《跨境流动规定》第三、四、五、六条明确提出了免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的豁免情形,具体包括:
****(一)个人信息过境 ****
根据《跨境流动规定》第四条,在境外收集和产生的个人信息传输至境内处理后向境外提供,若处理过程中没有引入境内个人信息或者重要数据的,则不再需要采取额外的数据出境制度。例如,某国内电商平台在境外设有物流仓库,并与境外的物流公司和航空公司合作。境外消费者在该平台国际站购买商品后,平台内商家负责将商品整理发货,由境外物流公司和国外航空公司承运,运输商品并交付消费者。在这个流程中,境内电商平台、平台内商家、物流公司和航空公司等参与方均会涉及处理消费者个人信息。在此过程中,境外消费者的订单信息是由国内电商平台的境外站收集后入境的,用户账号也由该平台国际站负责运营管理,境外消费者的个人信息收集活动不发生在境内,且入境后的处理过程未引入境内消费者的个人信息,经过平台确认交易订单信息后发送给境外的物流公司和航空公司进行运输配送。所以,根据《跨境流动规定》第四条的规定,针对上述境外个人信息入境再出境的情形,电商平台无需采取额外的数据出境制度,提高了跨境电商的服务效率。
****(二)基于人力资源管理出境员工个人信息所确需 ****
根据《跨境流动规定》第五条第一款第二项规定,按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,确需向境外提供内部员工个人信息的,不需要采取额外的数据出境制度。但是,若企业希望依据该场景豁免采取数据出境制度,则需要重点排查并关注自身数据出境活动,确保跨境传输员工个人信息的行为是为实施人力资源管理所“确需”的、特定字段的出境也是为实施人力资源管理所“确需”的。
****(三)为订立、履行个人作为一方当事人的合同所确需 ****
根据《跨境流动规定》第五条第一款第一项规定,符合“为订立、履行个人作为一方当事人的合同所必需”这一前提,确需向境外提供个人信息的,不需要采取额外的数据出境制度。本条针对“履行合同所必需”进行了场景上的罗列,例如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等需要向境外提供个人信息的情形。例如,消费者投资国际金融产品时,为了满足合同的要求、法律规定或者行业监管要求,要向境外提供个人信息,如投资人姓名、身份证信息、联系方式、财务状况等。
****(四)紧急情况下为保护自然人的生命健康和财产安全所确需 ****
根据《跨境流动规定》第五条第一款第三项规定,“紧急情况下为保护自然人的生命健康和财产安全等”确需向境外提供个人信息的,不需要采取额外的数据出境制度。例如,某国家发生了突发性疫情,为了挽救已受影响的人民群众的生命安全,某些组织可能需要将患者的个人信息发送给国际救援机构,以便及时确定该突发疫情形成的原因、在其他国家或地区是否已有发生和确认其相似度、受灾地区的药品供应情况并采取必要的救援措施等。此条旨在保障救援资源的合理配置和人民群众的生命安全。
****(五)国际贸易 ****
根据《跨境流动规定》第三条规定,国际贸易活动中收集和产生的数据出境,不包含个人信息或者重要数据的,不需要采取额外的数据出境制度。例如,当某国内外贸企业向他国出口商品时,需要将商品的数量、规格、重量、价值以及运输方式等信息发送至进口方,以便各国的海关、物流公司和贸易伙伴对这批出口货物的运输和交付进行管理。但是“国际贸易”概念的外延十分宽泛。其中,何种类型的商业活动属于“国际贸易”的范畴、哪些实践中的流程环节属于“国际贸易”以及境外数据接收方是否仅限于贸易相对方等问题还待进一步解释说明。
****(六)跨境运输 ****
根据《跨境流动规定》第三条规定,跨境运输活动中收集和产生的数据出境,不包含个人信息或重要数据的,不需要采取额外的数据出境制度。例如比较常见的是,境内消费者在电商平台购买了境外商家的商品,商家发货地位于境外,需要将商品从境外跨境运输至国内,这一过程可能涉及平台方将境内消费者的收件地址、联系方式等个人信息提供给境外的国际承运人来完成商品的跨境运输。但类似于场景(五),“跨境运输”的概念较为广泛,不仅涉及日常电商平台交易相关的货品运输,还可能涉及到更为复杂的运输场景,如矿石资源、农产品、原油等非零售的大宗商品国际长途运输,这些场景是否均可以被纳入到豁免范围内,仍有待在实践中进一步探索。
(七)学术合作
根据《跨境流动规定》第三条规定,学术合作活动中收集和产生的不包含个人信息或重要数据的一般数据出境活动,不需要采取额外的数据出境制度。例如,国内某高校研究所与其他国家或机构的研究人员合作进行学术研究,可能需要共享一些数据,例如实验结果、调查结论、统计数据等,不包含个人信息或重要数据。学术相关数据的跨境传输可以推动国际学术界的合作与交流,促进全球科学研究发展。但是,与场景(五)相似,学术合作场景行业领域的适用性较为宽泛,某些行业领域的数据,即使不属于个人信息或是重要数据,但是大规模的统计数据或是敏感数据,可能会构成“情报”、“国家秘密”等。
同时,如何在学术合作场景中鉴别被共享的学术数据不涉及重要数据或者国家秘密,也是一项技术性很强的工作。因此,此类场景适用豁免规定需要特别小心,以防发生可能会危害到国家安全与社会利益的情况。
****(八)跨国生产制造 ****
根据《跨境流动规定》第三条规定,跨国生产制造活动中收集和产生的不包含个人信息或重要数据的一般数据出境活动,同样也不需要采取额外的数据出境制度。例如一家制造业的国企在全球多个国家设有生产基地,在进行产品生产制造和装配时,为对全球生产基地进行有效供应链管理、确保物料的及时供应,涉及物料库存管理信息、零部件生产计划、物流运输信息等数据需要提供给海外基地。但类似于场景(五),“跨国生产制造”的概念较为广泛,涉及的环节也较多、程序繁琐、参与方多样,数据出境的链条也可能相对复杂。因此,企业仍需在实践中进一步探索合规落地标准,同时也建议企业及时就“可疑问题”与监管机构多沟通。
(九)跨国市场营销
根据《跨境流动规定》第三条规定,跨国营销活动中收集和产生的不包含个人信息或重要数据的一般数据出境活动,不需要采取额外的数据出境制度。例如,跨国消费品企业拟进入我国市场或扩大其在中国市场的业务前都会对国内市场进行调研。为此,企业必然需要收集和分析一些市场数据,包括我国各线市场调研报告、同行市场占比分析数据、消费者行为数据等,以充分了解目标市场的消费者需求、竞争情况、市场趋势等。通过收集相关境内市场数据,该跨国公司可以更好地了解和把握我国目标市场的特点和机会,制定相应的市场营销策略和计划,有助于支持公司在我国的市场营销决策和推广活动,进一步促进我国经济发展。
(十)其他一般数据
除了场景(五)至场景(九)列举的各种情况,《跨境流动规定》第三条对不包含个人信息或者重要数据的一般数据进行了兜底性质的描述—即在国际贸易、跨境运输、学术合作、跨国生产制造和市场营销“等活动”中出境一般数据,不需要采取额外的数据出境制度。然而,是否所有类似活动下的一般数据均能自由跨境流动?如何确定“等活动”的具体范围?实践中其他活动如何能类推适用第三条的豁免规定?这些细节问题仍待结合监管实践案例进一步补充说明。
(十一)“自贸区负面清单”数据
《跨境流动规定》除了明确提及以上十大场景外,还专门设计了“自贸区负面清单”的特殊机制,即自由贸易试验区在国家数据分类分级保护制度框架下,可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单,报经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。自贸区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
来源:环球律师事务所等团队
版权归原作者 数据出境研究所 所有, 如有侵权,请联系我们删除。