数据跨境流动新规减轻企业合规负担 不等于降低数据保护要求

国家互联网信息办公室近日发布了《规范和促进数据跨境流动规定（征求意见稿）》（以下简称《规定》），此稿与《数据出境安全评估办法》《个人信息出境标准合同办法》相比均有较大变化，在业界掀起热烈讨论。



结合此前数据出境安全评估、个人信息出境标准合同备案工作中的实际问题，《规定》大幅调整了数据出境评估备案工作的适用标准，实质性豁免了具有强出境必要性以及仅涉及少量个人信息出境的数据出境场景的评估备案义务，在确保数据有序跨境流动的同时实质降低了企业的合规负担。
 
涉数据跨境流动的企业应该如何正确理解《规定》的内涵，抓住数据跨境合规的窗口期以及时调整工作思路和重点，成为业界关切的焦点。安全419在此梳理多个相关机构针对《规定》的解读分析，供各方参考，希望推动企业数据跨境合规工作的良好开展。
 
汉坤律师事务所：《规定》全文体现了四大基本监管原则
 
《规定》全文共11条，主要体现了以下几项基本的监管原则：
 
白名单制度：《规定》第1条至第4条从跨境传输的数据类型、数据跨境传输的数据来源以及数据跨境传输的场景设置了可以豁免申报数据出境安全评估、订立个人信息出境标准合同以及通过个人信息保护认证的白名单。
 
以预期出境量作为唯一考量因素：《规定》第5条和第6条提出了新的衡量是否需要申报数据出境安全评估、订立个人信息出境标准合同以及通过个人信息保护认证的数量标准。这一数量标准仅考虑预计一年内的出境个人信息数量，而无需考虑企业实际掌握的个人信息数量和已经出境的个人信息数量。
 
合规义务的三个数量层次：《规定》第5条和第6条以预期一年内向境外提供1万人和100万人作为分界线，要求超过100万人的应当申报数据出境安全评估；超过1万人但不满100万人的应当订立个人信息出境标准合同或通过个人信息保护认证；不足1万人的不需要申报数据出境安全评估、订立个人信息出境标准合同、或通过个人信息保护认证。
 
自贸区例外：在白名单制度基础上，《规定》第7条对自贸区的数据跨境传输规则进行了进一步放宽，授权自贸区设立与外商投资限制等类似的负面清单制度。自贸区可以自行制定需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单，除此之外的数据出境则无需履行相关义务。
 
需要注意的是，虽然《规定》很大程度上降低了数据出境安全评估或者备案的要求，增加了制度的灵活性，其并没有忽视对数据出境相关安全问题的关注，同时提出了强化数据出境监管事中事后监管的新思路，这也意味着相关企业仍需高度重视数据出境行为的安全性和合规性，并基于具体数据出境活动的变化及时调整合规措施。
 
观韬中茂律师事务所：政策调整目的是促进合规落地，不能误解为降低要求
 
《规定》从多个方面帮助企业降低合规成本：

1. 对一些不涉及重要数据和个人敏感信息的日常数据跨境场景进行了明确，帮助企业避免进行不必要的合规工作。

2. 明确划定了部分重要数据和个人信息的豁免场景，避免这些场景下企业承担过重的合规义务。

3. 减免了部分企业和场景下的安全评估、标准合同等前置合规要求，降低合规工作门槛。

4. 探索自贸区实施负面清单制度，进一步降低合规成本。
 
然而，企业也不能错误解读这些“减负”措施的本质，把它们简单理解为对数据保护要求的降低。对部分场景进行豁免也好，减免部分前置审批也好，目的都不是为了降低对企业数据跨境行为的监管力度，而是考虑到不同场景下安全风险的差异，采取差异化监管来鼓励企业合规。
 
同时，企业也要认识到，这次政策调整只是降低了部分前置审批要求，并没有减轻企业在数据跨境中应承担的合规责任。反而在减轻前置审批后，监管部门将加强事后的监管力度。如果企业在这次窗口期错过合规良机，很可能成为未来事后监管的重点对象。
 
广州数据交易所：《规定》的一大亮点为增加了“豁免清单”
 
此举预计将促进数据跨境流通，也让国家行政监管更为聚焦。根据《规定》，需要开展“评估、合同与认证”的情形限缩至三类，即“关键信息基础设施运营者”“重要数据”以及“处理一百万人以上的个人信息”且个人信息种类不属于前述第三点第一项所述内容。
 
如此来看，基于目前全国大部分地区暂未制定重要数据目录，关键信息基础设施运营者数量也较为有限的现状，适用“评估、合同与认证”的情形将大为减少，企业跨境数据流通的合规成本有望进一步降低，这也充分展示了国家监管方式已转向精细化与精准化，有利于进一步优化营商环境。
 
德勤Deloitte：重要数据的认定依据更明确
 
《规定》第二条规定，“未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。”
 
这一问题在重要数据定义正式版迟迟未能发布的今天，显得尤为重要。企业在实际操作中，很难单凭自己的判断去独立识别哪些是重要数据。此规定松绑了企业对重要数据的识别和判断的义务，类似于关键信息基础设施的定义，即：只有明确被监管部门通知到的企业或组织，才需要承担起关键信息基础设施运营者的义务，而未被告知的，就不是关键信息基础设施。因此，未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。此定义免去了企业对把握不定的可疑数据是否进行申报的忐忑和焦虑。
 
相比于《数据出境安全评估办法（征求意见稿）》和《个人信息出境标准合同规定（征求意见稿）》，这次征求意见的时间显得更加紧迫，可以想见，《规定》的生效、实施大概率也会更为高效。
 
包括数据出境安全评估和个人信息出境标准合同备案在内的数据出境评估备案工作是众多企业在过去一年多时间内的合规工作重心。我们乐见监管部门从解决企业实际困难、减少企业不必要负担的角度出发，及时调整现有规则，提供兼具安全性和实操性的数据出境评估和备案方案，为数字化背景下企业的全球化运营提供必要的底层保障。