从“规范和促进”到“促进和规范”——解读《促进和规范数据跨境流动规定》

兴业研究
新增多项数据出境豁免情形,对于关键信息基础设施运营者以外的数据处理者向境外传输1万人以上敏感个人信息的场景新增安全评估的要求。安全评估有效期最多延长6年。

2024年3月22日,网信办印发《促进和规范数据跨境流动规定》(以下简称“《规定》”)。此前,2023年9月28日,网信办曾就《规范和促进数据跨境流动规定(征求意见稿)》(以下简称“《征求意见稿》”)   公开征求意见。在文件名上,《规定》相较于《征求意见稿》,将“促进”调整至“规范”之前,体现了便利数据跨境流通、对外开放的总基调。《规定》的出台既是对2024年《国务院政府工作报告》中“推动解决数据跨境流动等问题”要求的落实,亦是我国扩大高水平对外开放的体现。具体来看,相较于《征求意见稿》,《规定》主要有以下几点修改:

第一,进一步明确数据出境豁免情形。相较于《征求意见稿》,《规定》了新增多项数据出境豁免情形,新增的根据合同确需向境外提供个人信息可豁免申报的四个场景包括“跨境支付”和“跨境开户”。跨境开户场景的新增,或将在监管部门批准的前提下,为境外金融机构合规为境内用户提供投资服务留有政策余地。

第二,进一步细化数据出境安全评估范围。在基本沿用《征求意见稿》的基础上,对于关键信息基础设施运营者以外的数据处理者向境外传输1万人以上敏感个人信息的场景,《规定》新增了需要进行数据安全评估的要求。

第三,进一步延长数据安全评估有效期限。《征求意见稿》并未提及数据安全评估有效期,而2022年7月发布的《数据出境安全评估办法》则规定数据出境安全评估的结果有效期为2年”,《规定》则将安全评估有效期最多延长至“3+3”共6年,将有效便利数据跨境流动。

事件:
2024年3月22日,网信办印发了《促进和规范数据跨境流动规定》(以下简称“《规定》”)[1],旨在规范和加强数据资产管理,更好推动数字经济发展。此前,2023年9月28日,网信办曾就《规范和促进数据跨境流动规定(征求意见稿)》(以下简称“《征求意见稿》”)[2]公开征求意见。
我们曾在2023年9月29日发布《自贸区将迎数据跨境探索创新机遇——评〈规范和促进数据跨境流动规定(征求意见稿)〉》[3]报告,对《征求意见稿》进行了点评。相较于《征求意见稿》,《规定》的文件名中,将“促进”提前到“规范”之前,进一步体现了《规定》对于跨境数据流动的便利总基调。
点评:
在数字经济背景下,数据跨境流动规则的完善是全球数据治理的关键,也是全球主要经济体的必答题,我国、欧盟与美国等主要经济体均对数据跨境流动的安全给予高度关注,纷纷从保障安全角度出台法律政策和监管工具。此前,我国出台了《数据出境安全评估办法》、《个人信息出境标准合同办法》、《征求意见稿》等文件,《规定》在前述监管文件的基础上,进一步优化了我国数据出境制度。
2024年《国务院政府工作报告》中将“推动解决数据跨境流动等问题”列入了2024年政府工作任务的“扩大高水平对外开放,促进互利共赢”项目的一部分。《规定》的出台既是对政府工作报告相关要求的落实,亦是我国进一步扩大高水平对外开放决心的体现。
相较于《征求意见稿》,《规定》整体上对数据出境进行了一定程度的松绑:一是进一步明确数据出境豁免情形,二是进一步细化数据出境安全评估范围,三是进一步延长数据安全评估有效期限。数据跨境流动作为对外开放的基础之一,《规定》的发布旨在打好对外开放政策组合拳,体现了我国坚定不移推进高水平对外开放的决心。
一、进一步明确数据出境豁免情形
从我国此前的监管规则来看,申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证是我国数据跨境监管的主要措施。其中,数据出境安全评估、订立个人信息出境标准合同针对不同数据处理者、数据体量、数据类别等形成了对各类数据跨境场景的覆盖。而个人信息保护认证是一种国内外通行的第三方评价制度,由具备专业能力的第三方机构依据标准和技术规范,对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证。
此前,我们在2023年9月29日发布的《自贸区将迎数据跨境探索创新机遇——评〈规范和促进数据跨境流动规定(征求意见稿)〉》已对三种数据出境方式做出介绍。

《规定》明确了不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据跨境场景,即数据出境豁免场景,以便利这些场景下数据出境
一是国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的不含个人信息和重要数据的数据向境外提供。其中,我国《个人信息保护法》规定个人信息是指:“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。网信办在2022年7月7日发布《数据出境安全评估办法》(以下简称“《评估办法》”)中规定,重要数据是指:“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。”《规定》为了考虑实际可行性,明确规定:“未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
二是数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的。我们在此前在2023年9月7日发布的报告《数据跨境:概念、场景与监管方向》[4]中指出,通过互联网进行远程数据的跨境处理属于典型的数据跨境,此次《规定》在不涉及境内个人信息或者重要数据的前提下,最大程度地给与跨国企业等在进行数据分析时的数据跨境需求。
三是为订立、履行个人作为一方当事人的合同确需向境外提供个人信息,例如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等。在此之前,《征求意见稿》中仅提到“跨境购物、跨境汇款、机票酒店预订、签证办理”等四个场景,《规定》新增“跨境寄递、跨境支付、跨境开户、考试服务”四个场景,在《征求意见稿》的基础上进一步扩充数据跨境豁免情形,以便利相关场景下的经济活动。结合近期我国推进对外开放政策频发,数据跨境作为对外开放的基础之一,《规定》的发布旨在进一步优化对外开放政策,体现了我国坚定不移推进高水平对外开放的决心。
从跨境支付这一场景来看,3月7日,国务院办公厅印发《关于进一步优化支付服务提升支付便利性的意见》(国发办〔2024〕10号)指出:“银行、支付机构要进一步优化开户服务流程,合理实施账户分类分级管理。”因此,《规定》便利了在跨境支付中的跨境开户流程。
从跨境开户这一场景来看,按照外汇局发布的《境外外汇账户管理规定》,“经外汇局批准后,境内机构方可在境外开立外汇帐户”,“未经外汇局批准不得以个人或者其他法人名义在境外开立外汇帐户”。“外汇帐户”是指境内机构、驻华机构、个人及来华人员以可自由兑换货币在开户金融机构开立的帐户。相关规定明确了在未经外汇局批准的情况下,我国个人不存在跨境开户这一场景。不过此前,曾有境外券商为境内投资者开展跨境证券账户开立服务和证券交易服务,证监会曾在2022年末对富途控股、老虎证券非法跨境展业开展整治工作[5]。在《个人信息保护法》明确了个人信息跨境提供规则的情况下,境内居民的个人信息出境问题或将成为境外互联网券商等跨境向我国境内居民提供美股、港股等全球主要市场股票交易服务的新考验。《规定》在这一背景下,将跨境开户列入数据出境豁免的情形之一,或将为未来合规开展跨境投资服务留有政策余地。应当指出的是,国际上部分经济体对跨境开立金融账户所涉及到的数据跨境持开放态度,例如2012年美国与韩国签订《美韩自由贸易协定》(United States-Korea Free Trade Agreement)[6],其中将跨境数据处理视作自由贸易的必要条件,并且禁止韩国数据本地化要求。以金融行业为例,美国金融服务公司可以在协定生效后两年内进行韩国客户账户的数据跨境处理(Cross-border Data Processing)。
四是按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理确需向境外提供员工个人信息
五是紧急情况下为保护自然人的生命健康和财产安全确需向境外提供个人信息
上述四、五两点与《征求意见稿》保持一致。
六是关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息且不含敏感个人信息。根据我国《个人信息保护法》,敏感个人信息指的是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,同时列举了敏感个人信息的种类,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。《规定》在《征求意见稿》的基础上,新增此项豁免场景,扩大了数据出境豁免范围,便利了数据跨境流动。
七是自由贸易试验区(以下简称“自贸区”)在国家数据分类分级保护制度框架下,可以自行制定区内数据跨境负面清单经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案后,自贸区内数据处理者向境外提供负面清单外的数据属于豁免情形。应当指出的是,随着数据跨境在国际贸易中愈发重要,通过自贸区探索创新数据跨境新模式不仅将助力我国实现双循环发展,也将推动我国加入DEPA。根据我们此前在《数据跨境:概念、场景与监管方向》一文中梳理,相较于货物贸易,服务贸易中数据跨境更加频繁。而在数字经济高速发展的时代,双循环发展必将更多的涉及关联互联网的服务贸易及数据跨境场景。《规定》在《征求意见稿》的基础上仍然坚持了对自贸区数据跨境政策的支持力度。
二、进一步细化数据出境安全评估范围
对于关键信息基础设施运营者来说,《规定》要求其在向境外提供个人信息或者重要数据,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
对于关键信息基础设施运营者以外的数据处理者来说,《规定》按照数据的类别与涉及人数进行细化要求,基本原则为信息安全程度越高、涉及人数越多,数据出境的要求更为严格:
一是向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息的,通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
二是自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。
相较于《征求意见稿》,《规定》新增关键信息基础设施运营者以外的数据处理者向境外传输1万人以上敏感个人信息的场景,同样需要进行数据安全评估。
三、延长数据安全评估有效期
《征求意见稿》并未提及数据安全评估有效期,《规定》则指出数据安全评估有效期最长可以达到“3+3”共6年。《规定》在《征求意见稿》的基础上,新增第九条,明确:“通过数据出境安全评估的结果有效期为3年,自评估结果出具之日起计算。有效期届满,需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的,数据处理者可以在有效期届满前60个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请。经国家网信部门批准,可以延长评估结果有效期3年。
此前,网信办在2022年7月7日发布《数据出境安全评估办法》(以下简称“《评估办法》”)。《评估办法》第十四条规定:“通过数据出境安全评估的结果有效期为2年,自评估结果出具之日起计算。在有效期内出现以下情形之一的,数据处理者应当重新申报评估:
(一)向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的;
(二)境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的;
(三)出现影响出境数据安全的其他情形。
应当指出的是,相较于2022年发布的《评估办法》,本次发布的《规定》对于数据安全评估有效期,从2年延长至3年,且明确了可以再次延长3年的标准,将有效便利数据跨境传输。
本文来源:兴业研究 (ID:CIB_Research),原文标题《金融行业 | 从“规范和促进”到“促进和规范”——解读《促进和规范数据跨境流动规定》 》

 

风险提示及免责条款
市场有风险,投资需谨慎。本文不构成个人投资建议,也未考虑到个别用户特殊的投资目标、财务状况或需要。用户应考虑本文中的任何意见、观点或结论是否符合其特定状况。据此投资,责任自负。