陸數據跨境流動新規 明確無需申報安全評估的情形是重大突破

陸數據跨境流動新規，明確無需申報安全評估的情形是重大突破。（澎湃新聞）

大陸國家互聯網信息辦公室9月28日發佈消息，爲保障國家數據安全，保護個人信息權益，進一步規範和促進數據依法有序自由流動，依據有關法律，該辦起草了《規範和促進數據跨境流動規定（徵求意見稿）》（下稱「徵求意見稿」），向社會公開徵求意見。

澎湃科技引述上海數據交易所研究院研究員林梓瀚分析，主管部門對數據跨境流動的整體監管邏輯已經有了重大轉變，併爲各相關主體劃出了更清晰的數據出境路徑。

隨着全球數據跨境流動的日益頻繁，全球主要經濟體都在進行數據跨境流動生態圈的構建，如日本的「可信賴的數據自由流動倡議」、英美的「數據橋」以及歐美之間的《數據隱私框架協議》。林梓瀚認爲，本次徵求意見稿所體現的轉變是及時和必要的。

在該徵求意見稿發佈後，香港科技股29日上揚。在後市交易中，阿里健康大漲12％，京東健康上漲9.0％。恆生科技指數上漲4.3％。

具體而言，林梓瀚認爲本次徵求意見稿重點涉及了三個方面：

一是明確無需申報數據出境安全評估的情形。徵求意見稿明確，在國際貿易、學術合作、跨國生產製造和市場營銷等活動中產生的且不包含個人信息或者重要數據的數據出境、非境內收集的個人信息以及跨境購物、跨境匯款、機票酒店預訂、簽證辦理、人力資源管理需要涉及個人信息出境等不需要申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。

林梓瀚認爲，明確無需申報安全評估的情形是本次徵求意見稿的重大突破，大大降低了相關主體在數據出境時的合規成本，加快了中國數據出境的效率。

二是重申需申報數據出境安全評估的場景。徵求意見稿第六條強調向境外提供100萬人以上個人信息的，還是需要申報數據出境安全評估。至於國家機關以及關鍵信息基礎設施運營者這些主體向境外提供個人信息和重要數據，以及涉及黨政軍和涉密單位敏感信息、敏感個人信息、重要數據出境的，徵求意見稿第八條、第九條提出依照現行規定執行。

林梓瀚說，「這意味着，對於這些關鍵主體進行數據出境以及這類敏感數據的出境，若觸發《網路安全審查辦法》《數據出境安全評估辦法》的規定，仍然需要進行網路安全審查或申報數據出境安全評估。」

三是賦予自由貿易區制定「負面清單」的權利。徵求意見稿第七條規定自由貿易試驗區可自行制定本自貿區數據出境的負面清單，而負面清單所包含的內容是主管部門規定需以既定路徑出境的數據。對於負面清單外的數據，徵求意見稿強調了可以自由出境，此舉促進了自貿區內數據跨境流動的便捷性，強化了自貿區在數據跨境流動領域的集聚力。

在林梓瀚看來，本次徵求意見稿賦予自貿區制定「負面清單」的權利，將有利於繼續發揮自貿區帶頭示範的作用，進一步推動自貿區的高水平開放與制度創新。

林梓瀚還表示，2022年12月大陸國家公佈「數據二十條」（《中共中央 國務院關於構建數據基礎制度更好發揮數據要素作用的意見》）。針對數據跨境流動的探索，「數據二十條」明確了優先在跨境電商、跨境支付、供應鏈管理、服務外包等典型應用場景進行先行先試，本次徵求意見稿對「數據二十條」的相關要求進行了落實。未來，基於這些典型應用場景將產生大量新的經濟增長點與發展方向，並對其他應用場景產生正向的溢出效應，將成爲中國國際數位貿易發展的新引擎。

林梓瀚解讀，「數據二十條」提出要積極參與國際數位規則和數位技術標準制定，隨着中國開啓CPTPP（跨太平洋夥伴全面進步協定）、DEPA（數位經濟合作伙伴協議）等的談判，徵求意見稿的相關措施有利於中國與DEPA等國際數位經貿協定的對接，推動中國對國際數位規則制定的參與。

此前，繼2016年《網路安全法》實施後，2021年，大悟陸續公佈《個人信息保護法》《數據安全法》等法律，共同構建起中國數據出境安全保護的頂層法律體系。而爲了進一步保障數據出境安全，在頂層法律體系的基礎上，國家細化數據安全出境操作路徑，不僅公佈《網路安全審查辦法》《數據出境安全評估辦法》《個人信息出境標準合同管理辦法》等部門規章，還針對數據出境制定了相應的國家標準。

林梓瀚說，「本次規定的公佈與此前發佈的法律法規構成中國數據出境更加完善的規則體系，在釐清數據安全紅線的前提上，踩下了數據出境的『油門』。」

目前上海數據交易所已經正式開設運營國際板，建設國際化數據交易平臺，探索構建便捷、高效、安全的全球數據跨境流動體系，旨在積極賦能中國國際數位貿易的發展，爲中國進行國際數位貿易規則對接與制定貢獻探索實踐經驗。

附：《規範和促進數據跨境流動規定（徵求意見稿）》（全文）：

爲保障國家數據安全，保護個人信息權益，進一步規範和促進數據依法有序自由流動，依據有關法律，對《數據出境安全評估辦法》、《個人信息出境標準合同辦法》等數據出境規定的施行，作出以下規定。

一、國際貿易、學術合作、跨國生產製造和市場營銷等活動中產生的數據出境，不包含個人信息或者重要數據的，不需要申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。

二、未被相關部門、地區告知或者公開發布爲重要數據的，數據處理者不需要作爲重要數據申報數據出境安全評估。

三、不是在境內收集產生的個人信息向境外提供，不需要申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。

四、符合以下情形之一的，不需要申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證：

（一）爲訂立、履行個人作爲一方當事人的合同所必需，如跨境購物、跨境匯款、機票酒店預訂、簽證辦理等，必須向境外提供個人信息的；

（二）按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理，必須向境外提供內部員工個人信息的；

（三）緊急情況下爲保護自然人的生命健康和財產安全等，必須向境外提供個人信息的。

五、預計一年內向境外提供不滿1萬人個人信息的，不需要申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。但是，基於個人同意向境外提供個人信息的，應當取得個人信息主體同意。

六、預計一年內向境外提供1萬人以上、不滿100萬人個人信息，與境外接收方訂立個人信息出境標準合同並向省級網信部門備案或者通過個人信息保護認證的，可以不申報數據出境安全評估；向境外提供100萬人以上個人信息的，應當申報數據出境安全評估。但是，基於個人同意向境外提供個人信息的，應當取得個人信息主體同意。

七、自由貿易試驗區可自行制定本自貿區需要納入數據出境安全評估、個人信息出境標準合同、個人信息保護認證管理範圍的數據清單（以下簡稱負面清單），報經省級網路安全和信息化委員會批准後，報國家網信部門備案。

負面清單外數據出境，可以不申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。

八、國家機關和關鍵信息基礎設施運營者向境外提供個人信息和重要數據的，依照有關法律、行政法規、部門規章規定執行。

向境外提供涉及黨政軍和涉密單位敏感信息、敏感個人信息的，依照有關法律、行政法規、部門規章規定執行。

九、數據處理者向境外提供重要數據和個人信息，應當遵守法律、行政法規的規定，履行數據安全保護義務，保障數據出境安全；發生數據出境安全事件或者發現數據出境安全風險增大的，應當採取補救措施，及時向網信部門報告。

十、各地方網信部門應當加強對數據處理者數據出境活動的指導監督，強化事前事中事後監管，發現數據出境活動存在較大風險或者發生安全事件的，要求數據處理者進行整改消除隱患；對拒不改正或者導致嚴重後果的，依法責令其停止數據出境活動，保障數據安全。

十一、《數據出境安全評估辦法》、《個人信息出境標準合同辦法》等相關規定與本規定不一致的，按照本規定執行。