随着数字化成为我国重要的国家战略,数据正逐渐被我国政府视为保障国家主权、对国家安全和经济发展具有 重大影响的重要资产。监管部门对数据跨境传输的合规情况亦越发关注。
自 2017 年 6 月 1 日起施行的《中华人民共和国网络安全法》(下称《网络安全法》)、2021 年 9 月 1 日起施行的 《中华人民共和国数据安全法》(下称《数据安全法》)和 2021 年 11 月 1 日起施行的《中华人民共和国个人信息保 护法》(下称《个人信息保护法》),均从法律层面对开展数据出境活动进行了规定。我国立法针对数据出境采用了“分 层监管”的方式,即将关键信息基础设施运营者与一般网络运营者进行区分监管。
企业应当根据自身属性和出境数据的类型与性质的不同,判断需要相应承担的不同层次数据出境合规义务。从 自身属性角度看,当数据出境主体构成关键信息基础设施运营者时,在境内运营期间收集和产生的个人信息与重要 数据的出境活动是存在限制的;从数据类型角度看,个人信息、重要数据、国家核心数据、以及由特别法管辖下的 特殊类型数据,则需要适用不同的出境规则。
为推动法律落地,在行政法规层面,国家互联网信息办公室(下称“网信办”)及相关中国数据保护和网络安全 监管机构也陆续发布了一系列的规章、国家标准和指南等文件。网信办于 2021 年 11 月 14 日发布了《网络数据安全 管理条例(征求意见稿)》(下称《网数条例(征求意见稿)》),设专章对“数据跨境安全管理”作出具体规定,其正式 稿也有望于今年出台;在部门规章层面,2022 年 9 月 1 日施行的《数据出境安全评估办法》对哪些数据出境主体 需要申报数据出境安全评估以及申报的要求作出了规定,与之配套出台的《数据出境安全评估申报指南(第一版)》 (下称《指南(第一版)》)对申报材料的具体要求作出了指引。网信办于 2023 年 2 月 24 日发布、将于 2023 年 6 月 1 日施行的《个人信息出境标准合同 办法》(下称《标准合同办法》),对数据出境主体向境外提供个人信息时在何种条件下才应与境外接收方签订标准 合同作出了规定,同时也提供了标准合同模板。
此外,全国信息安全标准化技术委员会(TC260)(下称“信安标委”)于 2017 年 8 月 25 日发布了《信息安全技术 数据出境安全评估指南(征求意见稿)》(下称《安全评估指南(征求意见稿)》),在网信办未 发布《数据出境安全评估办法》前规范数据出境安全评估流程、评估要点、评估方法等内容。同时信安标委在《个 人信息跨境处理活动安全认证规范》(TC260-PG-20222A)的基础上于 2022 年 12 月 16 日发布了更新版本《网络 安全标准实践指南—个人信息跨境处理活动安全认证规范 V2.0》(下称《认证规范 V2.0》)。该认证规范旨在明确 该认证机制的适用情况、专业机构认证的依据以及通过认证需要遵守的规则。
虽然上述法规、办法、标准中尚有个别未最终发布或生效,但这一系列文件为中国监管机构(如网信办、中国 证监会)在审查数据跨境传输活动和境外上市企业时提供了参考依据。由此可见,涉及跨境传输数据的企业正面临 新一轮合规挑战—在没有形成统一规则、缺乏最终清晰指引的情况下,其需要花费时间成本、人力、物力不断完善 多个业务线或部门的工作流程、调整现有的全球数据战略规划、创建新的数据存储解决方案并修改或起草相关制度 及合同文本等。
