随着经济全球化和数字化转型的深入推进,数据跨境流动已成为企业国际竞争的重要因素。
与此同时,数据安全风险也随之增加。
为进一步规范数据出境秩序,保护个人信息安全,国家互联网信息办公室针对近期收到的典型咨询问题进行了系统梳理和权威解答,为数据处理者提供了明确的合规指引。
在个人信息出境的多元化合规路径方面,国家网信部门明确了三种主要方式的衔接机制。
根据现行法律框架,关键信息基础设施运营者以外的数据处理者,在满足一定条件下,可以通过订立个人信息出境标准合同、通过个人信息出境认证或申报数据出境安全评估等方式合法出境个人信息。
具体而言,当年累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或不满1万人敏感个人信息的,可采用前两种方式。
但一旦出境规模超过上述阈值,数据处理者必须通过所在地省级网信部门向国家网信部门申报数据出境安全评估,并按照评估结果开展相关活动。
这一规定体现了分类管理、梯度管控的原则。
对于出境数据规模较小的企业,标准合同和认证制度提供了相对便捷的合规途径,降低了中小企业的合规成本。
而对于大规模数据出境的企业,安全评估制度则通过更严格的审查机制,确保数据安全风险得到有效控制。
值得注意的是,已通过标准合同或认证出境的个人信息,若后续出境规模扩大,企业需要将这些信息纳入安全评估范围,体现了动态管理的特点。
在区域协作方面,国家网信部门对粤港澳大湾区个人信息跨境流动规则进行了进一步明确。
根据相关实施指引,已备案粤港澳大湾区个人信息跨境流动标准合同的数据处理者,应当严格限制在大湾区内开展数据跨境活动,不得违法向区域外的组织或个人提供个人信息。
这一规定既支持大湾区内的数据流动,促进区域经济一体化发展,又防止了数据的无序外流。
同时,国家网信部门也为企业提供了灵活的调整机制。
当数据处理者的出境情形发生变化,需要向粤港澳大湾区以外提供个人信息时,应当按照国家数据出境安全管理规定,履行申报安全评估、订立标准合同或通过认证等合规义务。
这一规定充分考虑了企业业务发展的实际需求,在保护数据安全的前提下,为企业提供了必要的灵活性。
从更深层次看,这一系列政策问答反映了我国数据安全管理的演进方向。
一方面,通过建立多元化的合规路径,既满足了不同规模企业的需求,又避免了"一刀切"式的管理;另一方面,通过明确的阈值设置和动态管理机制,确保了监管的科学性和有效性。
这种精细化管理方式有利于在保护数据安全和促进数据流动之间找到平衡点。
对于数据处理者而言,准确理解和严格遵守这些规定至关重要。
企业应当建立完善的数据出境合规管理体系,对出境数据的规模、类型和流向进行实时监测,及时评估是否需要调整合规方式。
同时,企业还应当加强与网信部门的沟通联系,确保在政策调整时能够及时获得指导。
数据跨境流动连接国内国际两个市场,也对安全治理提出更高要求。
把规则理解透、把台账建起来、把风险管到位,才能在合法合规前提下更好释放数据要素价值。
面向未来,只有坚持发展与安全并重、制度供给与企业治理协同,跨境数据流动才能在可控、可用、可信的轨道上行稳致远。