财经新闻网消息:
中秋、国庆节前夕发布重大消息。 9月28日,国家网信办发布《规范和促进数据跨境流动的规定(征求意见稿)》(以下简称《征求意见稿》)。 文章针对国际贸易、学术合作、跨境购物、跨境汇款、机票酒店预订等涉及跨境数据的多个场景“放出”,且满足相应情况,且不存在需要进行安全评估、通过认证或签订标准合同。
北京理工大学法学院教授洪彦庆在公众号“网络安全探路者”撰文分析称,《征求意见稿》最大亮点是放宽了对数据导出必要性的判断商业。 “这一点的重要性怎么强调都不为过。”
《征求意见稿》对于跨境服务、跨境电商等无疑是一大利好,业内人士表示,将提振数字市场信心。
重要数据识别问题或可解决
2022年下半年至今年年初,《数据传输安全评估办法》《跨境个人信息处理活动安全认证规范》《个人信息传输标准合同办法》相继发布,我国数据出境“三路径”逐渐清晰。 和清晰度。 但业界一直对安全评估、认证、标准合约这三条路径如何衔接,以及实践中三条路径的模糊性存在质疑,比如重要数据的定义等。
此次发布的《征求意见稿》,“放出了”各种情况。 洪延庆指出,监管部门不会(提前)判断数据出境的必要性。 也就是说,向境外提供数据的一方优先判断数据出境的必要性。
北京师范大学法学院博士生导师、中国互联网协会研究中心副主任吴申阔分析道:一是国际数据流生态系统正在快速推进和形成,需要及时应对。 其次,数字产业、数据产业的快速发展,需要更加敏捷、灵活、灵活的跨境数据流动机制。 第三,《征求意见稿》是对现行跨境数据机制的系统总结、提炼和反思。
具体来说,《征求意见稿》规定,国际贸易、学术合作、跨国制造、营销等活动出境数据不包含个人信息或重要数据的,无需申报数据出境安全评估或数据出境安全评估。签订个人协议。 信息出口标准合同并通过个人信息保护认证。
重要数据难以准确识别一直是合规实践中的难点。 根据2022年9月实施的《数据出境安全评估办法》,数据处理者在向境外提供重要数据等四种情况下,必须申请数据出境安全评估。
就在今年3月,南财合规技术研究院推出的《数据跨境现状调查分析报告——基本问题及十大痛点解决方案》显示,近40%的参与调查企业不知道重要数据的分类。 “感觉困难”和33%的“不确定是否需要申报跨境数据安全评估”,这些因素对企业选择何种安全机制向境外输出数据产生重要影响。
“由于重要数据等数据类型的认定标准模糊,存在漏报数据、未履行合规义务、多报数据造成资源浪费等问题,我们常常感到无从下手。划分数据时。” 一些公司报告了反馈。
此次《征求意见稿》明确,数据出境安全评估未经相关部门或地区通报或作为重要数据公开发布的,数据处理者无需将数据出境安全评估作为重要数据申报。
此外,《征求意见稿》还提出,非境内收集、向境外提供的个人信息,无需申报数据出境安全评估、签订个人信息出境标准合同、通过个人信息保护认证。
跨境电商迎来利好
跨境服务、跨境电商不可避免地涉及跨境数据。 此次《征求意见稿》指出,跨境购物、跨境汇款、机票酒店预订、签证等需要签订和履行以个人为当事人的合同。 因处理等需要向境外提供个人信息的,无需申报数据出境安全评估、签订个人信息出境标准合同、或通过个人信息保护认证。
一位从事跨境电商业务的公司人士告诉21世纪经济报道记者,这是预期的最好结果。 虽然相关业务场景已经通过了安全评估,但他仍然很受鼓舞。 “这提高了政策和法律的可预测性,并增强了对数字市场的信心。”
除上述场景外,还有一些常见场景可以免走三种路径: 人力资源管理必须按照劳动法规和依法签订的集体合同进行,个人信息不得泄露。必须在海外提供内部员工; 为了在紧急情况下保护自然人的个人信息,必须向境外提供个人信息,以保护生命、健康、财产安全等。
负面清单外数据导出更加顺畅
《征求意见稿》第五条规定,预计一年内向境外提供1万条以下个人信息的,无需申报数据出境安全评估、签订个人信息出境标准合同、通过个人信息出境。防护认证。 但经个人同意向境外提供个人信息的,须取得个人信息主体的同意。 洪彦庆分析称,监管部门优先对境外提供数据的一方进行必要性判断。 但这并不排除监管部门的事中和事后监管。
《征求意见稿》第六条规定,预计一年内向境外提供1万人以上、100万人以下的个人信息,并与境外签订标准的个人信息出境合同。接收方并向省级网信部门备案或通过个人信息保护认证,无需申请数据出境安全评估; 如果您向境外提供超过100万人的个人信息,则必须申请数据出境安全评估。 但经个人同意向境外提供个人信息的,须取得个人信息主体的同意。
洪延庆表示,第六条中,对于“一年内向境外提供一万人以上、一百万人以下的个人信息”,必要性判断也会优先考虑向境外提供数据的一方。 因为标准合同是双方自己签订的。 认证是对能力的认证,并不针对特定的数据集。 因此,总体而言,在确定必要性时,优先考虑企业。 但如果超过100万人,就会回到现在的路径,必要性的判断会优先于监管部门的判断。
吴申阔指出,第五条、第六条分为三个层次。 预计一年内向境外提供1万人以下个人信息的,无需办理法律手续; 如果数量超过1万个且小于100万个,是否可以有标准合同或认证,并且不需要安全评估; 只有价值超过100万的才需要评估。 同时明确必须征得当事人同意,不能扣除这一法定要求。
此外,《征求意见稿》还树立了“政策高地”。 自贸试验区可以制定需要纳入自贸区数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(下同)。 (简称负面清单)经省网络安全和信息化委员会批准后,报国家网信部门备案。 负面清单外数据出境,无需申请数据出境安全评估、签订个人信息出境标准合同、无需通过个人信息保护认证。 “这是首次提出负面清单,对于充分发挥自贸区试点作用具有根本性的制度意义。” 吴申阔说道。
最后,《征求意见稿》指出,《数据出境安全评估办法》、《个人信息传输标准合同办法》等相关规定与本规定不一致的,按照本规定执行。占上风。 接受采访的专家认为,这说明了《征求意见稿》的优先级别。
免责声明 ① 本网所刊登文章均来自网络转载;文章观点不代表本网立场,其真实性由作者或稿源方负责 ② 如果您对稿件和图片等有版权及其他争议,请及时与我们联系,我们将核实情况后进行相关删除 ③ 联系邮箱:215858170@qq.com