近来,中国发布了一个规定草案,旨在放宽一些对数据出境的繁重要求。在中国长达数年收紧数据安全法律以及今年夏天展开反间谍行动的背景下,此举受到了外国企业的广泛欢迎,这被视为一个信号,表明监管机构愿意根据支持经济增长的需要来调整国家安全目标。由于该规定仍处于草案阶段,我们将解释其重要性,以及在该规定最终定稿并生效之前企业的应对方式。
规定草案中提出了哪些主要修改?
2023年9月28日,国家互联网信息办公室发布了《规范和促进数据跨境流动规定(征求意见稿)》(“规定草案”),向社会公开征求意见。其中对一些数据出境活动规定了豁免情形,并调整了跨境数据传输三大机制(申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证)的门槛。
根据其中一项规定,以下数据出境活动将 豁免跨境数据传输机制:
- 人力资源管理 – 实施人力资源管理,必须向境外提供内部员工个人信息的。
- 不满1万人个人信息 – 公司预计一年内向境外提供不满1万人个人信息的。
-
合同必要性 –
为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预定、签证办理等,必须向境外提供个人信息的。
这对于从中国数境出境意味着什么?
大量外国公司,特别是那些在B2B行业经营、处理个人信息数量较少的公司,将因减轻合规负担而受益。针对员工个人信息以及合同履行情况的豁免,也反映了该等跨境商业活动对国家安全的风险相对较低。值得注意的是,该规定草案仍然认为,向境外提供“重要数据”的,需要申报数据出境安全评估,但仅限于被相关部门、地区告知或者公开发布为重要数据的情况下。
此外,此前的规定要求监管部门来确定数据出境是否真正“必要”,而该规定草案则建议公司自行确定数据出境的必要性。这一措辞上的重要变化反映了监管方式从 事前监管(即数据出境前的强制性政府批准)向 事后审查(即允许某些数据流动接受持续审查)的转变。这将有利于减轻监管机构和广大商界的行政压力。
在此期间,跨国公司应如何应对?
尽管之前预计该规定草案将在2023年11月30日前(即根据之前的规定,需要向网信部门提交个人信息出境标准合同进行备案的宽限期的截止日期)生效,但在撰写本文时,该规定草案仍然没有最终定稿。尽管如此,我们预计最终定稿将在未来几个月内发布,其中会保留草案的许多关键条款。
与此同时,企业应密切评估其在规定草案提出的门槛和豁免情形下的处境。包括估算其在一年内预计向境外提供的数据量。此外,根据公司现有数据出境安全评估或标准合同备案的当前进度,影响可能会有所不同,例如:
- 对于敏感行业(如医疗保健、金融服务)的公司,应继续进行数据出境安全评估或个人信息标准合同备案;
- 对于那些处于不太敏感的B2B行业且并未达到规定草案中的新门槛的公司,可以进一步观望立法进程;
- 而对于那些处于不太敏感的B2B行业但超过了规定草案中的新门槛的公司(例如,预计一年内向境外提供1万人以上个人信息),应继续标准合同的准备工作,但可以暂缓标准合同的备案。
最后,值得强调的是,在规定草案生效后,企业仍需遵守跨境数据传输的其他要求,包括:
- 个人信息处理的合法性基础 – 数据处理者在处理个人信息时必须具备合法性基础,例如个人同意,以及在跨境数据传输时取得个人的“单独同意”。
- 合同安排 – 向第三方跨境传输数据时,需要签订符合中国有关规定的详细合同协议。
- 个人信息保护影响评估 – 中国的《个人信息保护法》要求个人信息处理者应当在向境外提供个人信息前进行个人信息保护影响评估。
- 内部数据安全和隐私保护措施 – 跨国公司应实施适当的数据安全管理和技术体系,定期进行个人信息保护合规审计,为在某些情况下接受政府监督做好准备。
前瞻
总体而言,规定草案体现了中国数据治理机制的积极发展。长期以来,对跨境数据传输的限制一直是在华跨国公司担忧的问题。通过减少合规负担,允许更广泛的跨境数据流动,这将极大地促进外商在华投资。
展望未来,规定草案还授权中国境内的自由贸易试验区自行制定本自贸区数据出境的负面清单,负面清单外数据出境,可以豁免跨境数据传输机制。这样,允许从中国自贸区轻松出境的数据类别可能会逐步增加,最终可能会在地区或国家层面采用。
与以往一样,在这个快速发展的领域紧跟监管和政策动态,并确保现有的数据合规协议符合目的,仍然非常重要。
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.