中华人民共和国国家互联网信息办公室(“网信办”)于2023年9月28日发布关于《规范和促进数据跨境流动规定(征求意见稿)》(“《征求意见稿》”)公开征求意见。该《征求意见稿》若获通过,将放宽《个人信息保护法》(“《个保法》”)对跨境数据传输的要求。意见反馈截止时间为2023年10月15日。

目前,《个保法》要求向中国境外传输个人信息的组织必须满足以下机制(“跨境数据传输机制”)之一:

  1. 完成数据出境安全评估(请注意,向网信办提交安全评估的截止日期为2023年2月28日);
  2. 获得个人信息保护认证;
  3. 签订中国个人信息出境标准合同(“标准合同”)。(请注意,签订标准合同并向网信办备案的截止日期为2023年11月30日)

基于组织所处的行业领域及其处理的个人信息数量和类型,组织可能需要完成安全评估,而不能通过其他方式替代。

跨境数据传输规则对许多跨国公司在中国的运营造成了巨大障碍。组织需要进行内部评估,以确定其是否落入跨境数据传输机制的适用范围。如适用,则需经网信办审批。组织无法满足上述规则的,则可能需要改变其数据流向以及数据储存结构(例如:减少数据出境数量、迁移数据中心、调整在华业务),以达到合规要求。

该《征求意见稿》若获通过,将放宽跨境数据传输要求,对许多公司而言无疑是利好消息。我们将《征求意见稿》的要点总结如下:

  • 作为国际贸易、学术合作、跨境生产制造和市场营销活动的一部分而出境的数据,不包含重要数据或者个人信息的,不适用跨境数据传输机制。
  • 若出境的数据未被中国当局公布为重要数据的,组织无需进行数据出境安全评估。
  • 数据出境符合以下情形之一的,组织不适用跨境数据传输机制:
  1. 为履行合同必需的个人信息(如跨境购物、跨境汇款、机票酒店预订、签证办理等);
  2. 按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理必需的职工个人信息;或
  3. 为保护自然人的生命健康和财产安全必需的个人信息。
  • 组织预计一年内向境外提供不满1万人个人信息的,不适用跨境数据传输机制。
  • 组织预计一年内向境外提供1万人以上、不满100万人个人信息,已签订标准合同并向相关部门备案的,无需完成数据出境安全评估。
  • 自由贸易试验区可自行制定本自贸区关于数据出境的负面清单。负面清单外的数据出境,不适用跨境数据传输机制。

尽管《征求意见稿》尚处于征求意见阶段,仍可见网信办就数据出境欲采取更有利于企业的方式。我们预计最终定稿条款将于 2023 年11月30日(即中国标准合同备案的宽限期)前施行。该《征求意见稿》若获通过,我们预计很多组织将不再需要完成安全评估或签订标准合同并向网信办进行备案。

对于已提交备案的组织,我们预计网信办将就如何处理已提交的备案作出解释。组织也可以考虑联系网信办,讨论调整已提交备案的可能性以及方法。

对于尚未提交备案的组织,我们建议持观望态度,暂不提交备案,等待网信办的后续通知。