每日經濟新聞 2024-03-22 20:52:58
每經編輯 孫志成
3月22日,國家互聯網信息辦公室公布《促進和規范數據跨境流動規定》(以下簡稱《規定》),自公布之日起施行。
國家互聯網信息辦公室有關負責人表示,數據跨境流動已經成為全球資金、信息、技術、人才、貨物等資源要素交換、共享的基礎。為了促進數據依法有序自由流動,激發數據要素價值,擴大高水平對外開放,《規定》對數據出境安全評估、個人信息出境標準合同、個人信息保護認證等數據出境制度作出優化調整。
《規定》明確了重要數據出境安全評估申報標準,提出未被相關部門、地區告知或者公開發布為重要數據的,數據處理者不需要作為重要數據申報數據出境安全評估。
《規定》規定了免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證的數據出境活動條件:一是國際貿易、跨境運輸、學術合作、跨國生產制造和市場營銷等活動中收集和產生的數據向境外提供,不包含個人信息或者重要數據的;二是在境外收集和產生的個人信息傳輸至境內處理后向境外提供,處理過程中沒有引入境內個人信息或者重要數據的;三是為訂立、履行個人作為一方當事人的合同,確需向境外提供個人信息的;四是按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理,確需向境外提供員工個人信息的;五是緊急情況下為保護自然人的生命健康和財產安全,確需向境外提供個人信息的;六是關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供不滿10萬人個人信息(不含敏感個人信息)的。
《規定》設立自由貿易試驗區負面清單制度。提出自由貿易試驗區在國家數據分類分級保護制度框架下,可以自行制定區內負面清單,經省級網絡安全和信息化委員會批準后,報國家網信部門、國家數據管理部門備案。自由貿易試驗區內數據處理者向境外提供負面清單外的數據,可以免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。
《規定》明確了應當申報數據出境安全評估的兩類數據出境活動條件,一是關鍵信息基礎設施運營者向境外提供個人信息或者重要數據;二是關鍵信息基礎設施運營者以外的數據處理者向境外提供重要數據,或者自當年1月1日起累計向境外提供100萬人以上個人信息(不含敏感個人信息)或者1萬人以上敏感個人信息。同時,明確了應當訂立個人信息出境標準合同或者通過個人信息保護認證的數據出境活動條件,即關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息(不含敏感個人信息)或者不滿1萬人敏感個人信息。
《規定》同時對數據出境安全評估的有效期限和延期申請、數據安全保護義務和監督管理責任、與數據出境安全管理其他規定的銜接適用等作了規定。
3月22日,國家互聯網信息辦公室公布《促進和規范數據跨境流動規定》(以下簡稱《規定》)。國家互聯網信息辦公室有關負責人就《規定》相關問題回答了記者提問。
問1:請介紹一下《規定》的出臺背景?
答:我國積極促進數據依法有序自由流動,相繼制定實施《網絡安全法》、《數據安全法》、《個人信息保護法》,對數據出境活動作出明確規定?!毒W絡安全法》規定,關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定?!稊祿踩ā芬幎?,關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理,適用《網絡安全法》的規定;其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定?!秱€人信息保護法》規定,個人信息處理者因業務等需要,確需向中華人民共和國境外提供個人信息的,應當具備通過國家網信部門組織的安全評估、按照國家網信部門的規定經專業機構進行個人信息保護認證、按照國家網信部門制定的標準合同與境外接收方訂立合同等條件之一。中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息的條件等有規定的,可以按照其規定執行。法律作出這樣的規定,是為了切實保護人民群眾利益,維護國家網絡和數據安全,促進數據依法有序自由流動。數據出境安全管理不是對于所有數據,只限于重要數據和個人信息,這里的重要數據是針對國家而言,而不是針對企業和個人。
落實法律規定要求,國家互聯網信息辦公室公布了《數據出境安全評估辦法》和《個人信息出境標準合同辦法》,聯合國家市場監督管理總局公布了《關于實施個人信息保護認證的公告》,基本構建了數據出境安全管理制度。此外,國家互聯網信息辦公室先后公布了《數據出境安全評估申報指南》、《個人信息出境標準合同備案指南》等文件,對數據處理者申報安全評估、備案標準合同的方式、流程及需提交的材料等具體要求作出了說明。
國家互聯網信息辦公室結合數據出境安全管理工作實際,制定《規定》,對現有數據出境安全評估、個人信息出境標準合同、個人信息保護認證等數據出境制度的實施和銜接作出進一步明確,適當放寬數據跨境流動條件,適度收窄數據出境安全評估范圍,在保障國家數據安全的前提下,便利數據跨境流動,降低企業合規成本,充分釋放數據要素價值,擴大高水平對外開放,為數字經濟高質量發展提供法律保障。
問2:《規定》的主要內容是什么?
答:《規定》主要對下列內容進行了規定:一是明確重要數據出境安全評估申報標準。二是明確免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證的數據出境活動條件。三是設立自由貿易試驗區負面清單制度。四是調整應當申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證的數據出境活動條件。五是延長數據出境安全評估結果有效期,增加數據處理者可以申請延長評估結果有效期的規定。
問3:《規定》與《數據出境安全評估辦法》、《個人信息出境標準合同辦法》之間的關系是什么?
答:《數據出境安全評估辦法》、《個人信息出境標準合同辦法》相關規定與《規定》不一致的,適用《規定》。
問4:如何理解數據出境活動所稱的重要數據?重要數據申報出境安全評估的標準是什么?
答:根據《數據出境安全評估辦法》,重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等,可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據。
《數據安全法》規定,國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄,加強對重要數據的保護。各地區、各部門應當按照數據分類分級保護制度,確定本地區、本部門以及相關行業、領域的重要數據具體目錄,對列入目錄的數據進行重點保護。
根據《規定》,數據處理者應當按照相關規定識別、申報重要數據。未被相關部門、地區告知或者公開發布為重要數據的,數據處理者不需要作為重要數據申報數據出境安全評估。
問5:個人信息、敏感個人信息是什么,如何判斷?
答:根據《個人信息保護法》,個人信息是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息。匿名化,是指個人信息經過處理無法識別特定自然人且不能復原的過程。
個人信息采用加密、脫敏等措施處理屬于去標識化,去標識化處理后的個人信息仍是《個人信息保護法》規定的個人信息。去標識化,是指個人信息經過處理,使其在不借助額外信息的情況下無法識別特定自然人的過程。
敏感個人信息,是指一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。
問6:關鍵信息基礎設施是什么,如何認定?
答:根據《關鍵信息基礎設施安全保護條例》,關鍵信息基礎設施是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。
涉及的重要行業和領域的主管部門、監督管理部門負責制定本行業、本領域關鍵信息基礎設施認定規則,組織認定本行業、本領域的關鍵信息基礎設施,及時將認定結果通知關鍵信息基礎設施運營者。
問7:哪些數據出境活動免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證?
答:下列六種數據出境活動免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證:
一是國際貿易、跨境運輸、學術合作、跨國生產制造和市場營銷等活動中收集和產生的數據向境外提供,不包含個人信息或者重要數據的。二是在境外收集和產生的個人信息傳輸至境內處理后向境外提供,處理過程中沒有引入境內個人信息或者重要數據的。三是為訂立、履行個人作為一方當事人的合同,如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等,確需向境外提供個人信息的。四是按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理,確需向境外提供員工個人信息的。五是緊急情況下為保護自然人的生命健康和財產安全,確需向境外提供個人信息的。六是關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供不滿10萬人個人信息(不含敏感個人信息)的。其中,第三種至第六種條件所稱向境外提供的個人信息,不包括被相關部門、地區告知或者公開發布為重要數據的個人信息。
問8:如何理解自由貿易試驗區負面清單制度?
答:自由貿易試驗區在國家數據分類分級保護制度框架下,可以自行制定區內需要納入數據出境安全評估、個人信息出境標準合同、個人信息保護認證管理范圍的數據清單(簡稱負面清單)。
自由貿易試驗區內數據處理者向境外提供負面清單外的數據,可以免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。負面清單出臺前,自由貿易試驗區內的數據出境活動按照國家數據出境安全管理有關規定執行。
問9:如何理解數據出境安全評估、個人信息出境標準合同、個人信息保護認證制度之間的關系?
答:對于重要數據的出境活動和符合應當申報數據出境安全評估條件的個人信息出境活動,必須通過數據出境安全評估。
對于未達到數據出境安全評估申報條件的個人信息出境活動,個人信息處理者可以結合自身情況,選擇訂立個人信息出境標準合同或者通過個人信息保護認證的方式。符合免予訂立個人信息出境標準合同、通過個人信息保護認證條件的,個人信息處理者無需履行相關程序。
問10:哪些數據出境活動需要申報數據出境安全評估?
答:《規定》對《數據出境安全評估辦法》明確的應當申報數據出境安全評估的條件作了優化調整?!兑幎ā访鞔_了兩種應當申報數據出境安全評估的條件:一是關鍵信息基礎設施運營者向境外提供個人信息或者重要數據。二是關鍵信息基礎設施運營者以外的數據處理者向境外提供重要數據,或者自當年1月1日起累計向境外提供100萬人以上個人信息(不含敏感個人信息)或者1萬人以上敏感個人信息。屬于《規定》第三條、第四條、第五條、第六條規定情形的,從其規定。
問11:如何計算“自當年1月1日起累計向境外提供100萬人以上個人信息(不含敏感個人信息)或者1萬人以上敏感個人信息”?
答:計算周期為自當年1月1日起至申報數據出境安全評估之日,數量以自然人為單位去重后的統計結果為準。
屬于《規定》第三條、第四條、第五條第一款第一項至第三項、第六條規定情形的,不計入累計數量。
問12:哪些數據出境活動需要訂立個人信息出境標準合同、通過個人信息保護認證?
答:《規定》對《個人信息出境標準合同辦法》明確的應當訂立個人信息出境標準合同的條件作了優化調整。根據《規定》,關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息(不含敏感個人信息)或者不滿1萬人敏感個人信息的,應當依法與境外接收方訂立個人信息出境標準合同或者通過個人信息保護認證。屬于《規定》第三條、第四條、第五條、第六條規定情形的,從其規定。
需要說明的是,向境外提供被相關部門、地區告知或者公開發布為重要數據的個人信息,應當申報數據出境安全評估,不得選擇訂立個人信息出境標準合同或者通過個人信息保護認證的方式。
問13:通過數據出境安全評估結果的有效期是多久?是否可以申請延期?
答:《規定》將通過數據出境安全評估結果的有效期由《數據出境安全評估辦法》中規定的2年延長至3年,自評估結果出具之日起計算。同時,增加數據處理者可以申請延長評估結果有效期的規定。有效期屆滿,需要繼續開展數據出境活動且未發生需要重新申報數據出境安全評估情形的,數據處理者可以在有效期屆滿前60個工作日內通過所在地省級網信部門向國家網信部門提出延長評估結果有效期申請。經國家網信部門批準,可以延長評估結果有效期3年。
問14:《規定》施行前已經完成或者正在申報數據出境安全評估、提交個人信息出境標準合同備案的,如何適用本規定?
答:《規定》施行前已經通過數據出境安全評估的數據出境活動,數據處理者可以根據申報事項繼續開展。
《規定》施行前未通過或者部分未通過數據出境安全評估,根據《規定》免予申報數據出境安全評估的數據出境活動,數據處理者可以依法通過訂立個人信息出境標準合同、通過個人信息保護認證等其他途徑向境外提供個人信息。
《規定》施行前已經申報數據出境安全評估、提交個人信息出境標準合同備案,根據《規定》無需開展上述程序的,數據處理者可以按照原程序進行,也可以向所在地省級網信部門撤回申報、備案。
問15:數據處理者如何申報數據出境安全評估、備案個人信息出境標準合同、申請個人信息保護認證?
答:申報數據出境安全評估、備案個人信息出境標準合同可以登錄數據出境申報系統,網址:https://sjcj.cac.gov.cn。已經通過線下方式提交安全評估申報、標準合同備案材料的,不需要通過數據出境申報系統進行重新提交。申請個人信息保護認證可以登錄個人信息保護認證管理系統,網址:https://data.isccc.gov.cn。
關鍵信息基礎設施運營者或者其他不適合通過數據出境申報系統申報數據出境安全評估的,采用線下方式通過所在地省級網信部門向國家網信部門申報數據出境安全評估。
問16:數據出境咨詢、舉報聯系方式有哪些?
答:(1)數據出境安全評估申報:010-55627135,sjcj@cac.gov.cn;(2)個人信息出境標準合同備案:010-55627565,bzht@cac.gov.cn;(3)個人信息保護認證申請:010-82261100,data@isccc.gov.cn。
各地省級網信部門受理數據出境安全評估申報、個人信息出境標準合同備案工作的聯系方式(辦公地址、聯系電話),詳見各省、自治區、直轄市和新疆生產建設兵團互聯網信息辦公室官網、微信公眾號,以及國家互聯網信息辦公室官網-數據治理欄目(https://www.cac.gov.cn)。
編輯|孫志成 杜恒峰
校對|劉小英
來源:中國網信網
如需轉載請與《每日經濟新聞》報社聯系。
未經《每日經濟新聞》報社授權,嚴禁轉載或鏡像,違者必究。
讀者熱線:4008890008
特別提醒:如果我們使用了您的圖片,請作者與本站聯系索取稿酬。如您不希望作品出現在本站,可聯系我們要求撤下您的作品。
歡迎關注每日經濟新聞APP