中國大陸數據跨境新規促進數據流動
資料來源:2023.10.08 財經雜誌《數據跨境新規徵求意見:降低合規成本,促進數據流動》
來文單位:台灣貿易中心北京代表處
更新日期:2023/10/18
2023年9月28日,中國大陸國家互聯網信息辦公室公佈了《規範和促進數據跨境流動規定(徵求意見稿)》,共計11條,對數據出境監管、重要數據認定、數據過境申報等內容做出規定,進一步規範和促進數據依法有序自由流動。《徵求意見稿》對數據出境進行了適度鬆綁,將減輕企業數據合規成本,有益於促進開放的營商環境。對數字市場來說,將大力提振市場信心,有利於形成更為靈活便捷的數據跨境流動機制,助力經濟發展,回應國際數據流動新形勢。
中國大陸《個人信息保護法》2021年11月1日生效,確定了個人信息出境的三條路徑:通過網信部門組織的安全評估、經專業機構進行個人信息保護認證,以及與境外接收方訂立國家網信部門制定的標準合同。自2022年以來,中國大陸《數據出境安全評估辦法》《個人信息跨境處理活動安全認證規範》以及《個人信息出境標準合同辦法》相繼發佈,對這三條路徑進行了進一步細化。此次《徵求意見稿》針對實際問題,調整了數據出境前置監管的適用標準,豁免了具有強出境必要性及少量個人信息出境的數據出境前置監管義務,是對於此前規則的完善和突破。
為保障國家數據安全,保護個人信息權益,進一步規範和促進數據依法有序自由流動,依據有關法律,對《數據出境安全評估辦法》、《個人信息出境標準合同辦法》等數據出境規定的施行,作出以下規定。
一、國際貿易、學術合作、跨國生產製造和市場行銷等活動中產生的數據出境,不包含個人信息或者重要數據的,不需要申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。
二、未被相關部門、地區告知或者公開發佈為重要數據的,數據處理者不需要作為重要數據申報數據出境安全評估。
三、不是在境內收集產生的個人信息向境外提供,不需要申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。
四、符合以下情形之一的,不需要申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證:
(一)為訂立、履行個人作為一方當事人的合同所必需,如跨境購物、跨境匯款、機票酒店預訂、簽證辦理等,必須向境外提供個人信息的;
(二)按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理,必須向境外提供內部員工個人信息的;
(三)緊急情況下為保護自然人的生命健康和財產安全等,必須向境外提供個人信息的。
五、預計一年內向境外提供不滿1萬人個人信息的,不需要申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。但是,基於個人同意向境外提供個人信息的,應當取得個人信息主體同意。
六、預計一年內向境外提供1萬人以上、不滿100萬人個人信息,與境外接收方訂立個人信息出境標準合同並向省級網信部門備案或者通過個人信息保護認證的,可以不申報數據出境安全評估;向境外提供100萬人以上個人信息的,應當申報數據出境安全評估。但是,基於個人同意向境外提供個人信息的,應當取得個人信息主體同意。
七、自由貿易試驗區可自行制定本自貿區需要納入數據出境安全評估、個人信息出境標準合同、個人信息保護認證管理範圍的數據清單(以下簡稱負面清單),報經省級網路安全和信息化委員會批准後,報國家網信部門備案。
負面清單外數據出境,可以不申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。
八、國家機關和關鍵信息基礎設施運營者向境外提供個人信息和重要數據的,依照有關法律、行政法規、部門規章規定執行。
向境外提供涉及黨政軍和涉密單位敏感信息、敏感個人信息的,依照有關法律、行政法規、部門規章規定執行。
九、數據處理者向境外提供重要數據和個人信息,應當遵守法律、行政法規的規定,履行數據安全保護義務,保障數據出境安全;發生數據出境安全事件或者發現數據出境安全風險增大的,應當採取補救措施,及時向網信部門報告。
十、各地方網信部門應當加強對數據處理者數據出境活動的指導監督,強化事前事中事後監管,發現數據出境活動存在較大風險或者發生安全事件的,要求數據處理者進行整改消除隱患;對拒不改正或者導致嚴重後果的,依法責令其停止數據出境活動,保障數據安全。
十一、《數據出境安全評估辦法》、《個人信息出境標準合同辦法》等相關規定與本規定不一致的,按照本規定執行。
資料來源:https://cj.sina.com.cn/articles/view/1684012053/645ffc1501901d13h