聚焦数据跨境新规 | 有的放矢，精准调控——数据跨境新规亮点解读

在《数据出境安全评估办法》施行后，针对数据出境安全评估申报制度在适用过程中存在的触发门槛低、审查周期长等问题，国家网信办为充分平衡数据安全与数据自由有序流动，于2023年9月28日公布了《规范和促进数据跨境流动规定（征求意见稿）》（以下简称“《征求意见稿》”），初步释放了为企业减负的信号。此次数据跨境新规在征求意见稿的基础上，进一步对数据跨境政策进行了松绑。

此次数据跨境新规将标题调整为“促进和规范”，同时在第一条删除了《征求意见稿》中的“进一步规范”，仅保留“促进数据依法有序自由流动”，这正体现了答记者问中所提到的立场——国家在保障国家数据安全的前提下，便利数据跨境流动，降低企业合规成本，充分释放数据要素价值，扩大高水平对外开放，为数字经济高质量发展提供法律保障。

《数据出境安全评估办法》中并未直接定义数据出境行为，《数据出境安全评估申报指南（第一版）》明确了两类属于数据出境的行为，分别为数据处理者将在境内运营中收集和产生的数据传输、存储至境外，以及数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出。

在第二版《申报指南》中，明确了符合《个人信息保护法》第三条第二款情形，在境外处理境内自然人个人信息等其他数据处理活动属于数据出境。虽然《个人信息保护法》第三条已经规定境外处理境内自然人个人信息如有1）以向境内自然人提供产品或者服务为目的，2）分析、评估境内自然人的行为等情形时受《个人信息保护法》规制，但《个人信息保护法》第三十八条规定要履行相应出境义务的情形是“个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的”，从文义解释角度，该情形是境内的个人信息处理者向境外接收者提供个人信息，所以境外处理者直接处理境内自然人个人信息的情形是否落入第三十八条规定在实践中是有较大争议的。此次第二版《申报指南》增加该场景，意味着在境外直接收集境内个人信息的行为也需要遵守数据出境的相关制度安排。

根据《个人信息保护法》第五十三条的规定，第三条第二款的境外个人信息处理者，应在境内设立专门机构或者指定代表，负责处理个人信息保护相关事务，并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。境外个人信息处理者在落实数据出境义务的过程中，可以由该专门机构或指定代表负责与监管部门的沟通、对接工作。

数据跨境新规明确了七类豁免情形，其中五类与《征求意见稿》整体保持一致，分别为数据跨境新规的第三条、第五条第一款第（一）项至第（三）项、第六条，即

a.国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供，不含个人信息或重要数据；

b.履行合同所必需：为订立、履行个人作为一方当事人的合同，如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等，确需向境外提供个人信息；

c.实施跨境人力资源管理：按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息；

d.紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息；

e.自由贸易试验区内数据处理者向境外提供负面清单外的数据。

上述豁免情形，除不含个人信息或重要数据外，其余向境外提供个人信息仍应遵守《个人信息保护法》第五条所规定的必要原则，企业或个人在开展上述数据跨境活动前仍应审慎评估个人信息，特别是具体字段出境的必要性。

除上述场景外，数据跨境新规还对《征求意见稿》的另外二类场景进行了明确或调整：

一即剔除了“数据过境”行为——数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供，处理过程中没有引入境内个人信息或者重要数据。

数据跨境新规第四条明确剔除了“数据过境行为”，该条规定有利于为境外企业提供数据处理服务的企业，如IT外包公司、数据处理和分析公司等，该企业通常在数据委托处理关系中担任受托方的角色，对于数据处理目的、方式没有自主的决策权。在原有的数据出境制度框架下，在境内为境外企业提供数据处理服务的数据处理者可能面临合规成本与合规风险不匹配的情形。

《征求意见稿》第三条规定，不是在境内收集产生的个人信息向境外提供，不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。数据跨境新规在此基础上进一步明确了，即在境内处理境外收集和产生的个人信息，未引入境内个人信息或重要数据，便无须进行申报。

二即对申报门槛进行了调整——关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）。

该类场景对应的是《征求意见稿》第五条，数据跨境新规进一步划分了一般个人信息和敏感个人信息，并提高了跨境提供一般个人信息触发申报的条件。《征求意见稿》第五条仅规定预计一年内向境外提供不满1万人个人信息的，无须进行申报。数据跨境新规首先明确了预估起算时间，即自当年1月1日起算；其次，还分别规定了一般个人信息和敏感个人信息的门槛，如果累计提供不满10万人个人信息（不含敏感个人信息），则无须履行数据出境三大合规路径的义务，如果出境数据包含敏感个人信息，无论数量多少，数据处理者的出境合规义务都无法予以豁免。

图：数据出境三大合规路径的豁免情形

关于重要数据的认定，一直是实务中的难点问题。根据《数据出境安全评估办法》第十九条的规定，重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。根据《信息安全技术 重要数据识别规则（征求意见稿）》的规定，重要数据是指特定领域、特定群体、特定区域或达到一定精度和规模的数据，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。根据《数据安全法》的规定，各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。国家有关部门尚未出台相关行业或领域的重要数据具体目录，重要数据识别规则的国家标准也未正式发布，在实践中企业对于重要数据的识别仅能依赖目前的定义及参考一些原则性的规定，这种情况下很多企业仍无法判断自身是否掌握法律规定的重要数据。

《征求意见稿》第二条规定，未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。数据跨境新规在保留该内容的基础上，增加明确了“数据处理者应当按照相关规定识别、申报重要数据”。数据跨境新规针对重要数据的识别为企业提供了解题思路，在现行法规下，企业可以以相关部门、地区对重要数据的告知和公开发布情况为准，以此判断自身是否存在重要数据跨境的情况。