原标题:周亮等:国际金融机构跨境数据传输合规减负——《规范和促进数据跨境流动规定》解读
2024年3月22日,国家互联网信息办公室发布《规范和促进数据跨境流动规定》(“《数据跨境规定》”),该规定自发布之日起生效施行。在延续了《规范和促进数据跨境流动规定(征求意见稿)》(“《征求意见稿》”)的部分内容,并经历了境内外数据跨境流动监管立法的频繁变动之后,正式发布的《跨境流动新规》中所规定的数据跨境流动监管框架对从事跨境业务的国内外金融机构释放了友好的信号。
该规定在多个维度减轻了在国内设有分支机构或者总部在国内的国际金融机构的数据合规负担,有利于促进国际金融机构跨境金融活动的高效运营。本文旨在介绍《数据跨境规定》的主要亮点以及其对国际金融机构跨境数据传输的影响。
一、重要数据的范围
《数据跨境规定》第二条延续了《征求意见稿》的思路,认为未经监管主动告知或未以公开发布文件的方式识别重要数据的情况下,无需数据处理者进行重要数据的出境申报。这大大减轻了国际金融机构判断其掌握数据是否属于重要数据的负担。
近日,国家标准GB/T 43697-2024《数据安全技术数据分类分级规则》已正式发布。该推荐性国家标准不仅明确了数据应根据敏感性、重要性和潜在风险划分为一般数据、重要数据、核心数据等级别,并在附录G中提供了“重要数据识别指南”,认为“反映全局性或重点领域经济运行、金融活动状况”的数据可能被识别为重要数据。
尽管《数据跨境规定》或《数据安全技术数据分类分级规则》目前均未对金融行业下“重要数据”的范围形成明确的“清单”,但基于金融行业属于强监管以及金融数据和敏感信息高度集中的行业,因此,对于国际金融机构的境内关联机构或境内合作金融机构而言,其仍应留意相关法律法规对于金融数据合规的要求。
二、数据跨境流动的豁免新动态
数据出境安全评估、个人信息出境标准合同订立以及个人信息保护认证机制属于《个人信息保护法》等法律法规所规定的个人信息出境的三条合规路径。《数据跨境规定》的第三条至第六条,重申和明确了特定场景下合规路径的豁免情形。
1、不包含个人信息或者重要数据的出境豁免
《数据跨境规定》第三条延续了《征求意见稿》的规定,认为实践中常见的跨境商业经营活动中,包括国际贸易、跨境运输、跨国生产制造和市场营销等以及学术合作,产生或收集的数据,如果不包含个人信息或者重要数据,可以自由出境。
2、“数据过境”场景下的数据出境豁免
《数据跨境规定》第四条规定,数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
与《征求意见稿》相比,《数据跨境规定》明确了“过境”数据的出境豁免。即,境外收集和产生的个人信息的跨境传输,在未引入境内个人信息或重要数据的前提下,无需受任何数据出境合规路径的限制。
该规定进一步便利了国际金融机构对其所收集的个人信息或数据的储存和使用。比如说,境内金融机构的境外分支机构或境外金融机构可以将其在境外收集的个人信息传输至境内机构进行储存、加工、分析,经处理后的数据可以自由出境使用。这不仅有利于金融数据的集中化管理和储存,还可以降低国际金融机构在从事数据跨境传输项目中的技术成本。
3、个人信息数据出境的特殊情形豁免
《数据跨境规定》的第五条列举了个人信息数据出境可豁免三条合规路径义务要求的情形,包括:
(1)为订立、履行个人作为一方当事人的合同所需
该条针对“履行合同所需”进行了场景上的罗列,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,为国际金融机构提供了具体化参考。
值得注意的是,《数据跨境规定》增加了诸多场景的列举,比如“跨境开户”及“跨境支付”等行为被明确列入豁免范围,进一步为国际金融机构判断豁免业务提供了更多参考。比如说,对于境内主体境外开户申请银行卡的情形,以及金融机构在开户过程中需要履行的“了解你的客户”(KYC)程序所涉及的个人信息跨境传输皆可能豁免,但具体需结合银行或金融机构业务流程加以判断。
(2)按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的
该情形仅针对员工个人信息的特定出境场景,而未对出境方既有的个人信息处理规模、拟出境的个人信息数量以及类型(一般信息还是敏感个人信息)提出任何要求。因此,只要能充分论证员工的个人信息出境是为了实施劳动规章制度或集体合同所必须而向境外提供,即可符合该项豁免条件,但企业(尤其是总部在海外的跨国企业)应确保内部已制定了完善的劳动规章制度或与员工签订了符合要求的集体合同。
(3)紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的
该项主要是基于保护人身、财产安全等个人最基本权益所提供的豁免情形。
(4)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的
该项豁免了非关键信息基础设施运营者小规模处理个人信息出境活动所需履行的数据合规义务,将《征求意见稿》中需要申报的门槛从1万人次提升至10万人次,利好的尺度进一步加大。
目前绝大多数国际金融机构的境内分支机构均未被认定为“关键信息基础设施运营者”,若国际金融机构每年处理的的个人信息数量不超过10万人次,则可以豁免相应的数据出境义务。但同时需明确,只有在出境活动不包含敏感个人信息的情况下,这一豁免情形才适用。这要求国际金融机构提高对敏感个人信息的识别能力,并需要在收集个人信息时对敏感信息和非敏感信息作出区分,以更好地适用数据出境豁免条款。
4、自由贸易试验区的“负面清单”豁免
《数据跨境规定》第六条规定,自由贸易试验区在国家数据分类分级保护制度框架下可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单,即负面清单,经省级网络安全和信息化委员会批准后报国家网信部门、国家数据管理部门备案。自贸区内数据处理者向境外提供负面清单之外的数据可以免予数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
该规定给予了相关自贸区充分的自主权,允许自贸区根据吸引外资和对外开放的需要放开数据跨境流动。目前不同地方的自由贸易试验区已相应尝试出台促进数据流通的规定。比如,广州市政务服务数据管理局在2023年7月发布《广州市数据条例(征求意见稿)》,提出了跨境数据流通“白名单”制度;深圳市人民政府办公厅在2023年7月发布的《关于印发贯彻落实金融支持前海深港现代服务业合作区全面深化改革开放意见的实施方案的通知》中,也提到了支持在前海合作区和香港均设有分支机构的中资商业银行、港资商业银行开展内部数据跨境流动试点;上海市政府在2024年2月发布了《上海市落实〈全面对接国际高标准经贸规则推进中国(上海)自由贸易试验区高水平制度型开放总体方案〉的实施方案》,其中提到探索建立合法安全便利的数据跨境流动机制,提升数据跨境流动便利性。通过加强相关行业出境数据分类指导、发布示范场景、在临港新片区建立数据跨境服务中心等,便利数据处理者开展数据出境自评等数据出境安全合规工作。
随着由贸易试验区“负面清单”制度的不断完善,国际金融机构可以依据不同自贸区所公示的“负面清单”,进一步优化境内分支机构/支行的选址,从而便利跨境金融合作的展开。这也有利于提高自贸区内银行识别禁止或受限出境的数据的效率,从而更迅速地判断自身数据是否可出境。
三、数据跨境流动合规义务触发门槛的新变化
《数据跨境规定》第七条和第八条集中对三大数据出境合规路径适用的触发门槛进行了调整,并在适用主体以及所涉数据类型上进行了明确区分,使得数量计算及适用推定方式更为清晰。具体总结如下:
履行数据出境安全评估义务的主体以及数据类型:
(1)对于关键信息基础设施运营者,其对境外提供的重要数据以及个人信息(包含敏感个人信息)的;
(2)对于非关键信息基础设施运营者,其对境外提供的重要数据的;
(3)对于非关键信息基础设施运营者,自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)的;
(4)对于非关键信息基础设施运营者,自当年1月1日起累计向境外提供1万人以上敏感个人信息的。
履行订立个人信息出境标准合同或通过个人信息保护认证义务的主体以及数据类型:
(1)对于非关键信息基础设施运营者,自当年1月1日起累计向境外提供10万人以上100万人以下个人信息(不含敏感信息的);
(2)对于非关键信息基础设施运营者,自当年1月1日起累计向境外提供不满1万人敏感个人信息的;
对于非关键信息基础设施运营者,自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感信息的),无需数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
四、《数据跨境规定》对国际金融机构的影响
总体而言,我们认为本次《数据跨境规定》对从事跨境业务的国内外金融机构释放了友好的信号。
首先,《数据跨境规定》进一步减轻了国际金融机构的数据出境合规义务,明确排除了跨境开户、跨境支付等个人信息出境的合规业务,同时提高了金融机构触发数据出境合规义务的门槛。
其次,《数据跨境规定》一定程度上减轻了国际金融机构对出境数据性质的判断义务。无论是重要数据范围的法定化还是自贸区的“负面清单”制度,都能够提高国际金融机构识别出境数据的效率。
但是,我们也注意到个人信息跨境的合规监管在实践中存在各种复杂情况,具体数据出境场景的细微差别可能导致合规监管要求截然不同。因此,建议国际金融机构在实践中仍需根据自身实际情况,确定执行标准、明确合规要求并适时咨询专业人士意见。
特别声明:
大成律师事务所严格遵守对客户的信息保护义务,本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考,不代表大成律师事务所任何立场,亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源。未经授权,不得转载或使用该等文章中的任何内容。
热门跟贴