监管规范数据出境:促进跨境交易高效运营
最新信息
监管规范数据出境:促进跨境交易高效运营
2023-10-14 10:28:00
本报记者李晖北京报道
国家互联网信息办公室“十一”前夕下发的《规范和促进数据跨境流动规定(征求意见稿)》(以下简称“《意见稿》”)正在行业内持续发酵。
《意见稿》针对国际贸易、学术合作以及跨境购物、跨境汇款、机票酒店预订等涉及数据跨境的多个场景简化了合规要求——符合相应情形,无须再进行安全评估、认证、订立标准合同等前置程序。
有律所人士向《中国经营报》记者透露,已经暂停了多家企业涉及数据出境“标准合同”的相关规划,正针对《意见稿》提交反馈意见,并等待新规最终落地以进行调整。
记者采访的多位机构和律所人士普遍认为,《意见稿》就跨国企业、国际金融集团等关心的多个数据出境场景下的安全评估、签署出境标准合同等义务予以豁免,释放了“鼓励”信号,体现了主管部门对数据跨境流动的整体监管逻辑不断成熟。如能顺利出台,将大幅降低机构数据出境合规成本,有利于促进跨境数字贸易、跨境金融活动的高效运营。
需要注意的是,有专业人士也指出,不能简单认为上述《规定》的出台是对数据出境业务必要性判断的放松。“《意见稿》可以理解为一种流程优化,即数据跨境的监管逻辑由重事前监管,优化为事前、事中、事后监管并重。机构的实质性合规义务没有豁免,新的监管精神之下,其实对出境后数据的管控能力提出了更高要求。”深圳数据交易所战略研究员、金融学博士后李颖向记者表示。
事前、事中、事后监管并重
自2022年下半年以来,《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》《个人信息出境标准合同规定(征求意见稿)》《数据出境安全评估办法》《数据出境安全评估申报指南(第一版)》等多项数据跨境相关细化条例相继出台,上述法律文件承接《网络安全法》《数据安全法》《个人信息保护法》三部上位法,对我国数据跨境的路径和机制做出详细规定安排。
记者采访了解到,根据上述法律文件,当前,个人信息处理者需向境外提供个人信息时,主要有三种合规手续路径:一是通过国家网信部门组织的安全评估;二是与境外接收方订立个人信息出境的标准合同;三是经专业机构进行个人信息保护认证。其中,安全评估和标准合同已经生效。这也是目前企业数据出境的前置程序。
但当前的行业痛点在于,基于现有评估和备案规则,对出境数据必要性的判断标准较为模糊,企业侧和监管侧之间存在较大分歧。比如,“重要数据”是什么、什么叫作“境内运营”、如何界定“数据出境”等。
一项今年3月的调研显示,近40%的企业对于划分重要数据“感到困难”, 33%的受访者认为“不确定自己是否需要申报数据跨境安全评估”。
方达律师事务所金融团队分析认为,比如在较为敏感的金融领域,目前金融监管部门尚未就“重要数据”出具明确目录。实践中,金融机构往往自行依据内部数据分级分类情况,判断拟出境数据是否构成“重要数据”,从而存在未被金融机构认定为“重要数据”的数据,在出境后被有关部门认定为“重要数据”的情况,并引发合规责任的不确定性。
在此方面,《意见稿》规定,国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。《意见稿》同时明确,未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
这也从流程优化、合规成本上给一些涉及重要数据比较少的企业减轻了负担。
李颖向记者表示,《意见稿》一方面是对企业在数据出境安全评估申报或标准合同备案工作中遇到典型问题的回应,另一方面也是基于国际国内形势判断对我国数据战略做出的积极应对。有利于降低相关企业数据出境成本,提高数据出境效率,优化我国数据资源的全球化配置。
记者注意到,今年6月—7月,美国和英国基于“数据桥”达成数据跨境流动合作协议,美国和欧盟基于“隐私盾2.0”达成新的数据隐私框架。这意味着,国际的数字贸易活动得到数据跨境制度的进一步支撑。
在李颖看来,开放与合作已经成为新一轮国际数据跨境流动的新趋势。在全球主要国家加快制定全球数字贸易规则、构建数据跨境生态圈的背景下,《意见稿》以优化数据跨境流动规则为牵引,有利于我国进一步融入DEPA(《数字经济伙伴关系协定》)等国际数字贸易协定,将为我国数字贸易带来显著增长。
业界和学界普遍认为,《意见稿》展现了我国针对数据出境的监管方式不断走向精细和成熟。
在北京理工大学法学院教授洪延青看来,国家网信部门对上位法中“规定的其他条件”的能动性运用体现在以下三个方面:从原先“家长式监督”转变为事中事后监管、从原本中央管控转变为央地分权、从普遍式监管转变选择性事前监管。
李颖表示,《意见稿》在简化事前审批的情况下,其实对于出境后数据的管控能力要求更高。“应该说,对于事前监管程序的豁免,不代表企业实质性合规义务的免除。”他表示。
适用场景仍待监管明确
在对外经济贸易大学国家对外开放研究院教授李长安看来,对于数据出境必要性的判断,既有来自监管部门的判断,也有来自企业自身的商业判断。《意见稿》最大的变化就是将数据出境必要性判断的主动权和优先权交给了企业,这对于调动企业积极性、扩大企业自主权有积极意义。
而在“自主权”扩大的同时,企业自身的判断能力就更加重要。因此,业界也非常关注《意见稿》中急需进一步明确的要点。
金诚同达律师事务所高级合伙人彭凯向记者指出,目前新规第一条采用了“国际贸易、学术合作、跨国生产制造和市场营销等活动”的“列举式”表述,列明了一些常见的出境活动场景,但该种“列举式”表述容易引发理解偏差,即应该进行限缩理解还是扩张理解?
李颖也倾向认为,如果这一条款的目的是为上述跨境场景松绑,那“等活动”就不宜做扩大解释,这一点是需要进一步明确的。
在彭凯看来,出境场景的丰富程度并非第一条列举所能囊括,建议不采取列举式行文方式,可改为“出境数据中不包含个人信息或者重要数据的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证,但相关法律、行政法规另有规定的除外”。
此外,如何看待“来数加工”业务和“两头在外”的离岸数据服务外包业务是否适用于《意见稿》也值得关注。
根据《意见稿》表述,不是在境内收集产生的个人信息向境外提供,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
有解读参照《信息安全技术数据出境安全评估指南(征求意见稿)》认为,“来数加工”过程中涉及“收集”“使用”其他境内个人信息,使用境内敏感的数据处理技术,或加工处理后形成的新的个人信息情况下,仍然要进行数据出境的规制。
但李颖认为,由于上述评估指南后来并没有下发正式文件,直接参照解释不利于离岸数据加工业务等数据贸易新业态的发展。因此,有必要明确该条款的解读方式,消除政策不确定性。
此外,“境外直采”和“外委内”是否能豁免出境前置程序,也有待监管进一步释明和澄清。
一家跨境支付机构人士向记者直言,比如境外互联网C端产品在境外收集产生的境内自然人个人信息,通过云计算技术将数据存储在境内的云服务器上,境外C端产品运营者可以通过互联网访问和管理存储的数据,这种情况能不能豁免?
在李颖看来,“不在境内收集”是指“未向境内开展个人信息收集”,还是“个人信息处理者在地理上未在境内”,存在不同的理解空间。如果按照《个人信息保护法》第三条中“属地原则”的规定,上述境外直采模式就需要符合出境监管要求,不能豁免。
(文章来源:中国经营网)
国家互联网信息办公室“十一”前夕下发的《规范和促进数据跨境流动规定(征求意见稿)》(以下简称“《意见稿》”)正在行业内持续发酵。
《意见稿》针对国际贸易、学术合作以及跨境购物、跨境汇款、机票酒店预订等涉及数据跨境的多个场景简化了合规要求——符合相应情形,无须再进行安全评估、认证、订立标准合同等前置程序。
有律所人士向《中国经营报》记者透露,已经暂停了多家企业涉及数据出境“标准合同”的相关规划,正针对《意见稿》提交反馈意见,并等待新规最终落地以进行调整。
记者采访的多位机构和律所人士普遍认为,《意见稿》就跨国企业、国际金融集团等关心的多个数据出境场景下的安全评估、签署出境标准合同等义务予以豁免,释放了“鼓励”信号,体现了主管部门对数据跨境流动的整体监管逻辑不断成熟。如能顺利出台,将大幅降低机构数据出境合规成本,有利于促进跨境数字贸易、跨境金融活动的高效运营。
需要注意的是,有专业人士也指出,不能简单认为上述《规定》的出台是对数据出境业务必要性判断的放松。“《意见稿》可以理解为一种流程优化,即数据跨境的监管逻辑由重事前监管,优化为事前、事中、事后监管并重。机构的实质性合规义务没有豁免,新的监管精神之下,其实对出境后数据的管控能力提出了更高要求。”深圳数据交易所战略研究员、金融学博士后李颖向记者表示。
事前、事中、事后监管并重
自2022年下半年以来,《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》《个人信息出境标准合同规定(征求意见稿)》《数据出境安全评估办法》《数据出境安全评估申报指南(第一版)》等多项数据跨境相关细化条例相继出台,上述法律文件承接《网络安全法》《数据安全法》《个人信息保护法》三部上位法,对我国数据跨境的路径和机制做出详细规定安排。
记者采访了解到,根据上述法律文件,当前,个人信息处理者需向境外提供个人信息时,主要有三种合规手续路径:一是通过国家网信部门组织的安全评估;二是与境外接收方订立个人信息出境的标准合同;三是经专业机构进行个人信息保护认证。其中,安全评估和标准合同已经生效。这也是目前企业数据出境的前置程序。
但当前的行业痛点在于,基于现有评估和备案规则,对出境数据必要性的判断标准较为模糊,企业侧和监管侧之间存在较大分歧。比如,“重要数据”是什么、什么叫作“境内运营”、如何界定“数据出境”等。
一项今年3月的调研显示,近40%的企业对于划分重要数据“感到困难”, 33%的受访者认为“不确定自己是否需要申报数据跨境安全评估”。
方达律师事务所金融团队分析认为,比如在较为敏感的金融领域,目前金融监管部门尚未就“重要数据”出具明确目录。实践中,金融机构往往自行依据内部数据分级分类情况,判断拟出境数据是否构成“重要数据”,从而存在未被金融机构认定为“重要数据”的数据,在出境后被有关部门认定为“重要数据”的情况,并引发合规责任的不确定性。
在此方面,《意见稿》规定,国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。《意见稿》同时明确,未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
这也从流程优化、合规成本上给一些涉及重要数据比较少的企业减轻了负担。
李颖向记者表示,《意见稿》一方面是对企业在数据出境安全评估申报或标准合同备案工作中遇到典型问题的回应,另一方面也是基于国际国内形势判断对我国数据战略做出的积极应对。有利于降低相关企业数据出境成本,提高数据出境效率,优化我国数据资源的全球化配置。
记者注意到,今年6月—7月,美国和英国基于“数据桥”达成数据跨境流动合作协议,美国和欧盟基于“隐私盾2.0”达成新的数据隐私框架。这意味着,国际的数字贸易活动得到数据跨境制度的进一步支撑。
在李颖看来,开放与合作已经成为新一轮国际数据跨境流动的新趋势。在全球主要国家加快制定全球数字贸易规则、构建数据跨境生态圈的背景下,《意见稿》以优化数据跨境流动规则为牵引,有利于我国进一步融入DEPA(《数字经济伙伴关系协定》)等国际数字贸易协定,将为我国数字贸易带来显著增长。
业界和学界普遍认为,《意见稿》展现了我国针对数据出境的监管方式不断走向精细和成熟。
在北京理工大学法学院教授洪延青看来,国家网信部门对上位法中“规定的其他条件”的能动性运用体现在以下三个方面:从原先“家长式监督”转变为事中事后监管、从原本中央管控转变为央地分权、从普遍式监管转变选择性事前监管。
李颖表示,《意见稿》在简化事前审批的情况下,其实对于出境后数据的管控能力要求更高。“应该说,对于事前监管程序的豁免,不代表企业实质性合规义务的免除。”他表示。
适用场景仍待监管明确
在对外经济贸易大学国家对外开放研究院教授李长安看来,对于数据出境必要性的判断,既有来自监管部门的判断,也有来自企业自身的商业判断。《意见稿》最大的变化就是将数据出境必要性判断的主动权和优先权交给了企业,这对于调动企业积极性、扩大企业自主权有积极意义。
而在“自主权”扩大的同时,企业自身的判断能力就更加重要。因此,业界也非常关注《意见稿》中急需进一步明确的要点。
金诚同达律师事务所高级合伙人彭凯向记者指出,目前新规第一条采用了“国际贸易、学术合作、跨国生产制造和市场营销等活动”的“列举式”表述,列明了一些常见的出境活动场景,但该种“列举式”表述容易引发理解偏差,即应该进行限缩理解还是扩张理解?
李颖也倾向认为,如果这一条款的目的是为上述跨境场景松绑,那“等活动”就不宜做扩大解释,这一点是需要进一步明确的。
在彭凯看来,出境场景的丰富程度并非第一条列举所能囊括,建议不采取列举式行文方式,可改为“出境数据中不包含个人信息或者重要数据的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证,但相关法律、行政法规另有规定的除外”。
此外,如何看待“来数加工”业务和“两头在外”的离岸数据服务外包业务是否适用于《意见稿》也值得关注。
根据《意见稿》表述,不是在境内收集产生的个人信息向境外提供,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
有解读参照《信息安全技术数据出境安全评估指南(征求意见稿)》认为,“来数加工”过程中涉及“收集”“使用”其他境内个人信息,使用境内敏感的数据处理技术,或加工处理后形成的新的个人信息情况下,仍然要进行数据出境的规制。
但李颖认为,由于上述评估指南后来并没有下发正式文件,直接参照解释不利于离岸数据加工业务等数据贸易新业态的发展。因此,有必要明确该条款的解读方式,消除政策不确定性。
此外,“境外直采”和“外委内”是否能豁免出境前置程序,也有待监管进一步释明和澄清。
一家跨境支付机构人士向记者直言,比如境外互联网C端产品在境外收集产生的境内自然人个人信息,通过云计算技术将数据存储在境内的云服务器上,境外C端产品运营者可以通过互联网访问和管理存储的数据,这种情况能不能豁免?
在李颖看来,“不在境内收集”是指“未向境内开展个人信息收集”,还是“个人信息处理者在地理上未在境内”,存在不同的理解空间。如果按照《个人信息保护法》第三条中“属地原则”的规定,上述境外直采模式就需要符合出境监管要求,不能豁免。
(文章来源:中国经营网)
免责申明:
本站部分内容转载自国内知名媒体,如有侵权请联系客服删除。