我国目前对数据跨境监管的数据类型主要分为重要数据和个人信息。
1.重要数据
将于2025年1月1日施行的《网络数据安全管理条例》,其第六十二条规定:重要数据,是 指特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非 法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。国 家标准《数据安全技术 数据分类分级规则》(GB/T 43697-2024)为各行业和领域提供了数据 分类分级的指导原则,并在附录G中详细阐述了重要数据的识别方法。
《规范和促进数据跨境流动的规定》(以下简称:《数据跨境新规》)第二条规定“数据处理 者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数 据的,数据处理者不需要作为重要数据申报数据出境安全评估。”此规定无疑为企业在数据跨 境过程中减轻了部分合规负担,使得企业能够更为灵活地处理非明确界定为重要的数据。然 而,这一规定并不等同于企业在面对数据跨境时可以完全忽视重要数据的监管要求。结合 《信息安全技术 重要数据处理安全要求(征求意见稿)》及《工业和信息化领域数据安全管理 办法(试行)》等文件的要求,企业在筹划数据跨境活动时,仍须识别自身业务中可能涉及的重 要数据,并依据现行规定编制重要数据目录,适时向国家相关部门或本地区行业监管部门进 行备案或上报的责任。
对于重要数据的识别,部分地区正在积极探索实施细则。天津自贸区发布的《中国(天 津)自由贸易试验区企业数据分类分级标准规范》为企业数据的分类分级提供了具体指导;上 海自贸区临港新片区则通过《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》,对数据跨境流动采取了更为细致的管理方法。北京自贸区在数据出境管 理方面采取了更为创新的负面清单模式。《中国(北京)自由贸易试验区数据出境负面清单管 理办法(试行)》和《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)》的 出台,标志着数据出境管理向更加明确和透明的方向迈进。地方性探索的深入和经验的积 累,将为企业的数据出境活动提供更加清晰的指引。
2.个人信息
《中华人民共和国民法典》第一千零三十四条对个人信息进行定义:个人信息是指以电子 或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人 的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪 信息等。《个人信息保护法》第四条规定,个人信息是以电子或者其他方式记录的与已识别或 者可识别的自然人有关的各种信息,匿名化处理后的信息不属于个人信息。
国家标准《信息安全技术 个人信息安全规范》中指出,判定某项信息是否属于个人信息, 应考虑“识别”和“关联”两条路径:识别指从信息到个人,由信息本身的特殊性识别出特定自 然人,个人信息应有助于识别出特定个人;关联指从个人到信息,如已知特定自然人,则由该 特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为 个人信息。符合上述两种情形之一的信息,均应判定为个人信息。这也不难理解为什么匿名 化处理后的信息不再属于个人信息的范畴,匿名化处理将使得个人信息主体无法被识别,且 处理后不能被复原,无法从信息识别到个人。而去标识化只是在不借助额外信息的情况下, 使个人信息主体无法被识别,其处理的数据仍可被还原,因此仍具有关联属性,仍属于个人信 息的范畴。 需要注意的是,我国对于敏感个人信息的出境也采取了较为严格的监管措施。敏感个人 信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全 受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等 信息,以及不满十四周岁未成年人的个人信息。相较于一般个人信息,敏感个人信息应受到 更强的保护和监管。
3.其他数据
《数据出境安全评估办法》第四条规定,国家网信办规定的其他需要申报数据出境安全评 估的情形,数据处理者应当通过所在地省级网信部门向国家网信办申报数据出境安全评估。 而对于法律、行政法规没有特别规定的其他一般数据,例如企业一般的经营信息、商业秘密等 则可以根据数据处理者的需要自由出境。
《数据跨境新规》第三条至第五条明确规定,以下几种情形可免于申报数据出境安全评 估、订立个人信息出境标准合同、通过个人信息保护认证:
1.国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动的特殊情形 《数据跨境新规》第三条规定,数据处理者向境外提供在国际贸易、跨境运输、学术合作、 跨国生产制造和市场营销等活动中收集和产生的数据,如该数据中不包含个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。 2.数据过境 《数据跨境新规》第四条规定,数据处理者在境外收集和产生的个人信息传输至境内处理 后向境外提供,处理过程中没有引入境内个人信息或者重要数据的,免予申报数据出境安全 评估、订立个人信息出境标准合同、通过个人信息保护认证。
3.向境外提供个人信息的特殊情形 《数据跨境新规》第五条规定,以下向境外提供个人信息的四种情形,免予申报数据出境 安全评估、订立个人信息出境标准合同、通过个人信息保护认证: (1)为订立、履行个人作为一方当事人的合同,确需向境外提供个人信息的,如跨境购物、 跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等; (2)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需 向境外提供员工个人信息的; (3)紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的; (4)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满 10万人个人信息(不含敏感个人信息)的。 对于那些数据出境情形较为简单、涉及数据量不大的企业,数据出境规定免除了它们向 监管机构进行申报或备案的责任,从而显著降低了合规成本。需要注意的是,这种豁免并不 意味着企业可以忽略其负有的其他数据保护义务。
我国数据出境的合规路径分为数据出境安全评估、个人信息出境标准合同以及个人信息 保护认证三种方式。其中,数据出境安全评估为严格的路径。如果企业落入数据出境安全评 估的适用范围,那么就必须进行安全评估。而对于那些不符合数据出境安全评估标准、满足 个人信息出境标准合同和个人信息保护认证的企业,可以根据自身的具体状况,自行决定采 用个人信息出境标准合同或者个人信息保护认证的合规路径。
1.数据出境安全评估 数据处理者向境外提供数据,属于以下情形的,需通过所在地省级网信部门(以下简称 “省级网信办”)向国家网信办申报数据出境安全评估:1)关键信息基础设施运营者向境外提 供个人信息或者重要数据的;2)关键信息基础设施运营者以外的数据处理者向境外提供重要 数据;3)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供100 万人以上的个人信息(不含敏感个人信息)或者1万人以上的敏感个人信息。法律规定可免 于申报的情形除外。
数据处理者申报数据出境安全评估,应当通过数据出境申报系统提交申报材料。关键信 息基础设施运营者或者其他不适合通过数据出境申报系统申报数据出境安全评估的,采用线 下方式通过所在地省级网信办向国家网信办申报。省级网信办在数据处理者提交申报材料 之日起5个工作日内完成申报材料的完备性查验,并向数据处理者告知查验结果。国家网信 办自收到省级网信办提交的申报材料之日起7个工作日内,确定是否受理并书面通知数据处理者。评估完成后,国家网信办向数据处理者出具评估结果通知书。数据处理者应当按照数 据出境安全管理相关法律法规和评估结果通知书的有关要求,规范相关数据出境活动。数据 处理者对评估结果有异议的,可以在收到评估结果通知书15个工作日内向国家网信办申请 复评,复评结果为最终结论。根据《数据出境安全评估申报指南(第二版)》,申报材料包括统 一社会信用代码证件影印件、法定代表人身份证件影印件、经办人身份证件影印件、经办人授 权委托书、数据出境安全评估申报书、与境外接收方拟订立的数据出境相关合同或者其他具 有法律效力的文件、数据出境风险自评估报告以及其他相关证明材料。
《数据出境安全评估办法》第五条要求数据处理者在申报安全评估前,应当先自行开展自 评估,重点对以下事项进行评估:1)数据出境和境外接收方处理数据的目的、范围、方式等的 合法性、正当性、必要性;2)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安 全、公共利益、个人或者组织合法权益带来的风险;3)境外接收方承诺承担的责任义务,以及 履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;4)数据出境中和出境后 遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的 渠道是否通畅等;5)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件 等是否充分约定了数据安全保护责任义务等。
数据出境安全评估,重点就数据出境可能对国家安全、公共利益、个人或者组织合法权益 带来的风险进行评估,主要包括:1)数据出境目的、范围、方式等的合法性、正当性、必要性;2) 境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的 影响,境外接收方的数据保护水平是否达到我国法律、行政法规的规定和强制性国家标准的 要求;3)出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、 转移或者被非法获取、非法利用等的风险;4)数据安全和个人信息权益的保障;5)数据处理者 与境外接收方之间数据安全保护责任义务的落实;6)遵守我国法律、行政法规、部门规章情况 等。 由此可以看出,数据出境安全评估从出境事由是否合法正当、出境后风险对于数据处理 者和境外接收方是否相对可控的维度对数据出境行为进行严格审查。其有助于识别和降低 数据跨境流动的风险,从而保护国家数据安全、维护公民个人信息权益。
2.个人信息出境标准合同 《跨境新规》将个人信息出境标准合同的适用条件调整如下:1)关键信息基础设施运营者 以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息 (不含敏感个人信息)的;2)关键信息基础设施运营者以外的数据处理者自当年1月1日起累 计向境外提供不满1万人敏感个人信息的。法律规定可免于订立个人信息出境标准合同的 情形除外。
根据《个人信息保护法》及《标准合同办法》,个人信息处理者向境外提供个人信息前,应 当开展个人信息保护影响评估,重点评估:1)个人信息处理者和境外接收方处理个人信息的 目的、范围、方式等的合法性、正当性、必要性;2)出境个人信息的规模、范围、种类、敏感程度, 个人信息出境可能对个人信息权益带来的风险;3)境外接收方承诺承担的义务,以及履行义 务的管理和技术措施、能力等能否保障出境个人信息的安全;4)个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;5)境外接收方所在 国家或者地区的个人信息保护政策和法规对标准合同履行的影响等。
在进行个人信息保护影响评估之后,个人信息处理者应当与境外接收方签订个人信息出 境标准合同,并履行备案义务。根据《标准合同办法》《个人信息出境标准合同备案指南(第二 版)》,标准合同主要包括:第一条定义、第二条个人信息处理者的义务、第三条境外接收方的 义务、第四条境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响、第 五条个人信息主体的权利、第六条救济、第七条合同解除、第八条违约责任、第九条其他以及 个人信息出境说明的附录。 个人信息处理者应当在标准合同生效之日起10个工作日内,通过数据出境申报系统备 案,个人信息处理者备案标准合同,应当提交:统一社会信用代码证件影印件、法定代表人身 份证件影印件、经办人身份证件影印件、经办人授权委托书、承诺书、标准合同、《个人信息保 护影响评估报告》。省级网信办收到备案材料后在15个工作日内完成材料查验,并向符合备 案要求的个人信息处理者发放备案编号。需要补充完善材料的,个人信息处理者应当在10 个工作日内提交补充完善材料;逾期未补充完善材料的,可以终止本次备案程序。
如标准合同在有效期内出现以下情形之一的,个人信息处理者应当重新开展个人信息保 护影响评估,补充或者重新订立标准合同,并履行相应备案手续:1)向境外提供个人信息的目 的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变 化,或者延长个人信息境外保存期限的;2)境外接收方所在国家或者地区的个人信息保护政 策和法规发生变化等可能影响个人信息权益的;3)可能影响个人信息权益的其他情形。 标准合同通过约定合同义务,有效保障了个人信息的数据安全,合理兼顾了数据安全出 境与数据便捷出境的需求。对于那些未达到数据出境安全评估申报标准,且不符合豁免条件 仍需签订个人信息出境标准合同或需进行个人信息保护认证的出境活动,个人信息处理者可 根据自身实际情况,自主选择签订个人信息出境标准合同。
3.个人信息保护认证 个人信息保护认证,是第三方专业机构对企业个人信息保护能力的认可。该认证过程严 格,所需成本较高,更适合于数据规模庞大、跨境传输频繁的大型企业。 根据《个人信息保护认证实施规则》,认证流程为技术验证+现场审核+获证后监督。认 证机构在对认证委托人提交的认证委托资料审查后,决定是否受理并向委托人及时反馈,受 理后将确定认证方案并告知委托人。
具体认证程序如下:1)技术验证:技术验证机构按照认 证方案实施技术验证,并向认证机构和认证委托人出具技术验证报告;2)现场审核:在收到技 术验证报告之后,认证机构将对个人信息处理者实施现场审核,并向认证委托人出具现场审 核报告;3)获证后监督:根据认证委托人提交的委托资料、技术验证机构出具的技术验证报 告、认证机构掌握的现场审核报告和其他相关资料信息,认证机构将进行综合评价,最终决定 认证申请是否通过。对符合认证要求的个人信息处理者颁发有效期为3年的认证证书。在 有效期内,认证机构将采取适当方式、以合理监督频次,对已获认证的个人信息处理者进行持 续监督。认证证书有效期为3年。在有效期内,通过认证机构的获证后监督,保持认证证书 的有效性。证书到期需延续使用的,认证委托人应当在有效期届满前6个月内提出认证委托。认证机构应当采用获证后监督的方式,对符合认证要求的委托换发新证书。 在个人信息保护认证中,由于认证过程涉及第三方机构的信用支持,以及需要经历较长 的认证周期和持续的监督,企业在选择这一路径时往往需要投入更多的时间和经济资源。因 此,对于那些跨境业务频繁、处理大量数据的大型企业或组织来说,这种认证方式更具吸引 力。一旦获得认证,它不仅能帮助企业建立良好的社会形象,还能有效增强用户对企业的信 任。
