一、数据出境是不是一律要安全评估?2024新规已经明显分层
很多企业一听到“数据出境”,第一反应就是“是不是必须做安全评估”。这个理解已经不准确。国家互联网信息办公室2024年3月22日公布的《促进和规范数据跨境流动规定》,对数据出境安全评估、个人信息出境标准合同、个人信息保护认证和豁免情形进行了重新梳理,核心思路是:重要数据和高数量级个人信息从严管理,低风险、低数量、业务必要的数据流动适度便利。
企业做数据出境合规时,第一步不是直接填表,而是回答三个问题:是否涉及重要数据?是否属于关键信息基础设施运营者?自当年1月1日起累计向境外提供多少个人信息和敏感个人信息?这三个答案决定了你走安全评估、标准合同、认证,还是可以适用豁免。
二、哪些情形仍然要申报数据出境安全评估?重要数据和高数量级个人信息是红线
根据2024年规定,关键信息基础设施运营者向境外提供个人信息或者重要数据,通常应当申报数据出境安全评估;关键信息基础设施运营者以外的数据处理者,向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息,也应当申报安全评估。
这里有一个对企业很重要的变化:未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。但这不等于企业可以完全不识别数据类型。企业仍应在内部台账中说明数据字段、业务场景、接收方、传输方式、安全措施和是否涉及重要数据的判断依据。
三、什么时候走标准合同或认证?看10万、100万和1万敏感个人信息
对于非关键信息基础设施运营者,如果自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息),或者不满1万人敏感个人信息,通常需要订立个人信息出境标准合同或者通过个人信息保护认证。标准合同不是简单签一个模板,还包括个人信息保护影响评估、合同备案、境外接收方义务约定、保存处理记录等配套工作。
敏感个人信息包括身份证件号码、生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等。哪怕数量不大,只要涉及敏感个人信息,合规要求也会明显提高。企业不要只统计“人数”,还要统计“字段敏感度”。
四、哪些数据出境可以适用豁免?武汉数据合规律师荣郑建议仍要留痕
2024年规定对若干低风险或业务必要场景给出了便利安排,例如为订立、履行个人作为一方当事人的合同确需向境外提供个人信息,跨境购物、跨境寄递、跨境汇款、机票酒店预订、签证办理、考试服务等;按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理确需提供员工个人信息;为保护自然人的生命健康和财产安全紧急情况下确需向境外提供个人信息;以及非关键信息基础设施运营者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的部分情形。
但是“豁免”不等于“不合规”。企业仍应履行告知、取得单独同意(依法适用时)、最小必要、境外接收方管理、记录留存和安全保障义务。荣郑律师建议企业建立一张数据出境判断表:业务场景、数据字段、人数、敏感字段、境外接收方、传输国家或地区、适用路径、审批人和留痕材料。以后监管问起,能说清楚比事后补材料重要得多。
