蒋旭峰(资深金融人士)
2024年3月22日,网信办《促进和规范数据跨境流动规定》(以下简称“《规定》”)正式发布并自公布之日起施行。自此,从2022年《数据出境安全评估办法》、《个人信息出境标准合同办法》到2023年9月28日国家互联网信息办公室发布《规范和促进数据跨境流动规定(征求意见稿)》,一直悬而未决的政策终于有了新的明确规定。
数据跨境流动已经成为全球资金、信息、技术、人才、货物等资源要素交换、共享的基础。为了促进数据依法有序自由流动,激发数据要素价值,扩大高水平对外开放,规定对数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度作出优化调整有其必要价值。
对比三个阶段文件,对触发数据出境安全评估申报义务、订立个人信息出境标准合同及备案或通过个人信息保护认证的触发数量门槛区别主要如下:
从上表可以看出,触发申报的门槛值是逐步在放开的。这也完全呼应了2024年3月国务院在《扎实推进高水平对外开放更大力度吸引和利用外资行动方案》中提及:“支持外商投资企业与总部数据流动。规范数据跨境安全管理,组织开展数据出境安全评估、规范个人信息出境标准合同备案等相关工作,促进外商投资企业研发、生产、销售等数据跨境安全有序流动”的相关内容,
规定还列举了免予申报的条件和应当申报的条件如下图。其中关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
另外还可以关注的就是关于自贸区试验田的特殊规定了。
“自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。”
譬如2024年2月8日的《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》,在总线路一致情况下,有各自的约定规范。上海自贸区临港新片区已明确要开展离岸数据中心试点研究,建议加快步伐,推进数字身份、数据资产、贸易真实性核验、个人信息保护认证、区块链平台等领域的国际互认互信互用。同时,推动电信领域业务开放,引入更多国际知名数据服务企业,支持国内数据企业“走出去”,拓展国际数据产业开放与合作范围,更好配置使用全球数据资源,打造国际数据服务产业集群。在离岸数据中心运行并在数据跨境流动机制方面积累一定经验后,结合我国实际,提出更具国际影响力、更具兼容性的中国方案,遵循从区域到全球的渐进式参与原则,推动建立“一带一路”沿线国家间既便利又保障安全的数据跨境流动规则体系,进而成为全球标准。
此外,国家网信办同步发布了《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》,对数据处理者需要提交的相关材料进行了优化简化,同步开通了“数据出境申报系统”。数据处理者应通过系统提交申报,关键信息基础设施运营者或者其他不适合通过数据出境申报系统申报数据出境安全评估的,采用线下方式通过所在地省级网信办向国家网信办申报数据出境安全评估,申报方式为送达书面申报材料并附带材料电子版,书面申报材料需装订成册。
总的来说,数据跨境流动规定的公布与实施,体现了优化营商环境、方便数据(个人信息)处理者经营活动的指导思想,对于非重要数据和特定个人信息的出境规定了方便快捷的路径,对重要数据和敏感个人信息提供了更加精确的保护,有利于实现发展与安全的平衡,更好地保障数据安全,保护个人信息权益,促进数据依法有序自由流动。(本文为作者观点,不代表本头条号立场)
