好消息:数据跨境实施细则出台
2023年9月28日,国家网信办发布的《规范和促进数据跨境流动规定(征求意见稿)》,终于在今年的3月22日正式出台并于同日实施了。
与去年的征求意见稿相比,该正式规定进一步确定和扩大了数据出境安全评估和标准合同签订的豁免条件,这对企业来说是非常好的消息。现敝所对该《规定》内容要点介绍如下。
1.部分数据、个人信息跨境限制缓和
本次该规定详细列举了6种免予进行数据安全评估、个人信息保护认证及个人信息标准合同签订的数据或个人信息跨境传输的情形。例如:
(1)中国境内的企业机构等(不含关键信息基础设施运营者)自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息和重要数据)的;
(2)在国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据(不含个人信息和重要数据)向境外提供的;
(3)按照劳动规章制度和集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的。(第三条、第五条)
需留意,在上述(1)中,虽然免除了标准合同签订的义务,但是企业仍需履行向个人告知、取得个人单独同意和进行个人信息保护影响评价等手续。
2.关于重要数据的出境评估
目前对于重要数据出境,需要进行安全评估,但是实务中,多数企业对于哪些数据是重要数据,很难进行准确地识别和判断。
因此,本次该规定提出,未被相关部门、地区告知或者公开发布为重要数据的,数据处理者无需履行数据出境安全评估手续。(第二条)
3.新增自贸区负面清单规则
该规定新增了自由贸易试验区负面清单制度,即自贸区内企业向境外提供负面清单(自由贸易试验区制定)以外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。(第六条)
需留意,上述负面清单仅适用于自贸区内的企业,自贸区以外的企业不享受上述规则。
◆ 对日系企业的建议
该规定的实施现地日系企业或外贸企业来说是非常好的消息,减轻了企业的合规负担,希望后续各地政府部门可以真正执行到位。
该规定虽然规定了部分豁免企业义务的情形,但这只意味着中国政府对企业的事前监管减轻,实质性的合规义务仍未免除。例如,企业仍有必要采取有关技术或者管理措施实现数据信息传输的安全。若数据及个人信息出境存在安全隐患,企业仍会被政府当局指摘处罚。
作成日:2024年03月27日
