中国国家互联网信息办公室星期五(3月22日)发布《促进和规范数据跨境流动规定》(以下简称《规定》),自公布之日起施行。

中国规定国际贸易、跨境运输等活动收集的数据向境外提供,不需要申报数据出境安全评估。

《规定》规定了一系列免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件。

《规定》明确了应当申报数据出境安全评估的两类数据出境活动条件:关键信息基础设施运营者向境外提供个人信息或者重要数据;关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。

这些活动包括:国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据;在境外收集和产生的个人信息传输至境内处理后向境外提供;为订立、履行个人作为一方当事人的合同,确需向境外提供个人信息;按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息;关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息。

《规定》也设立自由贸易试验区负面清单制度,提出自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内负面清单。自由贸易试验区内数据处理者向境外提供负面清单外的数据,可免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

同时,《规定》明确应当订立个人信息出境标准合同或者通过个人信息保护认证的数据出境活动条件,即关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息。

《规定》明确重要数据出境安全评估申报标准,提出未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。