6月8日,商务部等9部门发布关于拓展跨境电商出口推进海外仓建设的意见。如今,产业出海已成为中国企业的必然选择。与此同时,国家也在出台一系列政策,为企业出海之路提供强有力的支持和引导。然而,产业互联网平台在出海过程中仍面临政策法规知识欠缺、数据传输与网络安全、本土化经营与基础设施建设等挑战。
本文将从产业互联网平台为什么要做数据跨境流动治理?数据跨境流动是什么?怎么做?三方面为企业进行产业数据出海政策方面的答疑。
01
为什么?产业互联网平台数据跨境流动治理背景
当前,数据流动正在逐步超过传统跨国贸易和投资,成为驱动全球经济增长的新动能。有关研究报告显示,2025年数据跨境流动对全球GDP的贡献价值将达到11万亿美元。随着数字经济的蓬勃发展,数据跨境活动也日益频繁,数据处理者的数据出境需求快速增长。作为链接全球数字经济的纽带,数据跨境流动虽然为全球化带来新动能,但是也给国家数据安全、隐私保护等带来诸多挑战。
与此同时,越来越多的国家和地区制定了相应的数据跨境管理的规则。据统计,截至2023年5月,已有70多个国家和地区针对数据跨境流动出台相应法规。超过180个区域贸易协定中增设了包括数据跨境流动在内的数字贸易规则、专门章节或条款。
比如,加拿大出台的《个人信息保护和电子文件法》,美国的《跨境隐私规则体系-CBPR》和《海外数据使用权明确法-CLOUD》,欧盟的《通用数据保护条例-GDPR》,俄罗斯的《第108号公约》,印度的《个人数据保护法》,日本的《个人数据保护法》,新加坡的《个人信息保护法案》,澳大利亚的《隐私保护原则》等等。
我国针对全球数据跨境流动规则的具体方案
在上述背景下,我国作为全球数字经济大国,也建立了自己的数据跨境流动管理制度体系。在整体思路上,希望确保数据能够在安全的前提下实现有序的自由流动。作为我国网络安全领域的基础性法律,《网络安全法》、《数据安全法》、《个人安全信息保护法》规定了数据出境的安全评估制度,为跨境数据安全流动与数据监管起到奠定性作用。
《网络安全法》第三十七条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估:法律、行政法规另有规定的,依照其规定。
《数据安全法》第三十一条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
《个人安全信息保护法》第三十八条和第四十条也明确了个人信息出境的管理方式。包括安全评估、个人信息保护认证、标准合同三条个人信息出境的主要路径。
在数据促进安全管理中,我国采取了分类管理、多措并举的思路,借鉴了GDPR等国际做法和经验,将数据分为重要数据和个人信息分别进行管理。对重要数据采取了促进安全评估的管理方式,对个人信息出境提供了安全评估、个人信息保护认证、标准合同等多种管理路径。数据出境安全管理并不针对所有数据,只限于对国家而言重要的数据与个人信息,并不针对企业和个人。
2022年7月7日,《数据安全评估办法》发布。明确了数据出境需要进行安全评估的三类场景。第一类是重要数据出境;第二类是关键信息基础设施运营者收集和产生的个人信息出境;第三类是达到一定条件的非关键信息基础设施运营者收集和产生的个人信息出境。
2024年3月,《促进和规范数据跨境流动规定》(以下简称《新规》)发布。对数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境安全管理制度做出了优化和调整。
第一,《新规》澄清了重要数据的识别方式。《新规》第二条规定,数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
第二,《新规》澄清了我国数据出境事前监管机制适用的数据类型。《新规》第三条明确了国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
第三,《新规》规定了特殊处理活动的排除适用。
1.《新规》第四条规定,数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
2. 《新规》第五条规定,数据处理者向境外提供个人信息,符合下列条件之一的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
(一)为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的;
(二)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;
(三)紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;
(四)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。
第四,《新规》明确了自贸区制定“负面清单”的权限和程序。《新规》第六条规定,自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单)。经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。
第五,《新规》优化了数据出境管理机制之间的适用关系。调整了申报的门槛,相比于老条款去掉了十万人的相应要求,统计时间变化为当年1月1日起。在标准合同方面,关键运营者以外的数据处理者,自当年1月1日起累计向境外提供十万人以上,不满100万人区间内的,不包含敏感个人信息的或不满一万人敏感个人信息的,需要进行标准合同的备案。
第六,《新规》延长了数据出境安全评估结果的有效期。新规第九条将原有效期两年,延长为三年,延长了首次申报结果的有效期,降低企业申报频率;对于不需要重新申报的企业,经国家网信部门批准可申请延长,节约了企业的后期申报成本;特别提示:如果企业识别到需要重新申报的变化,企业应立即履行相应的报批手续。
第七,强调、提醒了数据处理者的安全责任与义务。《新规》第十条、第十一条在原来的规定范围内适当放宽了数据跨境流动的条件。对应《个人信息保护法》第57条与《数据安全法》第29条,明确了企业数据出境安全保障的安全事件处置与报告义务。
第八,加快了事前审批,加强事中事后的监管力度。《新规》第十二条规定,各地网信部门应当加强对数据处理者数据出境活动的指导监督,健全完善数据出境安全评估制度,优化评估流程;强化事前事中事后全链条全领域监管,发现数据出境活动存在较大风险或者发生数据安全事件的,要求数据处理者进行整改,消除隐息对拒不改正或者造成严重后果的,依法追究法律责任。
第九,统一数据出境管理规则和标准。《新规》第十三条规定,2022年7月7日公布的《数据出境安全评估办法)(国家互联网信息办公室令第11号)、2023年2月22日公布的《个人信息出境标准合同办法》(国家互联网信息办公室令第13号)等相关规定与本规定不一致的,适用本规定。
总体来看,《新规》立足于发展与安全,适当放宽了数据跨境流动条件,收紧了数据出境安全评估范围。
目前,我国已经形成数据分类、分级管理的顶层设计框架以及数据出境安全评估、个人信息出境标准合同和个人信息保护认证三个维度的具体落实办法。数据跨境流动管理制度的具体实施路径被进一步明确,基本构建起中国特色的数据跨境流动管理体系。
02
是什么?数据跨境流动的监管实践
1. 开通申报系统
数据出境申报系统
系统地址:https://sjcj.cac.gov.cn/#/ogin
国家网信办开通相关数据、跨境监管的申报系统。为企业提供一站式服务,网页上有相关政策法规的展示,方便企业随时随地查询。
2. 数据出境申报情况
1) 截至2024年5月8日,国家网信办收到各省、自治区、直辖市网信办报送的数据出境安全评估申报项目262个,依法受理243个,已完成评估项目234个其中232个出具评估结果(通过或部分通过评估的206个、不通过评估的26个),2个终止评估,不通过率为11.1%。
2)评估项目涉及零售、交通、金融、工业、互联网电商、卫生健康、科技、邮政、文旅、教育、人才招聘、电信、房地产等行业领域,境外接收方主要位于欧盟、美国、中国香港、新加坡、日本等国家或地区。
3)截至2024年5月8日,各省、自治区、直辖市网信办共备案个人信息出境标准合同760余个,备案数量位于前列的为上海、北京、江苏、广东等地。
3. 区域性数据跨境流动实践
1)当前,虽未在全球范围内形成与世界贸易组织规则一样的国际条约,但各国正积极开展区域经贸协定涉数据跨境流动条款磋商,并基于《服务贸易总协定》(GATS)开展数据跨境流动限制性谈判。
2)目前,区域性数据跨境流动规则主要作为区域经贸协定的重要条款子以公布实施,如《全面与进步跨太平洋伙伴关系协定》(简称“CPTPP”《x域全面经济伙伴关系协定》(简称“RCEP”)、《数字经济伙伴关系协定《美墨加协定》(以下“USMCA”)等经贸协定,均(简称“DEPA”)采用“白由流动为原则,限制监管为例外”的方式对数据跨境流动作出规制。
3)我国正积极对接CPTPP、DEPA等国际高标准经贸规则。在联合国、世界贸易组织等框架下,积极参与数据跨境流动国际规则和标准的制定,探索与有关国家和地区就数据跨境流动建立特殊制度性安排,促进数据跨境安全有序流动。
4)2023年6月29日,国家网信办与香港特区政府创新科技及工业局签订《关于促进粤港澳大湾区数据跨境流动的合作备忘录》。
5)同年12月10日联合发布《粤港澳大湾区(内地、香港)个人信息跨境流动标准公同实施指引》。
6)支持个人信息通过认证或者订立标准合同的方式跨境流动,免予申报数据出境安全评估,不含重要数据或者个人信息的一般数据在粤港澳大湾区内自由流动。
7)签订并实施备忘录,是区域性数据跨境流动合作的一次有益尝试,也为后续开展多双边数据跨境合作交流积累了宝贵经验。
4. 落地案例
案例1-北京友谊医院全球结、直肠研究项目:2023年1月,北京友谊医院与荷兰阿姆斯特丹医学中心共同发起的全球结、直肠研究项目,是我国首个获批的数据出境安全评估案例。项目需要不定期将患者治疗数据进行数据跨境传输,以便分析。数据越准确完善,研究结果在全球范围内就更加适用。为此,北京友谊医院兼顾数据的准确性与安全,在收集个人信息时尽量做到最小化,该项目对医疗健康流数据流动的必要性和科学意义毋庸置疑。
案例2-江苏焦点科技中国制造网外贸电商平台:拥有百万级的中国供应商和千万级全球采购商会员,年访问量超过22亿次。2023年5月,焦点科技在申报过程中,明确了数据接收方的权利与数据保护义务,采用独立文件嵌入的方式,降低了合规整改的成本,成为跨境电商领域全国首个合规出境的案例。
5. 自由贸易试验区实践
1)《新规》提出,自由贸易试验区在国家数据分类分级保护制度框架下,可以白行制定区内需要纳人数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单,经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。
2)2024年5月9日,天津市率先发布《中国(天津)自由贸易试验区数据出境管理清单(负面清单)(2024年版)》(以下称《管理清单》)。天津自由贸易试验区管委会相关负责人介绍:“本质上讲,负面清单制度代表着更加开放的管理制度。《管理清单》的制定实施,为有效解决企业数据出境问题助力培育国际经济公作和竞争新优势提供了制度保障。
3)连接中国云南省昆明市与老挝万象市的中老铁路正是云南自由贸易试验区建设发展的重要抓手之一。
4)让支撑跨境铁路运输所需的专业数据通过信息网络进行传输,使得终端用户能够像以往一样在各白的应用系统中操作。
03
怎么做?产业互联网平台如何申报数据出境?
1. 申报流程
首先,企业作为数据处理者需要进行风险自评估。不管是数据出境安全评估,还是标准合同备案都需要进行相应的自评估,数据个人信息标准合同出境是针对个人信息保护影响的自评估。
评估完的材料需提交给省级网信部门。个人信息标准合同需在省级网信部门进行备案;数据出境安全评估相关材料要递交到国家网信部门,由国家网信部门协同国务院有关部门以及专门机构进行综合评估,最后出具相应评估结果。
数据安全评估的结果,除国家网信部门评估意见以外,也涉及到相应主管部门比如商务部、市场监管部门、海关部门等等。
2. 如何开展自评估?
左图为数据安全评估的申报指南自评估样例;右图为个人信息出境标准合同指南提供的样例。评估内容包括:
1)数据出境的目的、范围、方式等的合法性、正当性、必要性。合法性主要评估是否满足《个保法》第十三条、第三十九条取得个人同意、个人单独同意;是否符合所在行业主管部门的规定。正当性主要评估数据出境事项不违背公序良俗。必要性主要评估是否符合最小必要原则;跨境购物、跨境汇款、境外机票酒店预订、签证办理等;举例:仅因系统在境外是否满足必要性?零售场景下商品均为境内发货是否满足必要性?
2)境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求?
3)出境数据的规模、范围、种类敏感程度,出境中和出境后遭到篡改破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险。
4)数据安全和个人信息权益是否能够得到充分有效保障。数据安全保障能力通过管理体系认证去提现,比如ISO 27001信息安全管理体系认证,网络安全等级保护备案、测评等。
5)数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务。
6)遵守中国法律、行政法规、部门规章情况。评估标准包括企业信用、过往违规情况是否已整改等。
3. 工作建议
建议1:提高数据安全合规意识,应备尽备、应申尽申。《新规》放宽数据跨境流动条件,便利数据跨境流动。《个人信息出境标准合同备案指南(第二版)》和《数据出境安全评估申报指南(第二版)》也简化了申报流程,建议企业避免侥幸心理、观望情绪,采取适合路径合规开展数据出境活动。经预估符合申报条件后应尽早着手,不必等到触发临界点。
建议2:加强数据分级分类保护。定期识别、申报重要数据,申报内容一般包括数据类别、级别、规、来源、使用范围、对外共享、跨境传输、安全情况及责任单位情况等,一般不包括数据内容本身;对各类数据实行分级防护,被告知或者公开发布为重要数据的,按要求申报数据出境安全评估;参考相关标准或其他信息,如GB/T 43697-2024《数据安全技术 数据分类分级规则》。
建议3:出境数据范围遵循最小必要原则。《新规》中多次提到“确需”;出境数据与业务需要有直接关联。
建议4:注意履行告知、取得个人单独同意等义务。《新规》进一步明确向境外提供个人信息,应当按照法律、行政法规的规定履行告知、取得个人单独同意等义务。
产业互联网平台数据出境申报常见Q&A
Q:《规定》所述情形中的100万人、10万人、1万人该如何理解?
A:计算周期为自当年1月1日起至申报之日,数量以自然人为单位去重后的统计结果为准属于《规定》第三条、第四条、第五条第一款第一项至第三项、第六条规定情形的,不计入累计数量。
Q:存在多家子公司或者分公司的集团公司如何申报安全评估?
A:具有独立法人资格的子公司,可以单独申报;
考虑到方便数据处理者,多家具有独立法人资格的子公司如同属一家集体公司且数据出境业务场景相似,可由集团公司作为申报主体合并申报;
无独立法人资格的分公司不可以单独申报,应由其集团公司作为申报主体合并申报。
Q:标准合同内容是否可以更改?
A:标准合同应当严格按照模版订立;
个人信息处理者可以与境外接收方约定其他条款,但不能与标准合同相冲突。
Q:开始符合订立标准合同,一段时期后符合申报安全评估,如何处理?
A:按照相关法律法规规定要求申报,已备案的标准合同可作为评估申报材料的法律文件。
Q:会员编码信息出境/汽车企业仅车架号出境,是否算作个人信息出境?
A:会员编码信息可能识别到相关自然人,算作个人信息出境;
已销售汽车的车架号算作个人信息,未销售不算。
Q:数据由A委托给B(云服务商,数据处理企业等)进行实际数据处理后出境,那么到底是由A申报还是B申报?
A:数据处理者,是指数据处理活动中自主决定处理目的和处理方式的个人和组织;
数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等;
数据出境中数据处理者判定原则:谁的出境业务场景,谁拥有出境数据所属权,谁申报。此场景中A为数据处理者,进行申报。B为受委托方,算作数据出境链路中的一部分,应在申报材料中描述清楚。
本文作者可以追加内容哦 !
