【固法法律评论】数据跨境新规重点解读
从《网络安全法》、《数据安全法》以及《个人信息保护法》的颁布施行,到《数据出境安全评估办法》、《个人信息出境标准合同办法》以及《个人信息保护认证实施规则》相继出台,我国已逐步构建起以安全评估、标准合同备案和个人信息保护认证为核心的数据出境监管框架(见附表)。
附表
然而,以上监管措施自施行以来,虽然一定程度上缓解了我国此前数据跨境流动安全保障的缺失与监管无序的状态,但实践中也问题频出。为了深入贯彻落实国务院提出的“探索便利化数据跨境流动安全管理机制”的整体目标,国家网信办结合既有规范和数据出境实践,对数据出境申报标准进行动态调整,制定并颁布《促进和规范数据跨境流动规定》(以下简称“《规定》”),主要有以下重点:
一是列举了免予适用数据出境监管流程的情形,意味着许多企业日常管理与经营的场景不再需要办理个人信息出境标准合同备案或个人信息保护认证,在保护个人信息权益,维护国家安全和社会公共利益的大前提下,促进数据出境安全、自由地流动。
二是进一步明确重要数据处理者的范围,提出未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
三是在自贸区引入负面清单机制,提出自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内负面清单,经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。
《规定》进一步优化了我国数据国际流动的监管,积极探索合规与商业的平衡点,对此有外国投资者对《规定》的发布表示赞赏,认为这是解决外资企业在华数据监管面临挑战迈出的积极一步。
