中国政府发布促进和规范跨境数据传输新规

By Michael Sheng and Derek Wang

03 四月 2024

View in English
Share Share
fingerprint
Share

    继2021年11月《个人信息保护法》(“《个人信息保护法》”)颁布后,中国政府发布了一系列法规,旨在建立健全个人信息的保护与传输的监管制度。针对低于一定门槛的个人信息出境,国家互联网信息办公室(以下简称“国家网信办”)于2023年2月发布了《个人信息出境标准合同办法》(“《办法》”)。《办法》详细规定了标准数据传输合同(“《标准合同》”)订立与备案以及个人信息保影响评估报告(“《评估报告》”)编制的监管要求。具体来说,境内公司在2023年11月30日之前向所在地网信办提交签署版《标准合同》和《评估报告》进行备案是其将境内个人信息转移至境外的可选路径之一(“《标准合同》备案路径”)。个人信息跨境传输还有另外两个路径(即,数据出境安全评估和个人信息保护认证)。不过,对于中国境内仅处理少量个人信息的跨国公司(“跨国公司”)而言,《标准合同》备案路径将会是选择路径。

    在实践中,大部分在中国经营的跨国公司需要与其外国总部共享和交换数据(包括个人信息),比如出于人力资源管理、供应商与客户管理等目的。部分跨国公司已按《办法》的要求,在2023年11月30日前提交了签署版《标准合同》和《评估报告》。不过,也有一些仅传输少量个人信息(特别是仅传输员工个人信息)的跨国公司尚未采取任何行动来遵循《标准合同》备案路径。这主要是因为国家网信办于2023年9月发布的一项规定的征求意见稿,其中列出了《标准合同》备案路径下的一些豁免情形。经过数月的等待,2024年3月22日,国家网信办正式发布了《促进和规范跨境数据流动规定》(“《规定》”),明确了这些豁免情形。

    正式发布的豁免情形

    《规定》一经公布即日起生效。它规定了数项在进行个人信息跨境传输时免予遵守《标准合同》备案路径的情形,这些豁免情形主要包括:

    (i) 关键信息基础设施运营者(“关键信息基础设施运营者”)以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息或重要数据)的。

    (ii) 按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息(不包括重要数据)的。

    (iii) 数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的。

    (iv) 为订立、履行个人作为一方当事人的国际服务合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的。

    如上述任何一项豁免适用,则境内公司无需签订《标准合同》,也无需将签署版《标准合同》提交至所在地网信办进行备案。

    其他仍需满足的要求

    《规定》指出,即使境内公司可依赖上述豁免情形不签订《标准合同》也不用向所在地网信办进行备案,其向境外提供个人信息仍需满足以下要求:

    • 仍需取得相关个人的单独同意;
    • 仍需开展个人信息保护影响评估并编制《评估报告》(虽然无需向网信办提交《评估报告》进行备案,但《个人信息保护法》要求应当编制《评估报告》且至少保存三年);及
    • 仍需遵守《个人信息保护法》规定的其他要求,如,应当采取足够的个人信息保护措施,确保数据安全,一旦发生数据安全事件,公司应当向监管机构报告。

    此外,如果境内公司向境外提供不满1万人敏感个人信息(“敏感个人信息”是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息),则必须签订《标准合同》和编写《评估报告》,并将签署版《标准合同》和《评估报告》提交给所在地网信办进行备案,除非该公司符合《规定》列明的豁免情形。这实际上意味着,如果一家境内公司要传输员工以外的自然人的敏感个人信息,而又不存在其他可豁免的情形(例如,传输是为了国际服务合同的目的,且个人是合同的一方当事人),那么该公司很可能仍然需要遵循《标准合同》备案路径。

    下一步行动

    针对需要将少量非敏感个人信息传输至境外但尚未完成《标准合同》备案路径的中国公司,我们总结了以下步骤供参考。

    员工个人信息

    如果境内公司仅将其员工的个人信息传输至境外,则其可能可以依赖上述第(ii)项豁免,在此情况下,其将无需遵循《标准合同》备案路径。不过,必须以跨境人力资源管理“确需”该等传输为依据,并符合公司的劳动规章制度和集体合同的规定。尽管如此,该公司仍需满足《个人信息保护法》规定的其他要求,包括但不限于:

    (1) 取得相关员工的个人同意;及

    (2) 开展个人信息保护影响评估并编制《评估报告》(但无需向所在地网信办提交《评估报告》)。

    敏感个人信息

    境内公司还需要确定是否正在向境外提供任何敏感个人信息(与其员工有关的信息除外)。如果是,该公司可能仍需遵循《标准合同》备案路径。

    继续备案或撤回备案申请

    除《规定》外,国家网信办还公布了一份《答记者问》,就如何开展《标准合同》备案提供了进一步指导。在《答记者问》中,国家网信办明确指出,对于在《规定》施行前已向所在地网信办提交了备案申请的公司,若该等公司按照《规定》无需申报备案,则公司可选择继续申报备案,也可选择向所在地网信办申请撤回备案。

    作者:盛冕﹐上海办公室管理合伙人;王帅﹐资深顾问;项玉亭﹐律师

    澳大利亚亚司特律师事务所(澳大利亚商业登记号码:75 304 286 095)是一家依据澳大利亚首都领地法律所设立的普通合伙企业并作为亚司特集团的一部分。上海代表处是澳大利亚亚司特律师事务所在中国设立的代表机构,不具有中国法律执业资格。如果您需要关于中国法律的正式法律意见或任何其他与中国法律有关的具体法律服务,我们可以通过亚司特与北京观韬中茂律师事务所的联营办公室出具正式的中国法律意见书或提供有关的具体法律服务。

    本页所提供的信息并未考虑也不计划适用于任何具体问题或情况。读者应寻求独立的法律建议。

    Key Contacts