《促進和規範數據跨境流動規定》是國家網際網路信息辦公室2024年3月22日公布的規定,自公布之日起施行。
基本介紹
- 中文名:促進和規範數據跨境流動規定
- 頒布時間:2024年3月22日
- 實施時間:2024年3月22日
- 發布單位:國家網際網路信息辦公室
- 文號:國家網際網路信息辦公室令第16號
發布公告,全文,主要內容,答記者問,內容解讀,
發布公告
國家網際網路信息辦公室令第16號
《促進和規範數據跨境流動規定》已經2023年11月28日國家網際網路信息辦公室2023年第26次室務會議審議通過,現予公布,自公布之日起施行。
國家網際網路信息辦公室主任 莊榮文
2024年3月22日
全文
促進和規範數據跨境流動規定
第一條 為了保障數據安全,保護個人信息權益,促進數據依法有序自由流動,根據《中華人民共和國網路安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》等法律法規,對於數據出境安全評估、個人信息出境標準契約、個人信息保護認證等數據出境制度的施行,制定本規定。
第二條 數據處理者應當按照相關規定識別、申報重要數據。未被相關部門、地區告知或者公開發布為重要數據的,數據處理者不需要作為重要數據申報數據出境安全評估。
第三條 國際貿易、跨境運輸、學術合作、跨國生產製造和市場行銷等活動中收集和產生的數據向境外提供,不包含個人信息或者重要數據的,免予申報數據出境安全評估、訂立個人信息出境標準契約、通過個人信息保護認證。
第四條 數據處理者在境外收集和產生的個人信息傳輸至境內處理後向境外提供,處理過程中沒有引入境內個人信息或者重要數據的,免予申報數據出境安全評估、訂立個人信息出境標準契約、通過個人信息保護認證。
第五條 數據處理者向境外提供個人信息,符合下列條件之一的,免予申報數據出境安全評估、訂立個人信息出境標準契約、通過個人信息保護認證:
(一)為訂立、履行個人作為一方當事人的契約,如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等,確需向境外提供個人信息的;
(二)按照依法制定的勞動規章制度和依法簽訂的集體契約實施跨境人力資源管理,確需向境外提供員工個人信息的;
(三)緊急情況下為保護自然人的生命健康和財產安全,確需向境外提供個人信息的;
(四)關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供不滿10萬人個人信息(不含敏感個人信息)的。
前款所稱向境外提供的個人信息,不包括重要數據。
第六條 自由貿易試驗區在國家數據分類分級保護制度框架下,可以自行制定區內需要納入數據出境安全評估、個人信息出境標準契約、個人信息保護認證管理範圍的數據清單(以下簡稱負面清單),經省級網路安全和信息化委員會批准後,報國家網信部門、國家數據管理部門備案。
自由貿易試驗區內數據處理者向境外提供負面清單外的數據,可以免予申報數據出境安全評估、訂立個人信息出境標準契約、通過個人信息保護認證。
第七條 數據處理者向境外提供數據,符合下列條件之一的,應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估:
(一)關鍵信息基礎設施運營者向境外提供個人信息或者重要數據;
(二)關鍵信息基礎設施運營者以外的數據處理者向境外提供重要數據,或者自當年1月1日起累計向境外提供100萬人以上個人信息(不含敏感個人信息)或者1萬人以上敏感個人信息。
屬於本規定第三條、第四條、第五條、第六條規定情形的,從其規定。
第八條 關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息(不含敏感個人信息)或者不滿1萬人敏感個人信息的,應當依法與境外接收方訂立個人信息出境標準契約或者通過個人信息保護認證。
屬於本規定第三條、第四條、第五條、第六條規定情形的,從其規定。
第九條 通過數據出境安全評估的結果有效期為3年,自評估結果出具之日起計算。有效期屆滿,需要繼續開展數據出境活動且未發生需要重新申報數據出境安全評估情形的,數據處理者可以在有效期屆滿前60個工作日內通過所在地省級網信部門向國家網信部門提出延長評估結果有效期申請。經國家網信部門批准,可以延長評估結果有效期3年。
第十條 數據處理者向境外提供個人信息的,應當按照法律、行政法規的規定履行告知、取得個人單獨同意、進行個人信息保護影響評估等義務。
第十一條 數據處理者向境外提供數據的,應當遵守法律、法規的規定,履行數據安全保護義務,採取技術措施和其他必要措施,保障數據出境安全。發生或者可能發生數據安全事件的,應當採取補救措施,及時向省級以上網信部門和其他有關主管部門報告。
第十二條 各地網信部門應當加強對數據處理者數據出境活動的指導監督,健全完善數據出境安全評估制度,最佳化評估流程;強化事前事中事後全鏈條全領域監管,發現數據出境活動存在較大風險或者發生數據安全事件的,要求數據處理者進行整改,消除隱患;對拒不改正或者造成嚴重後果的,依法追究法律責任。
第十三條 2022年7月7日公布的《數據出境安全評估辦法》(國家網際網路信息辦公室令第11號)、2023年2月22日公布的《個人信息出境標準契約辦法》(國家網際網路信息辦公室令第13號)等相關規定與本規定不一致的,適用本規定。
第十四條 本規定自公布之日起施行。
主要內容
《規定》對數據出境安全評估、個人信息出境標準契約、個人信息保護認證等數據出境制度作出最佳化調整。
《規定》明確了重要數據出境安全評估申報標準,提出未被相關部門、地區告知或者公開發布為重要數據的,數據處理者不需要作為重要數據申報數據出境安全評估。
《規定》規定了免予申報數據出境安全評估、訂立個人信息出境標準契約、通過個人信息保護認證的數據出境活動條件:
一是國際貿易、跨境運輸、學術合作、跨國生產製造和市場行銷等活動中收集和產生的數據向境外提供,不包含個人信息或者重要數據的;
二是在境外收集和產生的個人信息傳輸至境內處理後向境外提供,處理過程中沒有引入境內個人信息或者重要數據的;
三是為訂立、履行個人作為一方當事人的契約,確需向境外提供個人信息的;
四是按照依法制定的勞動規章制度和依法簽訂的集體契約實施跨境人力資源管理,確需向境外提供員工個人信息的;
五是緊急情況下為保護自然人的生命健康和財產安全,確需向境外提供個人信息的;
六是關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供不滿10萬人個人信息(不含敏感個人信息)的。
《規定》設立自由貿易試驗區負面清單制度。提出自由貿易試驗區在國家數據分類分級保護制度框架下,可以自行制定區內負面清單,經省級網路安全和信息化委員會批准後,報國家網信部門、國家數據管理部門備案。自由貿易試驗區內數據處理者向境外提供負面清單外的數據,可以免予申報數據出境安全評估、訂立個人信息出境標準契約、通過個人信息保護認證。
《規定》明確了應當申報數據出境安全評估的兩類數據出境活動條件,一是關鍵信息基礎設施運營者向境外提供個人信息或者重要數據;二是關鍵信息基礎設施運營者以外的數據處理者向境外提供重要數據,或者自當年1月1日起累計向境外提供100萬人以上個人信息(不含敏感個人信息)或者1萬人以上敏感個人信息。同時,明確了應當訂立個人信息出境標準契約或者通過個人信息保護認證的數據出境活動條件,即關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息(不含敏感個人信息)或者不滿1萬人敏感個人信息。
《規定》同時對數據出境安全評估的有效期限和延期申請、數據安全保護義務和監督管理責任、與數據出境安全管理其他規定的銜接適用等作了規定。
答記者問
3月22日,國家網際網路信息辦公室公布《促進和規範數據跨境流動規定》(以下簡稱《規定》)。國家網際網路信息辦公室有關負責人就《規定》相關問題回答了記者提問。
問1:請介紹一下《規定》的出台背景?
答:我國積極促進數據依法有序自由流動,相繼制定實施《網路安全法》、《數據安全法》、《個人信息保護法》,對數據出境活動作出明確規定。《網路安全法》規定,關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。《數據安全法》規定,關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理,適用《網路安全法》的規定;其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。《個人信息保護法》規定,個人信息處理者因業務等需要,確需向中華人民共和國境外提供個人信息的,應當具備通過國家網信部門組織的安全評估、按照國家網信部門的規定經專業機構進行個人信息保護認證、按照國家網信部門制定的標準契約與境外接收方訂立契約等條件之一。中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息的條件等有規定的,可以按照其規定執行。法律作出這樣的規定,是為了切實保護人民民眾利益,維護國家網路和數據安全,促進數據依法有序自由流動。數據出境安全管理不是對於所有數據,只限於重要數據和個人信息,這裡的重要數據是針對國家而言,而不是針對企業和個人。
落實法律規定要求,國家網際網路信息辦公室公布了《數據出境安全評估辦法》和《個人信息出境標準契約辦法》,聯合國家市場監督管理總局公布了《關於實施個人信息保護認證的公告》,基本構建了數據出境安全管理制度。此外,國家網際網路信息辦公室先後公布了《數據出境安全評估申報指南》、《個人信息出境標準契約備案指南》等檔案,對數據處理者申報安全評估、備案標準契約的方式、流程及需提交的材料等具體要求作出了說明。
國家網際網路信息辦公室結合數據出境安全管理工作實際,制定《規定》,對現有數據出境安全評估、個人信息出境標準契約、個人信息保護認證等數據出境制度的實施和銜接作出進一步明確,適當放寬數據跨境流動條件,適度收窄數據出境安全評估範圍,在保障國家數據安全的前提下,便利數據跨境流動,降低企業合規成本,充分釋放數據要素價值,擴大高水平對外開放,為數字經濟高質量發展提供法律保障。
問2:《規定》的主要內容是什麼?
答:《規定》主要對下列內容進行了規定:一是明確重要數據出境安全評估申報標準。二是明確免予申報數據出境安全評估、訂立個人信息出境標準契約、通過個人信息保護認證的數據出境活動條件。三是設立自由貿易試驗區負面清單制度。四是調整應當申報數據出境安全評估、訂立個人信息出境標準契約、通過個人信息保護認證的數據出境活動條件。五是延長數據出境安全評估結果有效期,增加數據處理者可以申請延長評估結果有效期的規定。
問3:《規定》與《數據出境安全評估辦法》、《個人信息出境標準契約辦法》之間的關係是什麼?
答:《數據出境安全評估辦法》、《個人信息出境標準契約辦法》相關規定與《規定》不一致的,適用《規定》。
問4:如何理解數據出境活動所稱的重要數據?重要數據申報出境安全評估的標準是什麼?
《數據安全法》規定,國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄,加強對重要數據的保護。各地區、各部門應當按照數據分類分級保護制度,確定本地區、本部門以及相關行業、領域的重要數據具體目錄,對列入目錄的數據進行重點保護。
根據《規定》,數據處理者應當按照相關規定識別、申報重要數據。未被相關部門、地區告知或者公開發布為重要數據的,數據處理者不需要作為重要數據申報數據出境安全評估。
問5:個人信息、敏感個人信息是什麼,如何判斷?
答:根據《個人信息保護法》,個人信息是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理後的信息。匿名化,是指個人信息經過處理無法識別特定自然人且不能復原的過程。
敏感個人信息,是指一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。
問6:關鍵信息基礎設施是什麼,如何認定?
答:根據《關鍵信息基礎設施安全保護條例》,關鍵信息基礎設施是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網路設施、信息系統等。
涉及的重要行業和領域的主管部門、監督管理部門負責制定本行業、本領域關鍵信息基礎設施認定規則,組織認定本行業、本領域的關鍵信息基礎設施,及時將認定結果通知關鍵信息基礎設施運營者。
問7:哪些數據出境活動免予申報數據出境安全評估、訂立個人信息出境標準契約、通過個人信息保護認證?
答:下列六種數據出境活動免予申報數據出境安全評估、訂立個人信息出境標準契約、通過個人信息保護認證:
一是國際貿易、跨境運輸、學術合作、跨國生產製造和市場行銷等活動中收集和產生的數據向境外提供,不包含個人信息或者重要數據的。二是在境外收集和產生的個人信息傳輸至境內處理後向境外提供,處理過程中沒有引入境內個人信息或者重要數據的。三是為訂立、履行個人作為一方當事人的契約,如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等,確需向境外提供個人信息的。四是按照依法制定的勞動規章制度和依法簽訂的集體契約實施跨境人力資源管理,確需向境外提供員工個人信息的。五是緊急情況下為保護自然人的生命健康和財產安全,確需向境外提供個人信息的。六是關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供不滿10萬人個人信息(不含敏感個人信息)的。其中,第三種至第六種條件所稱向境外提供的個人信息,不包括被相關部門、地區告知或者公開發布為重要數據的個人信息。
問8:如何理解自由貿易試驗區負面清單制度?
自由貿易試驗區內數據處理者向境外提供負面清單外的數據,可以免予申報數據出境安全評估、訂立個人信息出境標準契約、通過個人信息保護認證。負面清單出台前,自由貿易試驗區內的數據出境活動按照國家數據出境安全管理有關規定執行。
問9:如何理解數據出境安全評估、個人信息出境標準契約、個人信息保護認證制度之間的關係?
答:對於重要數據的出境活動和符合應當申報數據出境安全評估條件的個人信息出境活動,必須通過數據出境安全評估。
對於未達到數據出境安全評估申報條件的個人信息出境活動,個人信息處理者可以結合自身情況,選擇訂立個人信息出境標準契約或者通過個人信息保護認證的方式。符合免予訂立個人信息出境標準契約、通過個人信息保護認證條件的,個人信息處理者無需履行相關程式。
問10:哪些數據出境活動需要申報數據出境安全評估?
答:《規定》對《數據出境安全評估辦法》明確的應當申報數據出境安全評估的條件作了最佳化調整。《規定》明確了兩種應當申報數據出境安全評估的條件:一是關鍵信息基礎設施運營者向境外提供個人信息或者重要數據。二是關鍵信息基礎設施運營者以外的數據處理者向境外提供重要數據,或者自當年1月1日起累計向境外提供100萬人以上個人信息(不含敏感個人信息)或者1萬人以上敏感個人信息。屬於《規定》第三條、第四條、第五條、第六條規定情形的,從其規定。
問11:如何計算“自當年1月1日起累計向境外提供100萬人以上個人信息(不含敏感個人信息)或者1萬人以上敏感個人信息”?
答:計算周期為自當年1月1日起至申報數據出境安全評估之日,數量以自然人為單位去重後的統計結果為準。
屬於《規定》第三條、第四條、第五條第一款第一項至第三項、第六條規定情形的,不計入累計數量。
問12:哪些數據出境活動需要訂立個人信息出境標準契約、通過個人信息保護認證?
答:《規定》對《個人信息出境標準契約辦法》明確的應當訂立個人信息出境標準契約的條件作了最佳化調整。根據《規定》,關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息(不含敏感個人信息)或者不滿1萬人敏感個人信息的,應當依法與境外接收方訂立個人信息出境標準契約或者通過個人信息保護認證。屬於《規定》第三條、第四條、第五條、第六條規定情形的,從其規定。
需要說明的是,向境外提供被相關部門、地區告知或者公開發布為重要數據的個人信息,應當申報數據出境安全評估,不得選擇訂立個人信息出境標準契約或者通過個人信息保護認證的方式。
問13:通過數據出境安全評估結果的有效期是多久?是否可以申請延期?
答:《規定》將通過數據出境安全評估結果的有效期由《數據出境安全評估辦法》中規定的2年延長至3年,自評估結果出具之日起計算。同時,增加數據處理者可以申請延長評估結果有效期的規定。有效期屆滿,需要繼續開展數據出境活動且未發生需要重新申報數據出境安全評估情形的,數據處理者可以在有效期屆滿前60個工作日內通過所在地省級網信部門向國家網信部門提出延長評估結果有效期申請。經國家網信部門批准,可以延長評估結果有效期3年。
問14:《規定》施行前已經完成或者正在申報數據出境安全評估、提交個人信息出境標準契約備案的,如何適用本規定?
答:《規定》施行前已經通過數據出境安全評估的數據出境活動,數據處理者可以根據申報事項繼續開展。
《規定》施行前未通過或者部分未通過數據出境安全評估,根據《規定》免予申報數據出境安全評估的數據出境活動,數據處理者可以依法通過訂立個人信息出境標準契約、通過個人信息保護認證等其他途徑向境外提供個人信息。
《規定》施行前已經申報數據出境安全評估、提交個人信息出境標準契約備案,根據《規定》無需開展上述程式的,數據處理者可以按照原程式進行,也可以向所在地省級網信部門撤回申報、備案。
問15:數據處理者如何申報數據出境安全評估、備案個人信息出境標準契約、申請個人信息保護認證?
答:申報數據出境安全評估、備案個人信息出境標準契約可以登錄數據出境申報系統,網址:【略】。已經通過線下方式提交安全評估申報、標準契約備案材料的,不需要通過數據出境申報系統進行重新提交。申請個人信息保護認證可以登錄個人信息保護認證管理系統,網址:【略】。
關鍵信息基礎設施運營者或者其他不適合通過數據出境申報系統申報數據出境安全評估的,採用線下方式通過所在地省級網信部門向國家網信部門申報數據出境安全評估。
問16:數據出境諮詢、舉報聯繫方式有哪些?
答:(1)數據出境安全評估申報:【略】;(2)個人信息出境標準契約備案:【略】;(3)個人信息保護認證申請:【略】。
各地省級網信部門受理數據出境安全評估申報、個人信息出境標準契約備案工作的聯繫方式(辦公地址、聯繫電話),詳見各省、自治區、直轄市和新疆生產建設兵團網際網路信息辦公室官網、微信公眾號,以及國家網際網路信息辦公室官網-數據治理欄目。
內容解讀
數據跨境流動是指數據處理者向境外提供個人信息等數據。一般將數據跨境流動理解為“數據從一法域被轉移至另一法域的行為”或“跨境對存儲在計算機中的機器可讀數據進行處理”。數據跨境流動主要包括兩種情形:(1)數據跨境的傳輸、轉移行為;(2)儘管數據尚未跨境,但能夠被境外的主體進行訪問處理。
《中華人民共和國網路安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》都對數據跨境流動作出了規定,國家網信辦為落實上述法律的相關規定,於2022年7月7日公布了《數據出境安全評估辦法》,於2023年2月22日公布了《個人信息出境標準契約辦法》。這些是處理數據跨境流動的重要部門規章。國家網信辦近日公布了《促進和規範數據跨境流動規定》(以下簡稱《規定》),旨在對數據出境安全評估、個人信息出境標準契約、個人信息保護認證等數據出境制度的施行進行調整,保障數據安全,保護個人信息權益,促進數據依法有序自由流動。
新出台的《規定》有以下主要內容:
符合規定情形的重要數據出境需要經過安全評估。數據跨境流動管理的基礎是區別重要數據和非重要數據。依據《規定》,重要數據的跨境流動需要經過安全評估,數據處理者應當按照相關規定識別、申報重要數據。但是,未被相關部門、地區告知或者公開發布為重要數據的,數據處理者不需要作為重要數據申報數據出境安全評估。
不包含個人信息或者重要數據的出境豁免。依據《規定》,國際貿易、跨境運輸、學術合作、跨國生產製造和市場行銷等活動中收集和產生的數據向境外提供,如果不包含個人信息或者重要數據,免予申報數據出境安全評估、訂立個人信息出境標準契約、通過個人信息保護認證。數據處理者在境外收集和產生的個人信息傳輸至境內處理後向境外提供的,如果處理過程中沒有引入境內個人信息或者重要數據,也免予申報數據出境安全評估、訂立個人信息出境標準契約以及通過個人信息保護認證。
部分個人信息出境豁免。《規定》規定,為訂立或者履行個人作為一方當事人的契約確需向境外提供個人信息、按照依法制定的勞動規章制度和依法簽訂的集體契約實施跨境人力資源管理確需向境外提供員工個人信息、緊急情況下為保護自然人的生命健康和財產安全確需向境外提供個人信息、關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供不滿10萬人非敏感個人信息,只要不包含重要數據,免予申報數據出境安全評估、訂立個人信息出境標準契約以及通過個人信息保護認證。
自貿區特別立法權與負面清單制度。《規定》指出,自由貿易試驗區在國家數據分類分級保護制度框架下可以自行制定區內需要納入數據出境安全評估、個人信息出境標準契約、個人信息保護認證管理範圍的數據清單,即負面清單,經省級網路安全和信息化委員會批准後報國家網信部門、國家數據管理部門備案。自貿區內數據處理者向境外提供負面清單之外的數據可以免予數據出境安全評估、訂立個人信息出境標準契約、通過個人信息保護認證。
細化數據出境安全評估和個人信息出境標準契約及認證制度。《規定》對需要進行數據出境安全評估的情形作出了明確規定:(1)關鍵信息基礎設施運營者向境外提供個人信息或者重要數據;(2)關鍵信息基礎設施運營者以外的數據處理者向境外提供重要數據,或者自當年1月1日起累計向境外提供100萬人以上非敏感個人信息或1萬人以上敏感個人信息。通過數據出境安全評估的結果有效期為3年,滿期後可以申請延長。
關鍵信息基礎設施運營者以外的數據處理者,自當年1月1日起累計向境外提供10萬人以上不滿100萬人非敏感個人信息或者不滿1萬人敏感個人信息的,應當依法與境外接收方訂立個人信息出境標準契約或者通過個人信息保護認證。
《規定》還以專門條文重申了數據處理者向境外提供個人信息和數據的法律義務,強調各地網信部門的監管職責。
《規定》的公布與實施,體現了最佳化營商環境、方便數據(個人信息)處理者經營活動的指導思想,對於非重要數據和特定個人信息的出境規定了方便快捷的路徑,對重要數據和敏感個人信息提供了更加精確的保護,有利於實現發展與安全的平衡,更好地保障數據安全,保護個人信息權益,促進數據依法有序自由流動。
作者:張新寶 中國人民大學網路信息法中心主任,中國法學會網路信息法學研究會副會長
