问境内存储的个人信息,自当年1月1日起境外人员仍在持续访问,需要纳入累计计算的范围。 | |
第六条 | 自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单), 经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。 自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。 |
解读: 国家网信办将自由贸易试验区的数据出境管理要求,下放到省级网络安全和信息化委员会,亦即经省级网络安全和信息化委员会批准的自由贸易试验区自行制定的负面清单之外的数据出境,无需履行数据出境三种程序。 | |
第七条 | 数据处理者向境外提供数据,符合下列条件之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估: (一)关键信息基础设施运营者向境外提供个人信息或者重要数据 ; (二)关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。 属于本规定第三条、第四条、第五条、第六条规定情形的,从其规定。 |
解读: 1、关基的认定和数量计算方式同第五条解读。 2、强调豁免情形(第三条、第四条、第五条、第六条)优先,且豁免情形的出境数据量不累计计算,如关基运营者“按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的”,依第五条规定,无需申报安全评估。 | |
第八条 | 关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感 个人信息)或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。 属于本规定第三条、第四条、第五条、第六条规定情形的,从其规定。 |
解读: 1、同样强调豁免情形优先,且豁免情形的出境数据量不累计计算。 | |
第九条 | 通过数据出境安全评估的结果有效期为3年,自评估结果出具之日起计算。有效期届满,需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的,数据处理者可以在有效期届满前60个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请。经国家网信部门批准,可以延长评估结果有效期3年。 |
解读: 《规定》将通过数据出境安全评估结果的有效期由《数据出境安全评估办法》中规定的2年延长至3年,自评估结果出具之日起计算。同时,增加数据处理者可以申请延长评估结果有效期的规定。 | |
第十条 | 数据处理者向境外提供个人信息的,应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。 |
解读: 1、强调个人信息出境前的告知、单独同意、个人信息保护影响评估等义务; 2、《申报指南(第二版)》明确“若属于《个人信息保护法》第十三条第一款第二项至第七项规定情形的,不需取得个人同意”,亦即非基于同意为合法性基础处理个人信息的,出境亦不需要履行单独同意义务; | |
第十一条 | 数据处理者向境外提供数据的,应当遵守法律、法规的规定,履行数据安全保护义务,采取技术措施和其他必要措施,保障数据出境安全。发生或者可能发生数据安全事件的,应当采取补救措施,及时向省级以上网信部门和其他有关主管部门报告。 |
第十二条 | 各地网信部门应当加强对数据处理者数据出境活动的指导监督,健全完善数据出境安全评估制度,优化评估流程;强化事前事中事后全链条全领域监管,发现数据出境活动存在较大风险或者发生数据安全事件的,要求数据处理者进行整改,消除隐患;对拒不改正或者造成严重后果的,依法追究法律责任。 |
第十三条 | 2022年7月7日公布的《数据出境安全评估办法 》(国家互联网信息办公室令第11号)、2023年2月22日公布的《个人信息出境标准合同办法》(国家互联网信息办公室令第13号)等相关规定与本规定不一致的,适用本规定 。 |
第十四条 | 本规定自公布之日起施行。 |
出境数据合规路径判断顺序
1.判断出境数据是否为重要数据:重要数据→安全评估
2.再去除豁免场景:属于豁免场景→无需安全评估/认证/标准合同备案
3.判断身份是否为关基→关基出境个人信息或重要数据→安全评估
4.非关基则计算出境数量,数量计算先去除豁免场景数量:
自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的→无需安全评估/认证/标准合同备案。
自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的→认证/标准合同备案。
自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息→安全评估。
“数据出境行为”定义有何变化?
《数据出境安全评估申报指南(第二版)》规定以下情形属于数据出境行为:
(一)数据处理者将在境内运营中收集和产生的数据传输至境外;
(二)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;
(三)符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他数据处理活动。(新增)
《规定》施行前已经完成或者正在申报数据出境安全评估、提交个人信息出境标准合同备案的,如何适用本规定?
《规定》施行前已经通过数据出境安全评估的数据出境活动,数据处理者可以根据申报事项继续开展。
《规定》施行前未通过或者部分未通过数据出境安全评估,根据《规定》免予申报数据出境安全评估的数据出境活动,数据处理者可以依法通过订立个人信息出境标准合同、通过个人信息保护认证等其他途径向境外提供个人信息。
《规定》施行前已经申报数据出境安全评估、提交个人信息出境标准合同备案,根据《规定》无需开展上述程序的,数据处理者可以按照原程序进行,也可以向所在地省级网信部门撤回申报、备案。
数据处理者如何申报数据出境安全评估、备案个人信息出境标准合同、申请个人信息保护认证?
申报数据出境安全评估、备案个人信息出境标准合同可以登录数据出境申报系统,网址:
https://sjcj.cac.gov.cn
已经通过线下方式提交安全评估申报、标准合同备案材料的,不需要通过数据出境申报系统进行重新提交。申请个人信息保护认证可以登录个人信息保护认证管理系统,网址:
https://data.isccc.gov.cn
关键信息基础设施运营者或者其他不适合通过数据出境申报系统申报数据出境安全评估的,采用线下方式通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
安全评估申报及标准合同备案
实务经验分享
评估报告撰写注意事项:
1、需分别阐述《个人信息保护法》《数据出境安全评估办法》《个人信息出境标准合同办法》出台后的落实举措;
2、申报数据出境安全评估的,阐述符合数据出境安全评估申报的哪些条件并提供佐证材料;
3、按照申报业务场景梳理对应的出境数据项情况,需形成表格,同一场景下的数据项需去重(《申报指南(第二版)已补充》):
序号 | 数据项名称 | 内容描述 | 出境必要性 | 示例 | 备注 |
1 | |||||
2 | |||||
...... |
4、涉及个人信息出境的,需提供履行《个人信息保护法》第三十九条规定的情况说明及佐证材料,包括告知义务和取得个人的单独同意等,若属于《个人信息保护法》第十三条第一款第二项至第七项规定情形的,不需取得个人同意(《申报指南(第二版)已补充》);
5、涉及信息系统为英文名的需提供中文译名;
6、出境链路相关情况需提供点对点涉及的链路提供商、链路数量与带宽、境内外落地数据中心名称及机房物理位置、IP地址等;注意:IP地址应明文完整提供,涉及动态IP需提供目前IP,并说明后续可能变化;
7、根据《申报指南》或《备案指南》内提供的模板要求详实阐述各项要点,勿更改模板;
8、提供各场景个人信息保护影响评估证明材料;
9、涉及专线传输的,需提供专线传输的证明材料;
10、若为多主体联合申报/备案,提供联合申报书,需加盖各主体公章。
其他实务经验,请点击查看此前专题分享:。
赛博研究院在数据出境合规领域有丰富案例经验,已成功协助多家跨国集团(零售、制造业、金融等)通过国家网信办数据出境安全评估和省级网信办个人信息出境标准合同备案,如有相关业务需求,请与我们联系:[email protected]。
作者|刘境棠/赛博研究院咨询总监&高级研究员
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...