国际金融机构跨境数据传输合规减负——《规范和促进数据跨境流动规定(征求意见稿)》解读
2023-10-09 10:05:00 作者:周亮、姚梓南
2023年9月28日,国家互联网信息办公室发布《规范和促进数据跨境流动规定(征求意见稿)》(“《数据跨境规定》”)并向社会公众公开征求意见,该规定在个保法以及相关数据跨境传输规定的基础上,大幅调整了数据出境评估备案工作的适用标准。在仅涉及少量个人信息出境、具有强出境必要性的情形等特定情形下,减轻或豁免原有的数据出境合规义务。
该规定将大大降低在国内设有分支机构或者总部在国内的国际金融机构的合规负担,有利于促进国际金融机构跨境金融活动的高效运营。本文旨在介绍《数据跨境规定》的主要亮点以及其对国际金融机构跨境数据传输的影响。
一、澄清重要数据的定义
根据《数据跨境规定》第二条,未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
根据现有规定,数据处理者向境外提供重要数据,须履行申报数据出境安全评估义务。尽管目前市面观点普遍认为产生重要数据的行业包括银行业,但现行法律法规或监管部门并没有明确的重要数据目录,这使得国际金融机构及其境内关联机构对于业务开展过程中的数据跨境传输活动存在顾虑。
《数据跨境规定》第二条明确了未经监管主动告知数据处理者或公开发布文件的方式识别重要数据的情况下,无需数据处理者进行重要数据的出境申报,这大大减轻了国际金融机构及其境内关联机构判断其掌握数据是否属于重要数据的负担。
从实践的角度来看,尽管《数据跨境规定》放松了数据处理者对于重要数据的判断义务,但金融行业仍属于强监管以及金融数据和敏感信息高度集中的行业。因此,对于国际金融机构的境内关联机构而言,其仍应留意相关法律法规对于金融数据合规的要求。
二、个人信息跨境传输便利化
《数据跨境规定》在《个人信息保护法》《数据出境安全评估办法》和《个人信息出境标准合同办法》等法律法规所规定的个人信息出境的三条合规路径(即安全评估路径、标准合同路径、认证路径)的基础上,对其适用标准作出了宽松认定,规定特定情形下,数据处理者原有的数据出境合规义务将被减轻或豁免。
1. 自贸区“数据出境负面清单”
根据《数据跨境规定》第七条,自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称“负面清单”),报经省级网络安全和信息化委员会批准后,报国家网信部门备案。负面清单外数据出境,可以无需申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
无独有偶,在今年7月份深圳市人民政府办公厅发布的《关于印发贯彻落实金融支持前海深港现代服务业合作区全面深化改革开放意见的实施方案的通知》中,也提到了支持在前海合作区和香港均设有分支机构的中资商业银行、港资商业银行开展内部数据跨境流动试点。
以上相关政策和规定给予了相关自贸区充分的自主权,允许自贸区根据吸引外资和对外开放的需要放开数据跨境流动,有利于减轻相关外资银行在自贸区分支机构的合规负担。
2. 数据出境合规的豁免情形
《数据跨境规定》的第四条中列举了可豁免《个人信息保护法》第38条所规定的申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证等要求的数据出境情形,包括:
(1)为订立、履行个人作为一方当事人的合同所必需
该条针对“履行合同所必需”进行了场景上的罗列,如跨境购物、跨境汇款、机票酒店预订、签证办理等,为适用于该类场景的国际金融机构提供了具体化参考。但具体哪些信息属于“必需”范畴仍有待进一步实践检验。例如,对于国际金融机构最常见的“为海外关联方进行跨境业务机会介绍而提供个人信息”该种情形是否适用,仍有待明确。
(2)按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的
该情形仅针对员工个人信息的特定出境场景,而未对出境方既有的个人信息处理规模、拟出境的个人信息数量以及类型(一般信息还是敏感个人信息)提出任何要求。因此,只要可充分论证员工的个人信息出境是为了实施劳动规章制度或集体合同所必须而向境外提供,即可符合该项豁免条件。
(3)紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的
该项主要是基于保护人身、财产安全等个人最基本权益所提供的豁免情形。
3. 不同数据出境量的不同合规要求
根据《数据跨境规定》第六条,如仅涉及少量个人信息出境,即一年内预计出境的个人信息所涉及的个人主体数量不到1万人,无需申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证;如向境外提供达到1万但不足100万人个人信息,则需签订标准合同并备案或进行个人信息保护认证;如向境外提供100万人或以上个人信息,则需要申报数据出境安全评估。
这将极大便利不在中国开展零售业务或者虽开展零售业务但无意向海外传送大体量个人客户信息的国际金融机构。例如,一些总部位于境外的跨国金融机构,在日常经营中仅涉及到少量内地个人客户的信息,但根据经营管理需要将信息传输境外总部储存,如规模未达到上述门槛,则可以豁免严格的监管要求。
4. 非境内收集产生的个人信息出境,豁免数据出境合规要求
根据《数据跨境规定》第三条,不是在境内收集产生的个人信息向境外提供,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
该规定在2017年颁布的《信息安全技术 数据出境安全评估指南(征求意见稿)》(“指南”)已有体现。根据该指南,以下两种情形不被视为“数据出境”:(a)非在境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动或加工处理的,不属于数据出境;(b)非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据的,不属于数据出境。该指南后续未出台正式稿,而本次《数据跨境规定》则正式明确了上述认定标准。
该规定有利于国际金融机构面向境内个人客户开展业务。根据我们实践接触,不少香港银行等境外金融机构均采取境外收集个人信息并外包给境内总行/分支机构储存的运营模式,按照该条规定,该等情形或可豁免数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证等相关要求。
但是,我们也留意到该条仍存在模糊地带,有待实践和监管进一步澄清。例如,“不在境内收集”是指“未向境内开展个人信息收集”,还是“个人信息处理者在地理上未在境内”,存在不同的理解空间。
三、不属于《数据跨境规定》调整范围的情形
根据《数据跨境规定》第8条,国家机关和关键信息基础设施运营者、涉密敏感信息的,依法照旧进行,不属于此次《数据跨境规定》的调整范围,另行按照相关法律法规的规定进行监管。
目前绝大多数国际金融机构的境内分支机构均未被认定为“关键信息基础设施运营者”,因此对其直接影响不大。但如存在对外提供个人信息的机构被认定为“关键信息基础设施运营者”的情形,则国际金融机构在与该等机构开展业务活动时,需重点关注对方在跨境数据流动过程中是否履行了相关的合规义务。
四、《数据跨境规定》对国际金融机构的影响
总体而言,我们认为本次《数据跨境规定》对于日常业务中涉及跨境数据传输的国际金融机构而言属于重大利好。
首先,《数据跨境规定》排除了数据出境后影响小、跨境数据量小、且实践中高频出境场景下的前置审批程序,提高了适用门槛。
其次,《数据跨境规定》给予了国际金融机构和数据出境的数据处理者更明晰的操作指引,比如明确了实施人力资源管理而必须向境外提供内部员工个人信息的,可以豁免申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证等要求。
但是,我们也留意到个人信息跨境的合规监管在实践中存在纷繁复杂的情形,具体数据出境场景的细微差别可能会导致合规监管要求截然不同。本次《数据跨境规定》的出台敞开了放松数据跨境传输监管要求的大门,但建议国际金融机构仍需在实践中根据自身实际情况,确定执行标准以及明确合规要求。
特别声明:
大成律师事务所严格遵守对客户的信息保护义务,本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考,不代表大成律师事务所任何立场,亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源。未经授权,不得转载或使用该等文章中的任何内容。
