引言
《跨境新規》對于便利數據跨境流動而言是絕對利好。一方面,強調“有限豁免”,從數據處理場景、敏感程度、處理規模等角度切入,為數據出境合規機制設置豁免情形,部分豁免情形甚至對關鍵信息基礎設施(“關基”)運營者也適用;另一方面,強調“風險路徑”,聚焦重要數據以及達到特定規模、敏感程度的個人信息,進行深度監管。最受關注的遺留問題為如何認定敏感個人信息。根據《跨境新規》,出境1條敏感個人信息即需要訂立標準合同或通過個人信息保護認證;若自當年1月1日起累計出境1萬人以上敏感個人信息,則需申報數據出境安全評估。目前,通常參考GB/T 35273《信息安全技術 個人信息安全規范》(“35273標準”)劃定敏感個人信息,部分字段對于企業影響較大,例如身份證號、銀行卡號。需要注意的是,《跨境新規》的豁免主要針對出境合規機制,即數據出境安全評估、個人信息出境標準合同、個人信息保護認證。在出境合規機制之外,企業出境個人信息仍需履行《個人信息保護法》規定的其他合規要求,典型包括:告知個人信息主體、取得個人單獨同意或滿足其他合法性基礎、開展個人信息保護影響評估(即PIA)。為協助企業更好地理解與應用《跨境新規》,我們梳理了系統性的理論工具,以便企業判斷和選擇適當的出境合規機制,并通過4個實踐案例進一步分析新規的具體應用。一、理論工具:出境合規機制的判斷與選擇
根據《跨境新規》,數據處理者在判斷數據出境活動應當采取何種出境合規機制時,可以按照“豁免監管—強制監管—自由選擇”的順序進行評估。(一)豁免監管的判斷:如果不涉及受監管數據類型,或者滿足特定的收集地、合法性基礎或數據量要求,則數據出境無需采取任何出境合規機制。
(除下述第4點“數據量”的豁免條件外,其余豁免場景適用于全部數據處理活動,包括關基運營者的數據處理活動。)
1. 數據類型:出境數據是否不涉及受監管數據類型?- 不包含個人信息或重要數據:受出境監管的數據主要為個人信息、重要數據系通識認知,其他數據的出境一般不受監管,除非存在外國司法或執法等特定場景。《跨境新規》進一步強調了在國際貿易、跨境運輸、學術合作、跨國生產制造和市場營銷等活動中產生的數據出境,如果不包含個人信息或者重要數據,則無需采取任何出境合規機制。
- 不屬于自貿區負面清單:自由貿易試驗區(“自貿區”)在國家數據分類分級保護制度的框架下,可自行制定區內需要納入監管范圍的數據清單(“負面清單”)。對于自貿區內的數據處理者,如果出境的數據并未落入負面清單,則無需采取任何出境合規機制。
- 境外數據過境:如果擬出境的個人信息是在境外收集和產生,且在境內處理過程中沒有引入境內個人信息或重要數據,則無需采取任何出境合規機制。
3. 合法性基礎:是否滿足特定的合法性基礎(“場景豁免”)?- 為訂立、履行個人作為一方當事人的合同,確需向境外提供個人信息,無需采取任何出境合規機制。《跨境新規》明示列舉了跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等典型場景。
- 按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理,確需向境外提供員工個人信息,無需采取任何出境合規機制。相較《征求意見稿》的“實施人力資源管理”,《跨境新規》強調該豁免場景僅適用于“實施跨境人力資源管理”所必需的情形,意味著一般人力資源管理場景可能無法適用該豁免條件,對跨境的必要性提出了更高的要求,從而收縮了適用范圍。
- 緊急情況下為保護自然人的生命健康和財產安全等,確需向境外提供個人信息,無需采取任何出境合規機制。
4. 數據量:當年累計出境的一般個人信息是否不滿10萬人?- 不滿10萬人一般個人信息:關基運營者以外的數據處理者,自當年1月1日起累計向境外提供的個人信息(不含敏感個人信息)如果不滿10萬人(以自然人為單位去重后計算),則無需采取任何出境合規機制。就數據量的計算范圍,在計算10萬人時,無需納入上述已被豁免的個人信息。
(二)強制監管的判斷:如果構成特殊的主體、數據性質或數據量,則數據出境應當適用安全評估。- 關基運營者:如果企業構成關基運營者,向境外提供個人信息或重要數據,且不符合前述豁免情形的,則應申報數據出境安全評估。
- 官方認定的重要數據:如果出境的數據構成重要數據,則應申報數據出境安全評估。數據處理者有義務按相關規定識別、申報重要數據,但僅有經相關部門、地區告知或公開發布的重要數據才需要申報安全評估。2024年3月15日,國家標準GB/T 43697-2024《數據安全技術數據分類分級規則》發布,其附錄G《重要數據識別指南》對重要數據的識別具有參考價值,但重要數據的最終認定需以官方發布的重要數據目錄為準。目前,天津等地區已經公開發布重要數據目錄。行業重要數據目錄未必會向社會公開,工信、能源、航空等行業目前均已存在行業內部的重要數據目錄。
- 敏感個人信息:對于出境敏感個人信息,如果當年出境量累計達到1萬人以上,則應申報數據出境安全評估;如果當年出境量不到1萬人,則應訂立個人信息出境標準合同或通過個人信息保護認證。針對敏感個人信息的判定,各國監管都在探索之路上。美國最近發布的《關于防止受關注國家獲取美國人大量敏感個人數據和美國政府相關數據的行政命令》將人類基因組數據、生物識別標識符、精確地理位置數據、個人健康信息、個人財務數據、受覆蓋的個人識別符界定為敏感個人信息,仍較為寬泛。盡量細化敏感個人信息的類型及定義,同時為不同類型的敏感個人信息設置不同的觸發監管的數量門檻,并明確數據脫敏的法律效果,對于各國而言皆為具有實際價值、但必定糾結的重要課題。中國監管現狀如下:?敏感性質判定:《個人信息保護法》規定的敏感個人信息包括:生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。網信辦本次發布的《個人信息出境標準合同備案指南(第二版)》重申需參考35273標準判斷出境敏感個人信息的類型。35273標準中判定敏感個人信息的因素較為寬泛,監管實踐的把握尺度亦類似。?數量門檻判定:敏感個人信息以1萬人為限,劃分數據出境安全評估、和標準合同或認證;理論上即便出境1條敏感個人信息,亦需要采取出境合規機制。?脫敏效果判定:若通過技術手段降低敏感個人信息的敏感程度,則脫敏后的敏感個人信息是否可以降級為個人信息?目前并無明確答案。科技發展導致脫敏后重新識別個人的能力不斷提升,料想各國監管均難以輕易作出判斷。
3. 數據量:當年是否累計出境100萬人以上一般個人信息或1萬人以上敏感個人信息?- 100萬人以上一般個人信息:自當年1月1日起累計向境外提供100萬人以上個人信息(不含敏感個人信息),應申報數據出境安全評估。
- 1萬人以上敏感個人信息:自當年1月1日起累計向境外提供1萬人以上敏感個人信息,應申報數據出境安全評估。就數據量的計算范圍,在計算100萬人或1萬人時,無需納入前述第一(一)部分第1-3項所述已被豁免的個人信息。
(三)出境合規機制的自由選擇:對于豁免監管、強制監管之外的數據出境,數據處理者可以自行選擇合適的出境合規機制。1. 數據量:當年是否累計出境10~100萬人一般個人信息或不滿1萬人敏感個人信息?針對以下數據處理場景,關基運營者之外的數據處理者可以自行選擇合適的出境合規機制,包括訂立個人信息出境標準合同或通過個人信息保護認證。- 10~100萬人一般個人信息:自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息(不含敏感個人信息)。
- 不滿1萬人敏感個人信息:自當年1月1日起累計向境外提供不滿1萬人敏感個人信息。就數據量的計算范圍,在計算時無需納入前述第(一)部分第1-3項所述已被豁免監管的個人信息。
對于《跨境新規》的上述規定,我們通過以下四個案例進一步分析新規的具體應用,以便企業參考。
(一)案例1:境外酒店預定場景
案例事實概況:某酒店位于中國境外,通過官方網站及App等線上渠道,面向全球(包括中國境內)的顧客提供酒店相關服務,涉及中國境內顧客超過100萬人。
1. 境外個人信息處理者是否需要采取出境合規機制?根據《數據出境安全評估申報指南(第二版)》《個人信息出境標準合同備案指南(第二版)》,以下情形屬于數據出境行為:符合《個人信息保護法》第三條第二款(注:即域外管轄條款)情形,在境外處理境內自然人個人信息等其他數據處理活動。因此,即使在中國境內沒有數據出境方,境外的個人信息處理者如果符合《個人信息保護法》的域外管轄條件,且直接從中國境內用戶處收集個人信息、并傳輸至境外處理,則也需要采取出境合規機制,除非可以被豁免。2. 境外酒店預定能否適用“履行個人合同所必需”的豁免?《跨境新規》延續并完善了《征求意見稿》中的基于合法性基礎的“場景豁免”,其中包括:為訂立、履行個人作為一方當事人的合同,如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等,確需向境外提供個人信息,則無需采取任何出境合規機制。“為訂立、履行個人作為一方當事人的合同所必需”是《個人信息保護法》已明確規定的合法性基礎,而《跨境新規》進一步列舉的典型場景均屬于客觀必要的場景,即,不跨境傳輸相應的個人信息給境外服務提供方,則個人無法開展相關跨境活動。本案例屬于酒店預訂場景,境外酒店可以為訂立、履行個人合同所必需而出境個人信息,無需采取任何出境合規機制。此外,根據《跨境新規》,場景豁免應優先適用。因此,盡管該境外酒店每年在境外收集和處理超過100萬中國境內個人的個人信息,但因其系跨境酒店預定所必需,該等個人信息可在數量計算中排除,不會觸發基于數據量的監管,故無需采取任何出境合規機制。案例事實概況:某境外公司為境內客戶提供電子名片管理產品,客戶可將其收集到的名片上傳至系統,系統會自動識別名片上的姓名、職稱、電子郵箱、手機號等信息,方便客戶管理聯系人信息。該境外公司的服務器位于東南亞,客戶上傳名片信息時相關個人信息即出境。1. 該公司的中國境內客戶是否因使用該系統而需采取出境合規機制?若境內客戶本身并非關基運營者,通常情況下可就該場景豁免出境合規機制:- 數據性質:不涉及敏感個人信息出境。本案例中出境個人信息僅涉及名片上的姓名、職稱、電子郵箱、手機號等非敏感個人信息,不會因敏感個人信息出境而觸發出境合規機制。
- 數據量級:所涉聯系人信息不滿10萬人。通常情況下,商業伙伴聯系人的數量較為有限,即使大型公司,每年接觸10萬人以上商業伙伴聯系人并將其信息上傳系統的可能性也比較低。因此,境內客戶不會單純因為使用該境外電子名片管理產品而觸發出境合規機制。
案例事實概況:某公司擬使用位于中國境外的算力基礎設施進行人工智能訓練,需要向境外傳輸大規模訓練數據。該公司注冊地不在任何自貿區,但服務器部署于上海自貿區臨港新片區。1. 該公司可否借助“自貿區負面清單”實現數據合規出境?有觀點認為,適用自貿區負面清單的前提是該公司注冊于自貿區;也有觀點認為,公司在自貿區內開展數據出境活動,即可適用自貿區負面清單。本案例中,公司在自貿區內僅有服務器、沒有實體,該公司在自貿區內的數據出境活動能否享受自貿區的優惠政策,仍有一定的不確定性。- 跨境新規:《跨境新規》規定,“自由貿易試驗區…可以自行制定區內需要納入數據出境安全評估、個人信息出境標準合同、個人信息保護認證管理范圍的數據清單”“自由貿易試驗區內數據處理者向境外提供負面清單外的數據,可以免予…”——“區內”二字為新增,但僅從字面變化無法確定公司是否必須注冊于自貿區內。
- 地方實踐:上海自貿區和天津自貿區已就適用主體作出限定,但范圍有所不同。?上海臨港:2024年2月,《中國(上海)自由貿易試驗區臨港新片區數據跨境流動分類分級管理辦法(試行)》(“《上海辦法》”)發布,允許數據處理者根據本片區的重要數據目錄和一般數據清單對應采取安全評估、登記備案等措施,實現數據出境合規。《上海辦法》的適用主體限于以下數據處理者:(1)在臨港新片區內登記注冊的;或(2)在臨港新片區開展數據跨境流動相關活動的。?天津:2024年2月,《中國(天津)自由貿易試驗區企業數據分類分級標準規范》(“《天津規范》”)發布,采用“定量與定性相結合”的方式將企業數據分為核心數據、重要數據、一般數據3個級別,并制定了重要數據的識別標準和清單。《天津規范》的適用主體僅限于天津自貿區內企業。
2. 借助“自貿區負面清單”是否可以實現大規模訓練數據出境?自貿區負面清單并非意味著監管完全放寬,通過該機制實現數據出境仍存在一些制約:- 清單審批流程嚴格:根據《跨境新規》,負面清單須經省級網絡安全和信息化委員會批準,并報國家網信部門、國家數據管理部門備案。一方面,這意味著最終出臺的負面清單具備較強的權威性,但另一方面,這也可能會限制自貿區在負面清單制定上的自主權。
- 受限于分類分級框架:相較于《征求意見稿》,《跨境新規》強調負面清單須在國家數據分類分級保護制度框架下制定。一方面,站位國家安全和公共安全的重要數據大概率仍會落入“負面清單”從而適用安全評估。另一方面,涉及個體權益保護的敏感個人信息能否在“負面清單”得到降級甚至豁免,仍有待觀察。在特定語境下,重要數據和個人信息亦可能發生內涵交叉。例如,《天津規范》將“企業掌握的1000萬人以上個人信息”“100萬人以上個人敏感信息”“10萬人以上且包含個人銀行賬戶、個人保險賬戶、個人注冊賬戶、個人診療數據等的個人敏感信息”均識別為重要數據。
- 落地時間并不確定:目前僅天津自貿區、上海自貿區在負面清單制定上動作較快,但負面清單機制何時才能切實落地并在實踐中成熟運作,面臨一定不確定性。
本案例中,人工智能研發需要海量訓練數據,必然涉及大量數據出境。如果其中涉及重要數據,則即使通過自貿區仍然難以突破國家數據分類分級框架。如果涉及大量個人信息,則亦有可能落入重要數據的范疇。如何對待上述范圍外的個人信息出境,將是衡量自貿區負面清單含金量的重要標準,解決方法亦如前文所述:盡量細化敏感個人信息的類型及定義,同時為不同類型的敏感個人信息設置不同的、觸發監管的數量門檻,并明確數據脫敏的法律效果。案例事實概況:某跨國公司的中國境內子公司統一使用全球總部的人力資源系統處理中國境內員工、求職者的個人信息,從而出境人力資源相關個人信息,其中涉及員工的身份證號、銀行卡號等敏感個人信息。1. 出境員工個人信息能否適用“跨境人力資源管理”的豁免?《跨境新規》規定,“按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理,確需向境外提供員工個人信息的”,無需采取任何出境合規機制。相較于求職者,已經入職跨國公司的員工顯然對于其個人信息出境至全球總部具備更為明確的預期,人力資源統一管理亦為跨國公司運作機制的應有之義。本案例需關注以下兩方面的制約因素,實踐中的監管態度將決定該豁免場景的適用范圍:- 程序要件:《跨境新規》依然強調人力資源管理的依據為依法制定的勞動規章制度和依法簽訂的集體合同。根據《勞動合同法》,直接涉及勞動者切身利益的規章制度需要依法履行平等協商和公示程序,而集體合同需要依法履行平等協商和報送程序。實踐中,訂立集體合同的情況很少,若嚴格要求同時具備勞動規章制度和集體合同,必將對多數公司適用該豁免場景形成阻礙。
- 必要性限制:《跨境新規》依然強調出境員工個人信息的必要性,并將《征求意見稿》中的“人力資源管理所必需”改為“跨境人力資源管理所必需”。如果將其嚴格解釋為個人信息不跨境即客觀無法實現人力資源管理(例如,外企招聘CEO,需出境個人簡歷并由總部面試候選人),則將極大限制該豁免場景的適用性。
此外,在員工個人信息出境場景中,涉及身份證號、銀行卡號等敏感個人信息出境的情況較為常見。若無法滿足該豁免場景的程序要件和必要性,則需要納入敏感個人信息的出境數量計算。即使出境1名員工的敏感個人信息,也需要訂立標準合同或通過個人信息保護認證;如果結合員工之外的出境場景,當年累計出境敏感個人信息達到1萬人,還應申報安全評估。2. 出境求職者個人信息能否適用“訂立個人合同所必需”的豁免?《跨境新規》關于“跨境人力資源管理”的豁免場景僅適用于員工,不包括求職者。公司收集、出境求職者個人信息的目的為招聘員工,可以考慮適用“訂立個人合同所必需”的豁免場景。本案例中,即使求職者應聘境內公司的職位,在某些情況下,公司如果不出境個人信息確實難以完成招聘流程,例如:對于通過業務考核的求職者,全球總部為滿足監管或內控要求而需對求職者進行合規審查、背景調查,尤其是強監管行業的從業人員;對于應聘高級職位的求職者,全球總部需要直接對其進行考核。但是,在初步遴選階段、或普通職位應聘場景,出境求職者個人信息的必要性論證則存在不確定性,有可能無法適用豁免情形。
京公網安備110105011258