《促进和规范数据跨境流动规定》是
国家互联网信息办公室2024年3月22日公布的规定,自公布之日起施行。
发布公告
国家互联网信息办公室令第16号
《促进和规范数据跨境流动规定》已经2023年11月28日国家互联网信息办公室2023年第26次室务会议审议通过,现予公布,自公布之日起施行。
国家互联网信息办公室主任 庄荣文
2024年3月22日
全文
促进和规范数据跨境流动规定
第一条 为了保障数据安全,保护个人信息权益,促进数据依法有序自由流动,根据《
中华人民共和国网络安全法》、《
中华人民共和国数据安全法》、《
中华人民共和国个人信息保护法》等法律法规,对于
数据出境安全评估、
个人信息出境标准合同、个人信息保护认证等数据出境制度的施行,制定本规定。
第二条 数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报
数据出境安全评估。
第三条 国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的,免予申报
数据出境安全评估、订立
个人信息出境标准合同、通过个人信息保护认证。
第四条 数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内
个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
第五条 数据处理者向境外提供个人信息,符合下列条件之一的,免予申报
数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:
(一)为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的;
(二)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;
(三)紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;
(四)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。
前款所称向境外提供的个人信息,不包括重要数据。
第六条
自由贸易试验区在国家
数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称
负面清单),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。
自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
第七条 数据处理者向境外提供数据,符合下列条件之一的,应当通过所在地省级网信部门向国家网信部门申报
数据出境安全评估:
(一)
关键信息基础设施运营者向境外提供个人信息或者重要数据;
(二)
关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。
属于本规定第三条、第四条、第五条、第六条规定情形的,从其规定。
第八条
关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当依法与境外接收方订立
个人信息出境标准合同或者通过个人信息保护认证。
属于本规定第三条、第四条、第五条、第六条规定情形的,从其规定。
第九条 通过
数据出境安全评估的结果有效期为3年,自评估结果出具之日起计算。有效期届满,需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的,数据处理者可以在有效期届满前60个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请。经国家网信部门批准,可以延长评估结果有效期3年。
第十条 数据处理者向境外提供个人信息的,应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。
第十一条 数据处理者向境外提供数据的,应当遵守法律、法规的规定,履行数据安全保护义务,采取技术措施和其他必要措施,保障
数据出境安全。发生或者可能发生数据安全事件的,应当采取补救措施,及时向省级以上网信部门和其他有关主管部门报告。
第十二条 各地网信部门应当加强对数据处理者数据出境活动的指导监督,健全完善
数据出境安全评估制度,优化评估流程;强化事前事中事后全链条全领域监管,发现数据出境活动存在较大风险或者发生数据安全事件的,要求数据处理者进行整改,消除隐患;对拒不改正或者造成严重后果的,依法追究法律责任。
第十三条 2022年7月7日公布的《
数据出境安全评估办法》(国家互联网信息办公室令第11号)、2023年2月22日公布的《
个人信息出境标准合同办法》(国家互联网信息办公室令第13号)等相关规定与本规定不一致的,适用本规定。
第十四条 本规定自公布之日起施行。
主要内容
《规定》对数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度作出优化调整。
《规定》明确了重要数据出境安全评估申报标准,提出未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
《规定》规定了免予申报
数据出境安全评估、订立
个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件:
一是国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含
个人信息或者重要数据的;
二是在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的;
三是为订立、履行个人作为一方当事人的合同,确需向境外提供个人信息的;
四是按照依法制定的劳动规章制度和依法签订的集体合同实施跨境
人力资源管理,确需向境外提供员工个人信息的;
五是紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;
六是关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。
《规定》设立
自由贸易试验区负面清单制度。提出自由贸易试验区在国家
数据分类分级保护制度框架下,可以自行制定区内负面清单,经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
《规定》明确了应当申报
数据出境安全评估的两类
数据出境活动条件,一是
关键信息基础设施运营者向境外提供个人信息或者重要数据;二是
关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。同时,明确了应当订立
个人信息出境标准合同或者通过个人信息保护认证的数据出境活动条件,即关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息。
《规定》同时对数据出境安全评估的有效期限和延期申请、数据安全保护义务和监督管理责任、与数据出境安全管理其他规定的衔接适用等作了规定。
答记者问
3月22日,国家互联网信息办公室公布《促进和规范数据跨境流动规定》(以下简称《规定》)。国家互联网信息办公室有关负责人就《规定》相关问题回答了记者提问。
问1:请介绍一下《规定》的出台背景?
答:我国积极促进数据依法有序自由流动,相继制定实施《
网络安全法》、《数据安全法》、《
个人信息保护法》,对数据出境活动作出明确规定。《网络安全法》规定,
关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在
境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。《数据安全法》规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。《个人信息保护法》规定,
个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备通过国家网信部门组织的安全评估、按照国家网信部门的规定经专业机构进行个人信息保护认证、按照国家网信部门制定的标准合同与境外接收方订立合同等条件之一。中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。法律作出这样的规定,是为了切实保护人民群众利益,维护国家网络和数据安全,促进数据依法有序自由流动。数据出境安全管理不是对于所有数据,只限于重要数据和个人信息,这里的重要数据是针对国家而言,而不是针对企业和个人。
落实法律规定要求,国家互联网信息办公室公布了《
数据出境安全评估办法》和《
个人信息出境标准合同办法》,联合国家市场监督管理总局公布了《
关于实施个人信息保护认证的公告》,基本构建了数据出境安全管理制度。此外,国家互联网信息办公室先后公布了《数据出境安全评估申报指南》、《
个人信息出境标准合同备案指南》等文件,对数据处理者申报安全评估、备案标准合同的方式、流程及需提交的材料等具体要求作出了说明。
国家互联网信息办公室结合数据出境安全管理工作实际,制定《规定》,对现有数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的实施和衔接作出进一步明确,适当放宽数据跨境流动条件,适度收窄数据出境安全评估范围,在保障国家数据安全的前提下,便利数据跨境流动,降低企业合规成本,充分释放数据要素价值,扩大高水平对外开放,为数字经济高质量发展提供法律保障。
问2:《规定》的主要内容是什么?
答:《规定》主要对下列内容进行了规定:一是明确重要数据出境安全评估申报标准。二是明确免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件。三是设立自由贸易试验区负面清单制度。四是调整应当申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件。五是延长数据出境安全评估结果有效期,增加数据处理者可以申请延长评估结果有效期的规定。
问3:《规定》与《数据出境安全评估办法》、《个人信息出境标准合同办法》之间的关系是什么?
答:《数据出境安全评估办法》、《个人信息出境标准合同办法》相关规定与《规定》不一致的,适用《规定》。
问4:如何理解数据出境活动所称的重要数据?重要数据申报出境安全评估的标准是什么?
答:根据《数据出境安全评估办法》,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害
国家安全、经济运行、社会稳定、
公共健康和安全等的数据。
《数据安全法》规定,国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
根据《规定》,数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
问5:个人信息、敏感个人信息是什么,如何判断?
答:根据《个人信息保护法》,个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。
个人信息采用加密、脱敏等措施处理属于
去标识化,去标识化处理后的个人信息仍是《
个人信息保护法》规定的个人信息。去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。
敏感个人信息,是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
问6:关键信息基础设施是什么,如何认定?
答:根据《
关键信息基础设施安全保护条例》,
关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
涉及的重要行业和领域的主管部门、监督管理部门负责制定本行业、本领域关键信息基础设施认定规则,组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知关键信息基础设施运营者。
问7:哪些数据出境活动免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证?
答:下列六种数据出境活动免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:
一是国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的。二是在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的。三是为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的。四是按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的。五是紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的。六是关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。其中,第三种至第六种条件所称向境外提供的个人信息,不包括被相关部门、地区告知或者公开发布为重要数据的个人信息。
问8:如何理解自由贸易试验区负面清单制度?
答:
自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(简称
负面清单)。
自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。负面清单出台前,自由贸易试验区内的数据出境活动按照国家数据出境安全管理有关规定执行。
问9:如何理解数据出境安全评估、个人信息出境标准合同、个人信息保护认证制度之间的关系?
答:对于重要数据的出境活动和符合应当申报数据出境安全评估条件的个人信息出境活动,必须通过数据出境安全评估。
对于未达到数据出境安全评估申报条件的个人信息出境活动,个人信息处理者可以结合自身情况,选择订立个人信息出境标准合同或者通过个人信息保护认证的方式。符合免予订立个人信息出境标准合同、通过个人信息保护认证条件的,个人信息处理者无需履行相关程序。
问10:哪些数据出境活动需要申报数据出境安全评估?
答:《规定》对《数据出境安全评估办法》明确的应当申报数据出境安全评估的条件作了优化调整。《规定》明确了两种应当申报数据出境安全评估的条件:一是关键信息基础设施运营者向境外提供个人信息或者重要数据。二是关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。属于《规定》第三条、第四条、第五条、第六条规定情形的,从其规定。
问11:如何计算“自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息”?
答:计算周期为自当年1月1日起至申报数据出境安全评估之日,数量以自然人为单位去重后的统计结果为准。
属于《规定》第三条、第四条、第五条第一款第一项至第三项、第六条规定情形的,不计入累计数量。
问12:哪些数据出境活动需要订立个人信息出境标准合同、通过个人信息保护认证?
答:《规定》对《个人信息出境标准合同办法》明确的应当订立个人信息出境标准合同的条件作了优化调整。根据《规定》,关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。属于《规定》第三条、第四条、第五条、第六条规定情形的,从其规定。
需要说明的是,向境外提供被相关部门、地区告知或者公开发布为重要数据的个人信息,应当申报数据出境安全评估,不得选择订立个人信息出境标准合同或者通过个人信息保护认证的方式。
问13:通过数据出境安全评估结果的有效期是多久?是否可以申请延期?
答:《规定》将通过数据出境安全评估结果的有效期由《数据出境安全评估办法》中规定的2年延长至3年,自评估结果出具之日起计算。同时,增加数据处理者可以申请延长评估结果有效期的规定。有效期届满,需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的,数据处理者可以在有效期届满前60个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请。经国家网信部门批准,可以延长评估结果有效期3年。
问14:《规定》施行前已经完成或者正在申报数据出境安全评估、提交个人信息出境标准合同备案的,如何适用本规定?
答:《规定》施行前已经通过数据出境安全评估的数据出境活动,数据处理者可以根据申报事项继续开展。
《规定》施行前未通过或者部分未通过数据出境安全评估,根据《规定》免予申报数据出境安全评估的数据出境活动,数据处理者可以依法通过订立个人信息出境标准合同、通过个人信息保护认证等其他途径向境外提供个人信息。
《规定》施行前已经申报数据出境安全评估、提交个人信息出境标准合同备案,根据《规定》无需开展上述程序的,数据处理者可以按照原程序进行,也可以向所在地省级网信部门撤回申报、备案。
问15:数据处理者如何申报数据出境安全评估、备案个人信息出境标准合同、申请个人信息保护认证?
答:申报数据出境安全评估、备案个人信息出境标准合同可以登录数据出境申报系统,网址:【略】。已经通过线下方式提交安全评估申报、标准合同备案材料的,不需要通过数据出境申报系统进行重新提交。申请个人信息保护认证可以登录个人信息保护认证管理系统,网址:【略】。
关键信息基础设施运营者或者其他不适合通过数据出境申报系统申报数据出境安全评估的,采用线下方式通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
问16:数据出境咨询、举报联系方式有哪些?
答:(1)数据出境安全评估申报:【略】;(2)个人信息出境标准合同备案:【略】;(3)个人信息保护认证申请:【略】。
各地省级网信部门受理数据出境安全评估申报、个人信息出境标准合同备案工作的联系方式(办公地址、联系电话),详见各省、自治区、直辖市和新疆生产建设兵团互联网信息办公室官网、微信公众号,以及国家互联网信息办公室官网-数据治理栏目。
内容解读
数据跨境流动是指数据处理者向境外提供个人信息等数据。一般将数据跨境流动理解为“数据从一法域被转移至另一法域的行为”或“跨境对存储在计算机中的机器可读数据进行处理”。数据跨境流动主要包括两种情形:(1)数据跨境的传输、转移行为;(2)尽管数据尚未跨境,但能够被境外的主体进行访问处理。
《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》都对数据跨境流动作出了规定,国家网信办为落实上述法律的相关规定,于2022年7月7日公布了《数据出境安全评估办法》,于2023年2月22日公布了《个人信息出境标准合同办法》。这些是处理数据跨境流动的重要部门规章。国家网信办近日公布了《促进和规范数据跨境流动规定》(以下简称《规定》),旨在对数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的施行进行调整,保障数据安全,保护个人信息权益,促进数据依法有序自由流动。
新出台的《规定》有以下主要内容:
符合规定情形的重要数据出境需要经过安全评估。数据跨境流动管理的基础是区别重要数据和非重要数据。依据《规定》,重要数据的跨境流动需要经过安全评估,数据处理者应当按照相关规定识别、申报重要数据。但是,未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
不包含个人信息或者重要数据的出境豁免。依据《规定》,国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,如果不包含个人信息或者重要数据,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供的,如果处理过程中没有引入境内个人信息或者重要数据,也免予申报数据出境安全评估、订立个人信息出境标准合同以及通过个人信息保护认证。
部分个人信息出境豁免。《规定》规定,为订立或者履行个人作为一方当事人的合同确需向境外提供个人信息、按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理确需向境外提供员工个人信息、紧急情况下为保护自然人的生命健康和财产安全确需向境外提供个人信息、关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人非敏感个人信息,只要不包含重要数据,免予申报数据出境安全评估、订立个人信息出境标准合同以及通过个人信息保护认证。
自贸区特别立法权与负面清单制度。《规定》指出,自由贸易试验区在国家数据分类分级保护制度框架下可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单,即负面清单,经省级网络安全和信息化委员会批准后报国家网信部门、国家数据管理部门备案。自贸区内数据处理者向境外提供负面清单之外的数据可以免予数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
细化数据出境安全评估和个人信息出境标准合同及认证制度。《规定》对需要进行数据出境安全评估的情形作出了明确规定:(1)关键信息基础设施运营者向境外提供个人信息或者重要数据;(2)关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上非敏感个人信息或1万人以上敏感个人信息。通过数据出境安全评估的结果有效期为3年,满期后可以申请延长。
关键信息基础设施运营者以外的数据处理者,自当年1月1日起累计向境外提供10万人以上不满100万人非敏感个人信息或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。
《规定》还以专门条文重申了数据处理者向境外提供个人信息和数据的法律义务,强调各地网信部门的监管职责。
《规定》的公布与实施,体现了优化营商环境、方便数据(个人信息)处理者经营活动的指导思想,对于非重要数据和特定个人信息的出境规定了方便快捷的路径,对重要数据和敏感个人信息提供了更加精确的保护,有利于实现发展与安全的平衡,更好地保障数据安全,保护个人信息权益,促进数据依法有序自由流动。
作者:
张新宝 中国人民大学网络信息法中心主任,中国法学会网络信息法学研究会副会长