2023年9月28日,中國國家網路資訊辦公室(「國家網路信辦」)就《規範及促進資料跨境流動規定(徵求意見稿)》(「徵求意見稿」)公開徵求意見。 徵求意見回饋截止時間為2023年10月15日。
自2022年以來,中國國家網信辦發布的《資料出境安全評估辦法》、《個人資訊出境標準合約辦法》等文件對涉及在中國境內收集資訊的出境要求做出了具體規定。 根據這些文件,符合不同條件的資料、個人資訊處理者,應該在資料跨境前選擇以下方法中的一種:
申報資料出境安全評估;
簽訂個人資料出境標準合約;
通過個人資訊保護認證;
但是,這些文件在實務上碰到了不少問題。 這次的徵求意見稿被法律認為是對這些規定的補充和細化,針對性的提出以下幾種類型的詳細規定:
第一類,不需要申報資料出境安全評估、訂立個人資訊出境標準合約、通過個人資訊保護認證的資料:
國際貿易、學術合作、跨國生產製造和行銷等活動中產生的資料出境,不包含個人資訊或重要資料的;
不是在中國境內收集產生的個人資訊向中國境外提供。
為訂立、履行個人作為一方當事人的合約所必需,如跨境購物、跨境匯款、機票酒店預訂、簽證辦理等,必須向境外提供個人資訊的;
依照依法制定的勞動規章制度和依法簽訂的集體合約實施人力資源管理,必須向境外提供內部員工個人資訊的;
緊急情況下為保護自然人的生命健康和財產安全等,必須向境外提供個人資訊的;
第二類:未被中國的相關部門、地區告知或公開發佈為重要資料的,資料處理者不需要作為重要資料申報資料出境安全評估;
第三類:基於個人同意向境外提供個人資訊的,應取得個人資訊主體同意。 根據收集個人資訊數量的不同,有三種不同的情況:
預計一年內向境外提供不滿1萬人個人資料的,不需要申報資料出境安全評估、訂立個人資料出境標準合約、通過個人資料保護認證。
預計一年內向境外提供1萬人以上、不滿100萬人個人信息,與境外接收方訂立個人信息出境標準合同並向省級網信部門備案或者通過個人信息保護認證的,可以不申報數據出境安全 評估;
向境外提供100萬人以上個人資料的,應申報資料出境安全評估。
需要注意的是,這個規定已經修改了《資料出境安全評估辦法》第四條所規定的個人資訊數量,但是沒有免除個人資訊保護影響評估的義務。
可以看到,中國政府為了促進資料跨境和流通,制定了本徵求意見稿。 當然,它並沒有解決企業在數據出境中碰到的所有實務問題,對於在中國收集數據,特別是個人資訊的外國企業來說,仍然應該做好企業內部的數據盤點、評估,選擇適合企業狀況的數據出境路徑。
Brain Trust: Your Trust, Our Honor
撥打電話