【编者按】
2023 SUMMARY
一年一度,一回一望,往事可鉴,来者可追。站在2023年的终点,律商联讯特邀20多位业界资深专业律师和行业法总,针对这个重启之年,立足于特定的领域和行业,从机遇、挑战、趋势等角度,总结、透视其中的关键要点,解析2024年监管重点及企业需密切关注的合规问题或方向,形成覆盖众多领域和行业的年度观察报告。自2023年12月18日开始,本公号将连续发布系列文章,分享本年度观察报告诸多切中肯綮的精彩内容。
*本期为您推送:《2023数据跨境流动年终盘点及未来展望》
2023年是我国各项数据出境安全管理制度陆续落地实施之年,也是中国参与国际数据跨境流动规则制定的开启之年。年终岁尾,本文拟总结2023年国内外主要的立法动态和案例实践,并对2024年监管趋势进行预测和展望,为企业下一步的合规工作提供参考建议。
立法动态&案例实践
2023 SUMMARY
中国国家层面
《数据出境安全评估办法》于1月份出现首个通过案例,2月28日整改期结束;《个人信息出境标准合同办法》于6月1日生效,11月30日整改期结束;个人信息保护认证工作也在同步进行。可见,我国数据出境的三条路径在2023年均陆续落地实施。
从公开渠道可以查询到的数据出境安全评估通过情况如下:
时间 | 企业名称 | 所处行业 | 企业类型 | 地区 |
1月 | 首都医科大学附属北京友谊医院 | 医疗 | 事业单位 | 北京 |
1月 | 中国国际航空股份有限公司 | 航空 | 国有控股 | 北京 |
5月 | 马自达(中国)企业管理有限公司 | 租赁和商服 | 外商独资 | 上海 |
5月 | 丝芙兰(上海)化妆品销售有限公司 | 快消 | 中外合资 | 上海 |
5月 | 焦点科技股份有限公司 | 信息软件 | 民营 | 江苏 |
5月 | 杭州海康威视数字技术股份有限公司 | 计算机 | 国有控股 | 浙江 |
5月 | 杭州萤石网络股份有限公司 | 互联网 | 国有控股 | 浙江 |
5月 | 现代中国(未透露申报主体) | 汽车 | 外商独资 | 北京 |
5月 | 北京现代汽车有限公司 | 汽车 | 中外合资 | 北京 |
6月 | 捷普电子(威海)有限公司 | 信息软件 | 外商独资 | 山东 |
6月 | 支付宝(杭州)信息技术有限公司 | 信息软件 | 民营 | 浙江 |
6月 | 绿点科技(深圳)有限公司 | 计算机 | 外商独资 | 广东 |
6月 | 安利(中国)日用品有限公司 | 快消 | 外商独资 | 广东 |
6月 | 捷普电子(广州)有限公司 | 计算机 | 外商独资 | 广东 |
6月 | 丰田中国(未透露申报主体) | 汽车 | 外商独资 | 北京 |
6月 | 日产中国(未透露申报主体) | 汽车 | 外商独资 | 北京 |
8月 | 去哪儿网(未披露申报主体) | 互联网 | 民营 | 北京 |
8月 | 绿点科技(苏州)有限公司 | 制造业 | 外商独资 | 江苏 |
8月 | 捷普绿点精密电子(无锡)有限公司 | 计算机 | 外商独资 | 江苏 |
8月 | 国泰君安 | 金融 | 国有控股 | 上海 |
9月 | 大众汽车金融(中国)有限公司 | 金融 | 外商独资 | 北京 |
11月 | 企查查科技股份有限公司 | 科技 | 民营 | 未知 |
11月 | 海南航空控股有限公司 | 航空 | 中外合资 | 海南 |
11月 | 海南邓白氏数据科技有限公司 | 信息软件 | 外商独资 | 海南 |
11月 | 国际航空运输协会 | 航空 | 国际组织 | 未知 |
从公开渠道可以查询到的个人信息出境标准合同备案通过情况如下:
时间 | 企业名称 | 所处行业 | 企业类型 | 地区 |
6月 | 北京德亿信数据有限公司 | 信息软件 | 民营 | 北京 |
7月 | 邦贝液压机械(杭州)有限公司 | 制造业 | 外商独资 | 浙江 |
7月 | 信华信(大连)软件服务股份有限公司 | 信息软件 | 外商独资 | 辽宁 |
9月 | 海南省星创互联网医药有限公司 | 医疗 | 民营 | 海南 |
10月 | 武汉科斯德尔玛检测技术服务有限公司 | 科技 | 外商独资 | 湖北 |
11月 | 伟创力技术(长沙)有限公司 | 信息软件 | 外商独资 | 湖南 |
11月 | 永盛泰新材料(江西)有限公司 | 化学 | 外商独资 | 江西 |
11月 | 捷德(中国)科技有限公司 | 计算机 | 外商独资 | 江西 |
11月 | 捷德(江西)技术有限公司 | 计算机 | 外商独资 | 江西 |
从以上可见,数据出境申报企业涵盖包括航空、计算机、信息软件、互联网、汽车、医疗等多个行业,其中外资企业居多,且大部分都集中在北、上、广及江浙地区。这些实践为进一步完善数据出境安全管理工作提供了宝贵的经验。
国务院于7月25日发布《关于进一步优化外商投资环境 加大吸引外商投资力度的意见》(“国务院725意见”),明确提出“探索便利化的数据跨境流动安全管理机制”。随后,国家网信办于9月28日发布《规范和促进数据跨境流动规定(征求意见稿)》(“跨境新规”),大幅抬高数据出境安全评估、个人信息出境标准合同和个人信息保护认证三条监管路径的适用门槛,允许自贸区自行制定负面清单。
此外,科技部于6月1日发布第21号令《人类遗传资源管理条例实施细则》,就人类遗传资源的出境作出了单独规定,标志着特定领域的数据出境具体规则开始落地。
中国地方层面
《国务院725意见》中还提及“支持北京、天津、上海、粤港澳大湾区等地……试点探索形成可自由流动的一般数据清单,建设服务平台,提供数据跨境流动合规服务”。
12月13日,国家网信办联合香港创新科技及工业局发布《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(“粤港标准合同”)。这是地方上首个对国家数据跨境制度作出便利化安排的正式文件,免除了粤港间个人信息出境安全评估要求、简化了个人信息保护影响评估的内容、降低了境外接收方的义务等,整体上通过监管模式创新促进粤港间数据自由流动。
今年几个主要省市也持续开展本地区的数据跨境政策探索,出台了相关文件,总结如下表:
地区 | 发布时间 | 政策文件 | 重要亮点内容 |
北京 | 6月30日 | 北京大兴国际机场临空经济区 | 支持设立跨国机构数据流通服务窗口,优先实现集团内数据安全合规跨境传输。 为符合条件的外商投资企业建立绿色通道,制定可自由流动的一般数据清单。 |
7月5日 | 北京国际数据实验室 | ||
11月10日 | 《数据基础制度先行区政策清单》 | ||
11月22日 | 《北京市外商投资条例(草案)》 | ||
11月24日 | 《支持北京深化国家服务业扩大开放综合示范区建设工作方案》 | ||
上海 | 1月5日 | 《临港新片区国际数据产业专项规划(2023-2025年)》 | 允许金融机构向境外传输日常经营所需的数据。 支持上海自贸试验区率先制定重要数据目录。 探索制定低风险跨境流动数据目录。 在国际海缆登陆站和国际互联网关口局之间划定“境内关外”的新型数据服务试验区,推动“两头在外”“来料加工”数据的高效服务。 |
7月22日 | 《立足数字经济新赛道推动数据要素产业创新发展行动方案(2023-2025年)》 | ||
8月30日 | 《关于支持临港新片区深化高水平制度型开放推动服务贸易创新发展的实施方案》 | ||
9月9日 | 《关于支持中国(上海)自由贸易试验区临港新片区深化拓展特殊经济功能走在高质量发展前列的若干意见》 | ||
12月7日 | 《全面对接国际高标准经贸规则推进中国(上海)自由贸易试验区高水平制度型开放总体方案》 | ||
粤港澳大湾区 | 6月29日 | 《关于促进粤港澳大湾区数据跨境流动的合作备忘录》 | 大湾区内个人信息处理者可依据《备忘录》以标准合同、认证方式开展个人信息跨境处理活动。不得将通过标准合同、认证接收的个人信息转移至粤港澳大湾区之外的第三方。 建立粤港澳大湾区数据跨境流动安全规则。 |
11月1日 | 《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求(征求意见稿)》 | ||
11月3日 | 《广东省人民政府关于加快建设通用人工智能产业创新引领地的实施意见》 | ||
广州 | 7月21日 | 《广州市数据条例(征求意见稿)》 | 支持南沙开展数据跨境流动安全管理试点,包括跨境数据流通“白名单”制度,科研数据跨境,粤港澳区际数据标准与规则衔接等。 |
9月12日 | 粤港澳大湾区数据保护与数据跨境服务平台 | ||
深圳 | 8月29日 | 《河套深港科技创新合作区深圳园区发展规划》 | 建设国际数据专用通道。 支持经备案的科研机构及企业在保障安全前提下,实现科学研究数据跨境互联互通。 |
11月2日 | 《深圳跨境贸易大数据平台数据管理办法(试行)(公开征求意见稿)》 | ||
12月5日 | 深港跨境数据验证平台 | ||
珠海 | 3月25日 | 粤澳跨境数据验证平台 | 粤澳跨境数据验证平台由用户自主跨境传递数据,通过比对哈希值而非具体信息校验数据。 |
中国参与数据跨境流动的国际规则
中国在4月份向联合国提交《中国关于全球数字治理有关问题的立场》,强调了数据安全和各国的数据主权的重要性,也表示应当促进数据依法有序自由流动。
中国也继续推进加入CPTPP(全面与进步跨太平洋伙伴关系协定)和DEPA(数字经济伙伴关系协定)。这两个协定均涉及数据跨境流动的内容,要求缔约国允许数据跨境流动,同时承认缔约国针对数据跨境传输的监管权。与中国已经加入的RCEP(区域全面经济伙伴关系协定)所不同的是,CPTPP和DEPA虽然允许缔约国出于实现公共政策目标所必需而限制数据跨境,但该限制不得基于保护其基本安全利益,并且缔约国实现公共政策目标必要性的判断不再完全掌握在缔约国自身手中,而是可以被争端解决机制审查。
国外数据跨境流动的主要动态
国际上,2023年数据跨境领域最瞩目的动态应属《欧美数据隐私框架》的达成。这系欧美之间为促进数据自由流动的第三次努力,为此美国主动限制了自己对欧情报收集的部分权力。
欧盟今年还通过了《数据法》,规制非个人数据的跨境流动,并禁止欧盟境外的政府机构强制调取欧盟企业的一般数据。
美国于10月24日在WTO电子商务谈判中宣布放弃要求加入数据自由流动的条款,目的是为其国内的相关立法留出政策空间,被认为是美国放弃自由互联网政策的重要风向。
除欧美之外,沙特阿拉伯、印度等国也在今年出台了该国的全面个人数据保护法律,其中均包含数据跨境流动的相关内容。
监管趋势预测
2024 TRENDS
整体上,世界的数据跨境流动的监管制度存在趋同,各国纷纷拥抱“小院高墙”的思路,即守住核心和重要数据,防止一般数据被境外政府强制调取,以及确保个人数据出境后所受到的保护不会降低。
在中国,今年各项数据出境管理制度陆续落地之后,大量宝贵的实践经验将为2024年的立法调整和监管优化提供重要参考。在立法方面,我们预计《跨境新规》将会很快实施,多处涉及数据跨境安全管理内容的《网络数据安全管理条例》也值得期待,各地(特别是自贸区)的相关政策有望落地(尤其是粤港澳大湾区通过认证途径进行的个人信息跨境可能会很快出台正式文件),国际条约方面也可能有所突破。在监管方面,我们预计一方面可能出现执法案例,另一方面地方监管部门将发挥更大作用。《跨境新规》明确要求各地网信办加强数据出境的“指导监督……强化事前事中事后监管”。为此,有些地方已经为即将到来的常态化监管工作着手准备,例如无锡市网信办年底征集首批数据跨境流动第三方服务支撑机构。
企业数据出境合规工作建议
2024 TRENDS
数据出境安全管理一直是我国数据安全工作的重点,建议有关企业下一步做好下列数据合规工作,降低法律和监管风险。
高效梳理数据出境场景
数据出境场景的梳理可以有两种方式:(1)按照业务场景梳理,将企业的主营业务和内部管理各业务条线所掌握和处理的数据分别列出,汇总判断其中的数据出境情况;(2)从数据出境端总体把控,将所有实际或可能存在出境的网络端口的数据出境情形进行梳理总结。目前大部分企业采取的是第一种方式,但如果企业难以判断实际出境情况,从出口端统计也是不错的选择。
同时,有效率的梳理工作不仅要求相关人员熟悉各业务板块的数据处理情况,还需要其具备一定数据分级分类基础知识。
认真确认数据出境的合法性基础
实践中,数据出境最大的合规难点当属数据(个人信息)处理的合法性基础。数据出境时,企业需要自证每一项字段均满足合法性基础,补全其在收集或获取环节时的各项瑕疵,往往面临巨大挑战。
对于自行收集的数据,建议企业尽量通过后续补全手续、增加保护措施等方式降低个人信息保护风险;对于第三方提供的数据,企业应当要求数据提供方随附合法性基础的证明,并履行核查义务;对于数据出境的合法性论证,需要企业结合业务实际以及法律要求进行。
正确认识数据跨境合规义务
数据跨境合规是一项以出境处理活动为中心,结合境内企业和境外接收方数据处理全生命周期合规的系统性工作。有些企业即使因《跨境新规》的适用,而无需履行相关申报、备案或认证等手续,也应注意履行其他合规义务,例如相关告知同意、个人信息影响评估、与境外接收方签署必要的协议等。此外,企业自身的日常合规建设,以及企业对于境外接收方所必需完成的调查义务等也不可或缺。