研究丨在《促进和规范数据跨境流动规定》下,企业如何应对个人信息保护合规挑战

来源: 道可特律所  时间: 2024-06-05 23:45:55  作者: 张婷、郭毅佳

引言:在全球化的背景下,随着科技社会的不断进步以及信息技术的迅猛发展,数据逐渐成为了重要的资源之一。在我国,个人信息被定义为以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息作为数据其中的重要分类,其跨境流动也带来了一系列的挑战和风险。为了保障个人信息安全,保护个人信息权益,促进其依法有序自由流动,同时,为了能够更好促进数据出境安全评估、个人信息出境标准合同、个人信息保护认证(统称“数据出境制度”)等数据出境制度的施行,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,我国制定了《促进和规范数据跨境流动规定》(以下简称《规定》),并于2024年3月22日开始实施。本文中,我们将主要针对个人信息的跨境流动展开讨论。

一、《规定》中的亮点

首先,需要明确的是,数据处理者将作为个人信息跨境流动申报的主体,需要对个人信息进行识别从而做出正确的判断和处理。根据《规定》,对于数据跨境流动共计设置了三种数据出境制度。

《规定》第三条对于国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供的情况进行了说明,明确指出如果该类数据中包含了个人数据,不在数据出境制度的豁免范围。

《规定》第四条以及第五条中对其他豁免情况进行了详细的规定。第四条规定:数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。或是,第五条规定了除了重要数据以外的向境外提供个人信息豁免的4种情形:(一)为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的;(二)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;(三)紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;(四)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。

另外,根据第六条规定,在特殊情况下,自由贸易试验区内在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境制度管理范围的数据清单(简称负面清单),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。在负面清单外的数据在数据出境制度管理下豁免。当前,上海与天津自贸区已经分别印发了《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》以及《中国(天津)自由贸易试验区企业数据分类分级标准规范》。

除此之外,2024年5月,拜耳(中国)有限公司在北京自贸试验区(大兴)数据跨境服务中心完成了其数据出境安全评估,成为我国境内首家外资生物医药行业企业获批数据出境安全评估的案例。当前,大兴自贸区正在积极配合相关主管部门制定“负面清单”,努力在大兴自贸区内为企业提供便捷化的数据合规出境服务。

图解《促进与规范数据跨境流动规定》:

【图】关键信息基础设施运营者(CIIO)
关键信息基础设施运营者(CIIO)

【图示】非关键信息基础设施运营者
非关键信息基础设施运营者

二、公开数据

截止至2023年底,从公开渠道可以查询到的数据出境安全评估通过的企业所处行业分布如下:

截止至2023年底,从公开渠道可以查询到的数据出境安全评估通过的企业所处行业分布

截止至2023年底,从公开渠道可以查询到的个人信息出境标准合同备案通过企业所处行业分布如下:

截止至2023年底,从公开渠道可以查询到的个人信息出境标准合同备案通过企业所处行业分布

三、对企业的建议

1. 提高企业对自身情况的了解

首先,企业需要根据本身从事的行业以及经营范围来判断企业是否属于数据处理者,同时可以参考《关键信息基础设施安全保护条例》的内容判断企业是否属于关键信息基础设施运营者(CIIO)。当前,绝大多数行业的关键信息基础设施运营者的认定规则以及清单并未明确,在这样的情况下,可以求助于当地行业主管部门或者相关专业人士的帮助,对企业本身的定位更加明确。

其次,企业需要自行或者通过专业人士进行判断本企业所收集的个人信息是否属于敏感个人信息,以此来判断企业是否要进行安全评估申报或者标准合同或认证。

2. 企业开展个人信息保护影响评估(PIA)

根据《个人信息保护法》的相关规定,在向境外提供个人信息的情况下,个人信息处理者(企业)应当事前进行PIA评估,该评估报告处理情况记录应当至少保存三年。评估内容包括:

• 个人信息的处理目的、处理方式等是否合法、正当、必要;
• 对个人权益的影响及安全风险;
• 所采取的保护措施是否合法、有效并与风险程度相适应。

建议企业在进行PIA前,组建专业的评估团队、制定评估的计划以及确认评估的范围和对象,最终形成完备的评估报告。

3. 制定企业相关个人信息收集及处理流程

从业务层面来看,首先,企业需要根据业务需求,明确需要收集的个人信息的类型;第二,在收集个人信息时需要遵循目的明确和最小化处理原则;第三,收集信息后,在处理个人信息时,根据《个人信息保护法》相关规定,应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息,同时,处理个人信息应当遵循公开透明原则。在制定了相关的流程后,企业可以确保个人信息的收集及处理流程的合规性。

从企业内部管理来看,《规定》第五条第二款规定,按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的,属于数据出境制度豁免行列。但是,当前来说,大部分企业在劳动规章制度中并未明确包含与个人信息出境相关的内容,因此建议企业在履行公司内部法定流程的情况下制定相关制度文件。

4. 个人信息出境

企业因业务需要,向境外提供个人信息,需要根据不同情况具备通过国家网信部门组织的安全评估、进行个人信息保护认证、制定标准合同三种条件之一。2024年3月22日,国家互联网信息办公室发布并实施了《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》,建议企业按照规定开展申报及备案工作,与监管部门进行沟通,以应对潜在的监管检查。

除了企业以外,需要提示的是,根据相关规定,我国境内开展个人信息处理活动的个人信息处理者,在非《规定》豁免的情形下,仍需满足数据出境制度。

在企业认为自身对于个人信息的收集以及管控程序完备的情况下,可以申请进行个人信息保护认证。截止至2024年1月,已经有5家企业获得了首批信息保护认证证书。其认证模式分为技术验证、现场审核以及获证后监督,获得认证书后认证书有效期为3年,到期需延用的,在有效期届满前6个月企业应当提出申请,认证机构采取获证后监督方式对符合要求的企业换发新的证书。提前申请该认证可以为企业在个人信息跨境传输事项中提高工作效率,并且起到了对于企业自身个人信息保护措施方面的检查作用。

结语:最后,我们想要强调的是,无论企业收集的个人信息是否面临出境的情况,在企业收集个人信息时都务必要遵循《个人信息保护法》等相关规定,只有在履行了必要的合规义务情况下,才可以为企业未来的发展奠定稳固的基石。

作者简介

道可特律所北京办公室 高级合伙人张婷

张婷
北京办公室 高级合伙人
道可特国际业务部主任

业务领域:境内外争议解决、海外上市、国际并购与国际工程、境内外并购与资本市场、公司治理、外商在华投资家族办公室业务和国际融资等商事法律业务

邮箱:zhangting@dtlawyers.com.cn

道可特律所北京办公室 实习律师郭毅佳

郭毅佳
北京办公室 实习律师

业务领域:境外上市、跨境投融资并购、数据出境业务、公司治理

邮箱:guoyijia@dtlawyers.com.cn

可能感兴趣

专业团队
  • A
  • B
  • C
  • D
  • E
  • F
  • G
  • H
  • I
  • J
  • K
  • L
  • M
  • N
  • O
  • P
  • Q
  • R
  • S
  • T
  • U
  • V
  • W
  • X
  • Y
  • Z
检索
行业研究
更多
  • 《全国保险行业法律健康指数报告(2015-2017)》
    《全国保险行业法律健康指数报告(2015-2017)》是由绿法(国际)联盟(GLGA)作为编制单位,北京市道可特律师事务所作为专业支持单位,并在外部专家团队的指导下,共同打造的资本市场行业法律健康指数报告系列研究课题之一。2017年,绿法(国际)联盟(GLGA)成功发布了其资本市场行业法律健康指数报告系列研究课题的首份研究成果,即《私募基金行业法律健康指数报告》。《保险行业法律健康指数报告》是该研究课题的第二份研究成果。
  • 《全国私募基金法律健康指数报告》
    本次报告的目的为以私募基金行业指数的形式提供关于立法、监管、司法的洞见。绿法联盟作为首个以法律为核心要素,以研究院为依托,以互联网为平台,以国际化为视野的法律跨界联盟,一直关注立法、监管、司法将以何种方式影响私募行业。时至今日,私募基金的体量已经发展至可以和公募基金等量齐观,其发展不得不称之为迅猛。但是,私募基金高歌猛进的同时也繁芜丛杂,自2016年始,监管、立法层对私募基金更加关注,故此尝试编纂私募基金行业法律健康指数报告,以量化考察私募基金行业法律风险方面的变化。以期以史鉴今,为未来的私募基金行业发展提供一点洞见。
  • 《2018中国不良资产蓝皮书》
    绿法联盟研究院基于对整体不良资产行业进行深入的考察、研究的基础上,与北京市道可特律师事务所共同编制了《2018中国不良资产蓝皮书》,希望能够对行业带来指导,也能体现不良资产行业本身的创新,具有一定的学术性和公益性。
同道计划
更多
  • 【同道计划一】
    道可特希望联合全国志同道合的律师朋友们,一起建设事业平台,一起实现事业梦想,特推出“同道计划”。“同道计划一”旨在全国范围内招募道可特分所的合作伙伴、事业合伙人、执行主任。
  • 【同道计划二】
    “同道计划二”旨在全国乃至全球范围内招募道可特总部和北京办公室的合伙人和律师,共同成为行业、自己、市场、客户想要的样子。
  • 【同道计划三】
    “同道计划三”旨在全国乃至全球范围内招募道可特全国分所合作伙伴。道可特全国乃至全球发展蓝图,需要更多伙伴一起绘制,让我们共同打造一家让人尊敬的律所。
品牌活动
更多
  • [03/22]道可特2024创新季启动仪式
    当“新质生产力”成为两会C位词,各行业、各地区纷纷发力,竭力做好创新这篇大文章。法律行业不外如是。随着时代发展和法律行业的变革,创新已成为律所提升竞争力的关键。敢于求变,勇做破局者;勇于求新,争做开创者也是道可特一直坚持的发展内核。
  • [12/27]地方型律所的发展路径选择和竞争力打造专题研讨会暨道可特济南办公室成立五周年庆典
    2018年,道可特落子泉城,设立道可特济南办公室。作为道可特第二家分所,济南办公室定位于品牌市场旗舰店和道可特全国法律市场开发试点,是道可特在专业化、规模化、品牌化发展道路上迈出的重要一步。依托总部一体化管理平台,立足区域优势,历时五载春秋更迭,济南办公室实现了自身跨越式的发展,也见证了区域法律行业的发展与变化:行业竞争加剧、业务半径有限、人才引力不足,品牌规划不明晰……如何破茧、突围正在成为区域律所亟待解决的难题。2023年12月27日,在道可特济南办公室成立五周年之际,我们将举办“地方型律所的发展路径选择和竞争力打造专题研讨会暨道可特济南办公室成立五周年庆典”。届时,各界行业翘楚、知名媒体机构代表等嘉宾将悉数出席。
  • [12/23]聚焦企业合规服务经济高质量发展专题论坛暨道可特天津办公室成立五周年庆典
    2018年,道可特第一家分所落子海河之滨;同年,是为“企业合规元年”。2023年,道可特天津办公室成立既满五周年;同年,是为“企业合规深化年”。五载时光,道可特天津办公室已在津城熠熠生辉,合规热潮也已波及到经济社会的方方面面,成为企业走向国际市场、高标准对接国际经贸规则的必由之路,成为推动企业高质量发展、行稳致远的法治密码。聚焦企业合规服务经济高质量发展成为大势所趋!