中国大陆数据跨境新规促进数据流动
资料来源:2023.10.08?财经杂志《数据跨境新规徵求意见:降低合规成本,促进数据流动》
来文单位:台湾贸易中心北京代表处
更新日期:2023/10/18
2023年9月28日,中国大陆国家互联网信息办公室公布了《规范和促进数据跨境流动规定(徵求意见稿)》,共计11条,对数据出境监管、重要数据认定、数据过境申报等内容做出规定,进一步规范和促进数据依法有序自由流动。《徵求意见稿》对数据出境进行了适度松绑,将减轻企业数据合规成本,有益於促进开放的营商环境。对数字市场来说,将大力提振市场信心,有利於形成更为灵活便捷的数据跨境流动机制,助力经济发展,回应国际数据流动新形势。
中国大陆《个人信息保护法》2021年11月1日生效,确定了个人信息出境的三条路径:通过网信部门组织的安全评估、经专业机构进行个人信息保护认证,以及与境外接收方订立国家网信部门制定的标准合同。自2022年以来,中国大陆《数据出境安全评估办法》《个人信息跨境处理活动安全认证规范》以及《个人信息出境标准合同办法》相继发布,对这三条路径进行了进一步细化。此次《徵求意见稿》针对实际问题,调整了数据出境前置监管的适用标准,豁免了具有强出境必要性及少量个人信息出境的数据出境前置监管义务,是对於此前规则的完善和突破。
为保障国家数据安全,保护个人信息权益,进一步规范和促进数据依法有序自由流动,依据有关法律,对《数据出境安全评估办法》、《个人信息出境标准合同办法》等数据出境规定的施行,作出以下规定。
一、国际贸易、学术合作、跨国生产制造和市场行销等活动中产生的数据出境,不包含个人信息或者重要数据的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
二、未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
三、不是在境内收集产生的个人信息向境外提供,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
四、符合以下情形之一的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:
(一)为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的;
(二)按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的;
(三)紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的。
五、预计一年内向境外提供不满1万人个人信息的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。但是,基於个人同意向境外提供个人信息的,应当取得个人信息主体同意。
六、预计一年内向境外提供1万人以上、不满100万人个人信息,与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的,可以不申报数据出境安全评估;向境外提供100万人以上个人信息的,应当申报数据出境安全评估。但是,基於个人同意向境外提供个人信息的,应当取得个人信息主体同意。
七、自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),报经省级网路安全和信息化委员会批准後,报国家网信部门备案。
负面清单外数据出境,可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
八、国家机关和关键信息基础设施运营者向境外提供个人信息和重要数据的,依照有关法律、行政法规、部门规章规定执行。
向境外提供涉及党政军和涉密单位敏感信息、敏感个人信息的,依照有关法律、行政法规、部门规章规定执行。
九、数据处理者向境外提供重要数据和个人信息,应当遵守法律、行政法规的规定,履行数据安全保护义务,保障数据出境安全;发生数据出境安全事件或者发现数据出境安全风险增大的,应当采取补救措施,及时向网信部门报告。
十、各地方网信部门应当加强对数据处理者数据出境活动的指导监督,强化事前事中事後监管,发现数据出境活动存在较大风险或者发生安全事件的,要求数据处理者进行整改消除隐患;对拒不改正或者导致严重後果的,依法责令其停止数据出境活动,保障数据安全。
十一、《数据出境安全评估办法》、《个人信息出境标准合同办法》等相关规定与本规定不一致的,按照本规定执行。
资料来源:https://cj.sina.com.cn/articles/view/1684012053/645ffc1501901d13h