数据出境监管2.0时代的合规策略与方法｜iLaw

前言：

2024年3月22日，国家互联网信息办公室（网信办）发布了《促进和规范数据跨境流动规定》（新规）。

新规出台前，根据我国的数据出境监管规则，如果要将在我国境内运营中收集和产生的重要数据和个人信息合法出境，数据处理者必须通过以下三大路径：

(1) 数据出境安全评估：通过国家网信部门组织的安全评估¹；

(2) 标准合同备案：与境外接收方订立标准合同，并向省级网信部门进行备案²；

(3) 个人信息保护认证：按照国家网信部门规定经专业机构进行个人信息保护认证³（合称出境申报）。

其中，如出境数据中含有重要数据，或处理个人信息达到《数据安全评估办法》规定的数量标准⁴，则强制适用安全评估路径；只有在未触发安全评估的情况下，企业方可选择标准合同路径或认证路径。除了上述三大出境路径，不存在其他出境路径或例外情形。总体而言，原有出境路径非常严格，给企业带来巨大合规挑战。

新规重构了上述数据出境监管制度，首次规定了不触发出境申报的豁免情形，例如，符合条件的跨境人力资源管理场景下的员工个人信息出境。同时，新规还放宽了触发不同出境路径的数量标准，并以当年度实际数据出境量作为出境申报的数量门槛。这使得部分数据处理者，例如累计处理100万人以上个人信息但本年度仅出境不到1万人敏感个人信息的企业，不再适用数据出境安全评估路径，而可以适用标准合同备案或个人信息保护认证路径；而本年度出境个人信息在10万人以下且不涉及敏感个人信息出境的，则不再触发任何出境路径。总体而言，新规大幅放宽了数据出境条件，为企业数据出境合规工作减轻了负担，我国数据出境监管因此进入2.0时代。

不过，新规并不意味着放松数据出境监管，而是转变了监管思路，从强化事前监管变为事前、事中、事后监管并举，突出企业数据出境主体责任。换言之，企业在数据出境活动中一方面享有更多自主权和灵活性，另一方面，监管机构不再对企业自主的数据出境活动背书。因此，从某种意义上说，虽然新规看似对数据出境活动放松监管，但企业合规义务并没有削弱，甚至反而强化了企业应对自己的数据出境活动负责的主体责任。因此，企业应全面、深刻得理解我国最新数据出境监管制度，更加注重数据出境合规工作。本文结合实操和监管实践，对企业依据新规开展数据出境活动中的一些典型问题和难点进行梳理，以供参考。

 1《数据出境安全评估办法》第四条。

 2《个人信息出境标准合同办法》第四条和第七条。

 3《个人信息保护认证实施规则》。

 4《数据出境安全评估办法》第四条。

新规第七条明确，关键信息基础设施运营者（CIIO）向境外提供个人信息或者重要数据，应当申报安全评估，除非符合新规规定的豁免情形。可见，新规延续了原监管制度对CIIO数据出境的严格态度。除非CIIO存在豁免情形，否则，只要CIIO向境外提供个人信息或重要数据，无论出境数量多少，都需要进行出境申报。

本条规定所称CIIO，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等⁵。CIIO的认定工作，由前述涉及的重要行业和领域的主管部门、监督管理部门（保护工作部门）负责组织，且保护工作部门应在认定CIIO后及时告知企业认定结果⁶。

然而，如果企业没有被告知被认定为CIIO，但该企业的确属于能源、交通、水利、金融等重要行业，也的确运行重要的工业控制系统或业务处理系统，且该系统一旦遭到破坏的确可能严重危害国计民生甚至国家安全的，这类企业向境外提供个人信息或重要数据，是否要按照数据出境安全评估路径向网信部门申报？我们认为，审慎做法是应该申报，如果网信部门以不构成CIIO为由不予受理，则比依据自我判断不申报风险更低。换言之，在企业未被识别为CIIO的情况下，企业仍然负有某种程度上的自我识别义务。这点与企业是否具有对重要数据的自我识别义务不同，新规明确规定企业不具有对重要数据的自我识别义务。

 5《关键信息基础设施安全保护条例》第二条。

 6《关键信息基础设施安全保护条例》第十条。

根据新规第七条第二款，非CIIO数据处理者向境外提供重要数据的，应当申报安全评估，符合新规豁免情形的除外。

与CIIO数据出境情形类似，新规同样没有放松对企业出境重要数据的监管要求。不过，目前多数地区和行业都未发布重要数据目录。这种情况下，如要求企业自行判断拟出境数据是否属于重要数据、是否需要进行重要数据出境申报，将会另企业无所适从。针对这一问题，新规第二条明确，若拟出境数据未被相关部门、地区告知或者公开发布为重要数据，数据处理者不需要将其视为重要数据并就此申报安全评估。换言之，若相关行业并未公布重要数据目录，或企业未被地区或行业主管部门通知其处理的数据属于重要数据的，数据处理者将无需再就这类数据的出境进行安全评估申报。

需要注意的是，航空、金融、生物制药等关键行业领域的企业在业务经营过程中，通常会涉及处理对国家安全、公共利益、个人或组织合法权益有重大影响、但并未被明确定性为重要数据的敏感数据（敏感数据）。一旦这类数据之后被相关地区和行业主管部门告知或公开发布为重要数据的，届时相关数据处理者应当就此开展重要数据的出境安全评估。如果企业未能通过届时的安全评估，则企业的业务连续性将受到重大影响。因此，如企业会持续出境这类敏感数据，尽管现阶段企业无需进行安全评估申报，但企业仍宜考虑按照重要数据标准规划系统部署方案（例如将存储该等数据的信息系统部署在中国境内的数据中心），以免将来未能通过安全评估或在安全评估过程中需要调整系统部署架构而措手不及或带来高昂成本。

此外，虽然新规不要求企业在出境阶段自行识别是否涉及处理重要数据，但这并不代表企业无需制定内部数据分类分级制度，整理符合重要数据特点的数据目录。目前，已有相关行业部门制定了本行业的数据分类分级规范，例如工业和信息化领域《工业数据分类分级指南（试行）》、金融领域《金融数据安全 数据安全分级指南》、健康领域《卫生健康行业数据分类分级指南（试行）》。同时，在新规出台之前，国家市场监督管理总局和国家标准化管理委员会还发布了《数据安全技术 数据分类分级规则（GB/T 43697-2024）》（数据分类分级规则）。数据分类分级规则确定了数据分类分级的普适性标准。根据该规则规定的数据分类分级流程，除了行业领域主管（监管）部门之外，数据处理者也应编制内部数据分类分级细则，形成数据分类分级清单、重要数据和核心数据目录，并按有关程序报送目录。不过，数据分类分级规则是推荐性国家标准，对企业不具有强制性约束力。企业是否有法定义务对数据进行“分类分级”，并承担自我识别是否构成处理重要数据的义务，有待之后的立法和监管部门进一步释明。在数据出境语境下，企业并不具有重要数据的自我识别义务，但如涉及将今后可能被识别为重要数据的敏感数据出境，则企业应尽早规划并从严开展合规工作。

根据新规第五条第二款，“按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理”、“确需向境外提供员工个人信息”的，免于进行出境申报。

确立上述跨境人力资源管理场景下的豁免情形，将帮助使用集团统一信息系统处理人事和内部沟通事宜的企业减轻合规负担。不过，该项豁免的成立，需要满足一定的前提条件，具体包括：

(1) 员工个人信息出境旨在实现的跨境人力资源管理目的，应体现在“依法制定的劳动规章制度”和“依法签订的集体合同”之中；

(2)开展员工个人信息出境是为了实现前述目的“确需”的。

那么，如何满足新规要求的“依法制定的劳动规章制度”和“依法签订的集体合同”？

基于人力资源管理而发生的个人信息出境，既关系到员工个人信息保护，也涉及员工的工作时间、休息休假、职工培训等劳动者的切身利益和合法权益。因此，员工个人信息出境所依据的劳动规章制度若要满足“依法制定”的要求，应当满足如下条件：

(1) 规章制度内容不违反法律规定；

(2) 规章制度的制定经过民主程序，即“经职工代表大会或者全体职工讨论，提出方案和意见”；

(3) 规章制度已向员工公示或告知员工⁷。

与劳动规章制度类似，鉴于个人信息出境与员工切身利益密切相关，员工个人信息出境所依据的集体合同，应当满足如下法定要求：

(1) 集体合同草案应当提交职工代表大会或者全体职工讨论通过⁸；

(2) 由工会/上级工会指导劳动者（如无工会）推举的代表订立；

(3) 报送集体合同签署版本至劳动行政部门。

据此，如要适用新规跨境人力资源管理场景的豁免情形，跨国企业应当按照上述法定的程序要求，将出境目的所涉人力资源管理事项及员工个人信息出境情况，在劳动规章制度和集体合同中确定下来。

值得注意的是，由于新规在“劳动规章制度”和“集体合同”两个条件之间使用了“和”而非“或”的表述，有观点认为，企业只有同时具备符合要求的劳动规章制度和集体合同，才符合本条跨境人力资源管理豁免的适用条件。然而，实践中多数企业并没有订立集体合同。在此情况下，若要求企业就员工个人信息出境同时制定相关的劳动规章制度和签订集体合同，与企业的劳动合规实践情况不符。据此，从便利数据跨境流动的立法意图来看，对“劳动规章制度”和“集体合同”两个条件更合理的解释应该是：企业具备符合要求的劳动规章制度，如企业也签订了集体合同的，则集体合同也应符合要求。所以这里的“劳动规章制度和集体合同”，是“劳动规章制度和集体合同（如有）”的意思。

此外，需要注意的是，并非所有的员工个人信息出境活动只要纳入依法制定的劳动规章制度和依法签订的集体合同就可以达到豁免条件，还要看该等出境活动是否是有关跨境人力资源管理所确需的。新规采用的措辞是“确需”而不是《个人信息保护法》第十三条作为同意的例外项下的“必需”。考虑到新规出于便利数据跨境流动的考量，在出境申报豁免语境下的“确需”应可理解为是比作为同意的例外语境下的“必需”更宽松的要求。但“确需”是否意味着可以突破《个人信息保护法》项下的“必要性”原则或松动“必要性”标准仍有待澄清或验证。

从新规第五条第二款的表述来看，跨境人力资源管理这一豁免情形的适用范围限定于员工，且要求企业具备符合条件的劳动规章制度或集体合同。由于求职者并未正式入职企业，既不会受到企业内部规章制度的约束，也没有与企业签订集体合同，因此，严格来说，求职者的个人信息出境不符合新规跨境人力资源管理豁免的适用条件。同时，我们也了解到，新规出台前，网信部门也曾在安全评估中否定过部分企业求职者个人信息出境的必要性。

对于实习生或第三方员工而言，新规没有使用劳动法项下的“劳动者”或“职工”的概念，而是使用了“员工”的概念，但没有对“员工”给出定义。因此，“员工”是否可以突破与用人单位建立劳动关系的“劳动者”的范畴有待澄清或验证，企业不能当然将实习生、劳务外包人员、劳务派遣人员等视为员工而适用数据出境申报的豁免情形。

新规第五条第一款明确，为订立、履行个人作为一方当事人的合同所必需，如跨境购物、跨境汇款、机票酒店预订、签证办理等，必须向境外提供个人信息的，免于进行出境申报。根据该条规则，要适用本条豁免情形，所涉合同必须是与个人本人直接签订，因此实践中B2B业务中基于供应商管理、客户关系管理从而发生的企业联系人个人信息出境的情形将无法据此豁免。

那么，当个人信息处理者本身不是与个人订立的合同的相对方时，是否还可以适用该等豁免情形呢？例如，在B2B2C的业务中，批发商为履行零售商与用户的合同，将用户个人信息提供给境外生产商，为客户提供产品定制或维修服务，是否能适用该等豁免？虽然条文没有明确个人信息处理者需为合同相对方，但从该条文所列举的常见跨境业务场景来看，似乎暗含了个人信息处理者与个人之间的合同相对性。从豁免情形的设置目的上看，也不宜对该情形的适用范围做扩大解释。

此外，订立、履行合同的豁免情形是否还适用于新规明确列举场景之外的其他合同类型，有待在规则层面进一步澄清。但从规则文本上来看，在列举场景后使用了“等”的表述，保留了对适用场景进行扩大解释的可能。

如企业研判后确定该企业出境重要数据和个人信息不适用新规明确规定的豁免场景，企业需要进一步计算个人信息出境人次和敏感个人信息出境人次，从而研判是否达到出境申报门槛。

新规对于触发安全评估或标准合同/认证的门槛标准进行了重新划定。从计算周期角度，此前《数据出境安全评估办法》和《个人信息出境标准办法》规定，出境人数应自上一年度1月1日起算。新规则将起算点改为当年度1月1日，且出境人数应计算至申报之日⁹。换言之，是否触发出境申报，取决于数据处理者当年实际发生的数据出境情况。企业就未来可能达到门槛标准的数据出境活动，提前向网信办提交安全评估或备案，网信办可能不会受理。

而从计算人数角度，新规取消了对于累计处理100万人以上个人信息数据处理者的安全评估要求。非CIIO只需根据其当年的个人信息出境数量，来确定是否触发出境申报。此外，新规对于一般个人信息、重要数据和敏感个人信息设置了差别化的数据出境申报门槛。如出境活动既不涉及敏感个人信息和重要数据，也未达到出境申报的数量门槛的，则无需进行出境申报。具体规则如下：

从计算方法而言，网信办在答记者问中明确，出境人数数量应是以自然人为单位去重后的统计结果为准。同时，满足新规第三条、第四条、第五条、第六条豁免情形的数据出境活动所涉自然人数量，也不应纳入出境人数统计。

实践中，由于企业上线新系统或应用程序，企业在当年度内的出境人数可能会在上线新系统后短时间内急剧上升。若在当年度上半年，企业出境人数达到了标准合同数量门槛，但下半年预计将达到安全评估数量门槛标准的，企业是否必须先完成标准合同/认证，再完成安全评估？抑或，在此情形下，企业只需在达到安全评估门槛标准时完成一次性安全评估即可？针对这一问题，立法和监管部门并未给出明确指引。现阶段，企业或可考虑通过对于全年度数据出境人数的整体规划，例如避免在当年度达到安全评估的出境人数门槛，或选择当年度年末的时间节点一次性出境所有需要向境外提供的个人信息，从而避免先后触发标准合同/认证和安全评估，带来重复性的合规负担。

9 网信中国：《<促进和规范数据跨境流动规定>答记者问》，https://mp.weixin.qq.com/s/-Y-dY_HL21jHTFQsMbeiVQ， 最后访问日期：2024年5月9日。

新规生效后，对于出境数量较小且非CIIO的企业而言，判断出境数据中是否含有敏感个人信息，将直接决定其是否需要进行出境申报。根据新规第七条和第八条，如上述企业出境数据中含有敏感个人信息，即使只涉及一名自然人，该等企业也会受制于出境申报要求，除非出境活动满足新规豁免情形；而若该等企业出境数据中不含有敏感个人信息且未达到出境申报的数量门槛的，则企业无需就此进行出境申报。

那么，企业应该如何识别敏感个人信息？有地方网信部门在安全评估及标准合同备案指引¹⁰中建议，个人信息与敏感个人信息可以参考《GB/T35273-2020 信息安全技术 个人信息安全规范》（个人信息安全规范）进行判定。然而，个人信息安全规范提供的敏感个人信息示例，并没有涵盖《中华人民共和国个人信息保护法》（《个人信息保护法》）项下明确列举的敏感个人信息种类，例如特定身份和不满十四周岁未成年人个人信息。此外，不同地区网信部门对于个人信息敏感程度及敏感个人信息所涉具体字段的判定，也缺乏统一的标准。这将使得企业在出境与个人隐私密切相关、但并未被个人信息安全规范或《个人信息保护法》明确列为敏感个人信息的数据时，面临合规上的不确定性。我们建议企业在出境这类数据前，就该等信息的定性问题与地方网信部门进行充分沟通，或对拟出境的个人信息采取脱敏乃至匿名化措施，降低其被认定为敏感个人信息的可能。

 10例如《江苏省个人信息出境标准合同备案指引（第一版）》。

由上述分析可知，企业若要适用新规提供的豁免情形¹¹，需要满足相应的先决条件。目前，新规及网信部门并没有判断先决条件成立与否的具体标准。因此，现阶段企业对于出境活动是否触发出境申报的研判，有可能与网信部门事中或事后的监管意见存在出入。如网信部门事中或事后认为企业未进行出境申报的数据出境活动不符合新规豁免情形的适用条件的，企业可能会因此面临违规风险。

在新规豁免规则尚待明确的情况下，若企业存在已达到出境申报触发门槛的数据出境活动（例如当年用户出境数据量已超过十万人次），则不妨将其他出境活动，例如跨境人力资源管理场景下的员工个人信息出境，也一同申报。这一合规策略的优势在于，企业无需自行判断相关数据出境活动是否满足豁免条件及其他数据出境活动需要遵守的法定要求，而可以直接从网信部门取得对于数据出境活动是否符合合法、正当、必要的明确判断和背书，从而最大限度降低数据出境的违规风险。

以员工个人信息出境为例，如涉及将员工的敏感个人信息出境且企业希望适用有关豁免，则企业需要自行判断该等出境活动是否符合合法、正当、必要三性，并对此承担责任。企业也可以选择不适用豁免，而基于将敏感个人信息出境主动适用出境申报，后者的好处在于有关出境活动事前得到了监管部门的判断和背书，从而带来确定性。可见，适用豁免情形是否是最佳合规策略并非一概而论，而应该根据企业自身情况个案分析。

 11《促进和规范数据跨境流动规定》第五条：“数据处理者向境外提供个人信息，符合下列条件之一的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证：

（一）为订立、履行个人作为一方当事人的合同，如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等，确需向境外提供个人信息的；

（二）按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的；

（三）紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息的；

……”

根据新规第十条的规定，无论是否豁免出境申报，数据处理者都需依法履行数据出境相关的法律义务，包括告知有关数据处理规则、取得个人单独同意、进行个人信息保护影响评估等。

对于被豁免出境申报的企业来说，企业需要谨慎考虑在应对未来监管部门检查或发生数据安全事件时，如何举证其已充分履行合规义务。因此，企业应当按照《个人信息保护法》的要求，留存个人信息保护影响评估报告至少三年，并保留发布的隐私政策文本以及个人签署的同意函等书面证据。

那么，在满足豁免情形后，企业是否还有必要与境外接收方签订标准合同？根据新规，如出境活动满足豁免情形，数据处理者将免于申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。若严格按照文义解释来理解这一规则，豁免情形成立后，数据处理者与境外接收方不再有针对数据出境活动订立标准合同或其他法律文件的法定强制义务。

然而，签署数据处理协议，在实务角度来看仍然是必要的，甚至是必须的。若数据处理者委托境外接收方处理数据，按照《个人信息保护法》，数据处理者仍有必要与作为受托人的境外接收方，以协议形式明确约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等¹²。若数据处理者与境外接收方共享个人信息，尽管没有法律强制性要求，参考个人信息安全规范¹³和企业的良好合规实践，数据处理者与境外接收方仍宜订立数据处理协议以确定各方数据保护的权利、义务、责任。

在豁免出境申报的情况下，数据处理者和境外接收方间的数据处理协议理论上无需严格按照标准合同来订立。双方可以在标准合同模版的基础上，根据具体情况对争议解决、个人信息主体主张权利的路径等条款进行协商和调整。

 12《中华人民共和国个人信息保护法》第二十一条。

 13《GB/T35273-2020 信息安全技术 个人信息安全规范》第9.2 d)项：“个人信息控制者共享、转让个人信息时，应充分重视风险。共享、转让个人信息，非因收购、兼并、重组、破产原因的，应符合以下要求：……d) 通过合同等方式规定数据接收方的责任和义务。”

新规中提及的豁免情形可以分为以下几类：

1.不含个人信息或重要数据。根据新规第三条，不含个人信息或重要数据的数据出境免予出境申报。事实上，不含个人信息或重要数据的数据出境本就未纳入此前数据出境监管的范围。

2.数据过境。新规第四条规定，数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供，处理过程中没有引入境内个人信息或者重要数据的，免予出境申报。从字面来看，即便对来自境外的个人信息在境内进行处理（包括存储、分析、使用等），只要没有与境内个人信息或重要数据出现混合、融合，此类数据的再出境不在出境申报范围。

3.场景豁免。根据新规第五条第一至三款，一些个人信息出境具备充分必要性的场景，可以免予出境申报，包括（1）订立、履行个人作为一方当事人的合同而出境个人信息，（2）跨境人力资源管理下的员工个人信息出境以及（3）紧急情况下为保护自然人的生命健康和财产安全发生的个人信息出境。该等豁免场景没有因为数据处理者是CIIO而不适用。

4.数量豁免。根据新规第五条第四款，CIIO以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）的，免予出境申报。如果数据处理者是CIIO，虽然当年出境的一般个人信息未达到10万人或敏感个人信息未达到1万人，仍应开展安全评估，除非符合新规第三、第四、第五、第六条规定的豁免场景。

5.自贸区负面清单豁免。根据新规第六条，自贸区内数据处理者向境外提供负面清单外的数据，可以免予出境申报。由于场景豁免和数量豁免都仅针对个人信息出境，而自贸区负面清单的范围通常不会小于重要数据的范围，因此，新规所列举的豁免情形对于重要数据的出境几乎没有影响，换句话说，根据新规重要数据的出境无法豁免，即便在自贸区内。

新规第六条明确，自由贸易试验区在国家数据分类分级保护制度框架下，可以自行制定区内需要纳入出境申报的数据清单，也即负面清单。负面清单经省级网络安全和信息化委员会批准后，报国家网信部门、国家数据管理部门备案。自由贸易试验区内数据处理者向境外提供负面清单外的数据，可以免于出境申报。

新规施行前，有的自由贸易试验区数据跨境流动政策¹⁴及管理办法¹⁵计划用“白名单”形式探索便利化的数据跨境监管机制，即：制定一般数据清单，允许自由贸易试验区内企业对于清单上的数据自由流动。新规首次引入了负面清单模式。相较白名单，负面清单将赋予了自由贸易试验区更大的自主权，进一步放开自由贸易试验区内企业数据跨境流动限制。

不过，参考外商投资市场准入的制度改革路径，负面清单管理模式的确立，通常需要以白名单制度的实践经验为基础。通过制定可自由流动的数据清单，相关部门可以对企业的数据处理和出境情况进行摸排，并对数据出境过程中可能发生的风险有更清晰的了解。在白名单基础上再制定负面清单从而在更大范围内放开数据跨境流动，可能是更为稳妥的做法。

此外，自由贸易试验区政策通常会对适用企业设置限制条件。例如，有些地区可能会要求企业注册地在自由贸易试验区内，或在自由贸易试验区开展数据跨境流动相关活动，方可享受数据跨境流动便利政策¹⁶。企业可进一步关注各自由贸易试验区的具体实施细则的制定和政策动向。

近期，自贸区数据跨境流动负面清单和白名单均有新动向。今年5月9日，中国（天津）自由贸易试验区率先发布《中国（天津）自由贸易试验区数据出境管理清单（负面清单）（2024年版）》。天津负面清单总体分为两部分，包括：“需要通过数据出境安全评估的数据清单”和“需要订立个人信息出境标准合同、通过个人信息保护认证的数据清单”。2024年5月17日，中国（上海）自由贸易试验区临港新片区发布了全国首批数据跨境场景化一般数据清单及清单配套操作指南，涵盖了智能网联汽车、公募基金、生物医药三个关键领域。

不过，适用白名单的数据出境活动仍需要在自贸区备案，因此，与负面清单管理项下无需申报的模式相比，从是否纳入政府监管角度，白名单管理项下的备案制度与新规的放开事前监管，注重事中、事后监管的思路并不一致。但对于纳入白名单管理的行业或企业来说，白名单管理有其独特价值。因此，是否通过自贸区开展数据出境活动需要综合考量，尤其之前未通过安全评估或标准合同备案的数据出境活动或在自贸区外合规成本过高或无法实现的数据出境活动。

 14《国务院关于进一步优化外商投资环境加大吸引外商投资力度的意见》。

 15《中国（上海）自由贸易试验区临港新片区数据跨境流动分类分级管理办法（试行）》。

 16例如《中国（上海）自由贸易试验区临港新片区数据跨境流动分类分级管理办法（试行）》第三条：“本办法适用于在临港新片区范围内登记注册的，或在临港新片区开展数据跨境流动相关活动的企业、事业单位、机构协会和组织等数据处理者。”

按照网信办在答记者问中的回复口径，新规施行前已经通过数据出境安全评估的数据出境活动，数据处理者可以根据申报事项继续开展；新规施行前未通过或者部分未通过安全评估而根据新规可以免于申报安全评估的数据出境活动，数据处理者可以依法通过订立标准合同、通过认证等途径向境外提供个人信息；新规施行前已申报安全评估或提交标准合同备案、但根据新规无需开展上述程序的，数据处理者可以按照原程序进行，也可以向所在地省级网信部门撤回申报、备案。

从监管实践来看，在新规发布后，数据出境申报相较之前有了明显的放宽迹象，出境申报的通过率明显增加。据报道，北京率先探索外商投资企业数据出境安全评估申报“绿色通道”，目前已覆盖汽车、医药、民航、零售、人工智能5个行业117家企业，全面助力企业合规提质增效。

需要注意的是，新规只是简化了数据出境的前置手续，但数据出境活动仍然需要满足合法性、正当性、必要性（合称三性）要求。换言之，新规带来的最大变化主要在程序方面。原先数据出境活动是否满足三性要求的判断均由网信部门负责，新规出台后，符合豁免情形的数据出境活动则将由企业自行开展个人信息保护影响评估，评估是否满足三性要求。然而，目前，尚未有相关规则允许数据处理者降低三性的判断标准。基于此，我们理解，对于已经被网信部门否定的数据出境活动，若企业根据新规再次申报安全评估或订立标准合同并备案，网信部门可能不会推翻先前对数据出境活动三性的判断结论；而若这类数据出境活动可能落入新规的豁免范围，企业论证的支持出境的个人信息保护影响评估结论，也可能被网信部门在事中、事后监管中挑战。我们建议，如果企业计划继续进行数据出境活动，且该等活动并未取得网信部门批准，企业应在出境该等数据前，与所在地网信部门再次沟通。

网信办发布的《数据出境安全评估申报指南（第二版）》《个人信息出境标准合同备案指南（第二版）》（合称新版指南）规定，符合《个人信息保护法》第三条第二款、在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动（跨境个人信息处理），属于数据出境活动。

跨境个人信息处理是否属于数据出境活动，在实务和理论层面都曾存在很大争议。新版指南首次官方澄清了这一问题，明确境外实体直接收集境内自然人个人信息并在境外处理的情况（例如境外实体开发和运营的App直接收集和分析中国注册用户的个人信息），构成数据出境。因此，跨境个人信息处理，也需要遵守上文提到的数据出境监管规则，按照同样标准研判是否需要进行出境申报。

事实上，在新版指南出台之前，各地网信部门已要求企业就跨境个人信息处理活动进行出境申报。在实际申报时，由于跨境个人信息处理场景中没有境内的个人信息处理者，出境申报应由谁提交，以及申报程序所要求与境外接收方签订的标准合同/法律文件应该如何签订，目前没有明确的规则。参考有关监管实践及项目经验，由于《个人信息保护法》规定，跨境个人信息处理场景下的境外个人信息处理者，应当在中华人民共和国境内设立专门机构或者指定代表（境内代表），负责处理个人信息保护相关事务，因此，网信部门通常会要求境内代表负责出境申报，并由境内代表与境外的个人信息处理者签订标准合同或法律文件。

那么，企业应当如何选择境内代表？实践中，境外个人信息处理者与境外代表，通常不是单纯的代理关系，而是有比较密切的业务合作或组织管理关系，例如境外个人信息处理者在中国境内的关联公司，或者境内供应商等商业伙伴。由于境外执法存在比较大的现实困难和不确定性，网信部门通常倾向于要求境内代表承担个人信息处理者的法律责任。

特别声明：以上所刊文章仅代表作者本人观点，不代表作者所在律师事务所或其律师的法律意见或建议。