『データの国境を越えた流動規定の促進と規範化』下のデータの出国
問題提起
2024年3月22日、国家インターネット情報弁公室は『データクロスボーダー流動促進と規範化規定』(以下『規定』と略称する)を公布し、当日から実施した。本文は『規定』の下でデータ出国の3種類のコンプライアンス経路のトリガ敷居と出国免除状況について簡単に分析した。
弁護士の解読
関連する法律法規によると、現在のデータ出国の3つのコンプライアンスパスには、データ出国安全評価の申告、個人情報出国基準契約の締結、個人情報保護認証の通過が含まれている。『規定』は3種類のコンプライアンスパスのトリガ敷居と出国免除状況(つまり、申告データ出国安全評価を免除し、個人情報出国標準契約を締結し、個人情報保護認証を通過する。)を細分化し、企業の負担を軽減すると同時に、データの法に基づく秩序ある自由な流動を規範化し、促進することができる。具体的には、
一、申告データの出国安全評価のトリガー敷居。
『規定』第7条異なるデータ処理者に対して、データ出国安全評価を申告すべき異なるトリガの敷居を明確にした:(1)重要な情報インフラ運営者に対して、国外に個人情報または重要なデータを提供する場合、データ出国安全評価を申告すべき、(2)重要な情報インフラストラクチャ運営者以外のデータ処理者に対しては、①重要なデータを国外に提供する、②同年1月1日から累計100万人以上の非敏感個人情報を国外に提供した、③同年1月1日から累計1万人以上の敏感な個人情報を国外に提供した。重要なデータの出国に対する監督管理は依然として厳格な規定を維持していることがわかる。
二、個人情報出国基準契約を締結するか、または個人情報保護認証を通過するトリガの敷居。
『規定』第8条重要情報インフラ運営者以外のデータ処理者が、以下のいずれかの状況にあることを明確にした場合、法に基づいて海外の受信者と個人情報出国基準契約を締結するか、または個人情報保護認証を通過しなければならない:①同年1月1日から累計10万人以上100万人未満の非敏感個人情報を国外に提供した場合、②同年1月1日から累計1万人未満の敏感な個人情報を国外に提供した。この規定では、データ統計期間は「前年1月1日」から「同年1月1日」に調整され、海外に非敏感な個人情報を提供する敷居を高め、「10万人以上」に調整されたが、個人の敏感な情報の出国に対する監督管理は依然として厳しい。
三、出国免除状況。
『規定』はデータ出国の3つのコンプライアンス経路のトリガ敷居を明確にしているが、同時に第3条から第6条は出国免除の状況を規定している:
1、特定の場面での出国免除:国際貿易、国境を越えた輸送、学術協力、国境を越えた生産製造とマーケティングなどの活動の中で収集し、発生した個人情報や重要なデータを含まないデータの出国。
2、トランジットデータの出国免除:データ処理者が海外で収集し、生成した個人情報を、国内で処理した後に国外に提供したもので、処理過程において国内の個人情報または重要なデータを導入していないものに適合する。
3、一部の個人情報(重要なデータを含まない)の出国免除:①個人が当事者である契約を締結または履行するために、確かに国外に個人情報を提供する必要がある、②法に基づいて制定された労働規則制度と法に基づいて締結された集団契約に基づいて国境を越えた人的資源管理を実施するには、海外に従業員の個人情報を提供する必要がある。③緊急時に自然人の生命健康と財産の安全を守るためには、海外に個人情報を提供する必要があります。④重要情報インフラストラクチャ運営者以外のデータ処理者は、同年1月1日から累計10万人未満の非機密個人情報(機密個人情報を含まない)を海外に提供している。