法评 | 数据出境系列文章之三——《促进和规范数据跨境流动规定》要点解读与合规建议

《网络安全法》《数据安全法》与《个人信息保护法》共同构建起了数据合规的规范体系，并形成数据出境三大制度，即数据出境安全评估、个人信息出境标准合同、个人信息保护认证。

对于需要申报数据出境安全评估的情形，《数据出境安全评估办法》第四条规定了四种情形：（一）数据处理者向境外提供重要数据；（二）关键信息基础设施运营者（以下简称“CIIO”）和处理100万人以上个人信息的数据处理者向境外提供个人信息；（三）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；（四）国家网信部门规定的其他需要申报数据出境安全评估的情形。对于需要订立个人信息出境标准合同的情形，《个人信息出境标准合同办法》第四条也规定了四种情形：（一）非CIIO；（二）处理个人信息不满100万人的；（三）自上年1月1日起累计向境外提供个人信息不满10万人的；（四）自上年1月1日起累计向境外提供敏感个人信息不满1万人的。可见，数据出境安全评估与个人信息出境标准合同的适用情形相互补充，且数据出境安全评估的适用条件更为严格。

而对于需要通过个人信息保护认证的情形，法律并无明确规定。《关于实施个人信息保护认证的公告》中提到“国家市场监督管理总局、国家互联网信息办公室决定实施个人信息保护认证，鼓励个人信息处理者通过认证方式提升个人信息保护能力。”《个人信息保护认证实施规则》第一条“规定了对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。”可知，不仅个人信息跨境可以采取个人信息保护认证的方式，个人信息处理者的各种处理活动均可开展个人信息保护认证。此外，《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》确立了个人信息保护认证的自愿认证原则，即鼓励开展个人信息跨境处理活动的个人信息处理者自愿申请个人信息保护认证，表明其并未对个人信息保护认证的适用情形进行进一步的限缩。

虽然上述《数据出境安全评估办法》《个人信息出境标准合同办法》等法律法规对数据出境三大制度适用情形作了具体规定，但在数据出境实践中，对于是否满足相应规定情形以及是否应当适用数据出境三大制度等问题，诸多企业仍然存在疑问。为此，国家互联网信息办公室（以下简称“国家网信办”）在《规范和促进数据跨境流动规定（征求意见稿）》（以下简称“《征求意见稿》”）的基础上于2024年3月22日正式发布了《促进和规范数据跨境流动规定》（以下简称“《规定》”），并于公布之日起施行，旨在澄清数据出境三大制度适用当中存在的问题，同时规定多项豁免情形以适当减轻企业数据出境的合规负担，在保障国家数据安全与保护个人信息权益的前提下，进一步促进和规范数据依法有序自由流动，不断推进我国高水平对外开放。

本文试图根据《规定》明确数据出境最新监管趋势变化，并对《规定》有关数据出境三大制度的豁免等重要问题进行解读，以期为企业开展数据出境活动提供合规建议，助力企业及时调整数据出境合规业务。

（一）重要数据认定标准由“自行鉴别”转变为“被告知或者公开发布”

虽然《数据安全法》第21条^[1]规定由各地区、各部门按照数据分类分级保护制度确定本地区、本部门及相关行业、领域的重要数据具体目录，但目前只有汽车行业发布《汽车数据安全管理若干规定（试行）》并于其中规定了六类重要数据，其他地区、部门、行业或领域并未明确其重要数据，故汽车行业外的其他企业在识别自身重要数据时只能采取自行鉴别的方式。此外，虽然《数据出境安全评估办法》第19条将重要数据界定为“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”，《信息安全技术 重要数据识别指南（征求意见稿）》也对重要数据的识别提供了指引，但在实践中面对纷繁复杂的场景如何准确识别重要数据仍是数据出境企业需要考虑的问题。

为解决数据出境企业对于重要数据识别困难的问题，同时降低企业因重要数据鉴别错误而导致的数据出境合规风险，《规定》第2条明确，未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。即数据出境企业若既没有被监管部门告知其含有重要数据，也没有查到监管部门发布的相关行业重要数据目录，那么就无需按照《数据出境安全评估办法》的规定申报数据出境安全评估。因此，《规定》将重要数据的认定标准由企业自行鉴别重要数据转变为由相关部门、地区告知企业或者公开发布重要数据，从而减轻了企业自行鉴别重要数据的压力。然而，数据出境企业仍然应当按照相关规定识别、申报重要数据，即仍然具有识别并申报重要数据的义务。

（二）个人信息出境三大制度适用条件由“主体条件”转变为“数量条件”，起算标准由“上年累计”转变为“当年累计”

《数据出境安全评估办法》规定处理100万人以上个人信息的数据处理者向境外提供个人信息时需要申报数据出境安全评估，即不管该数据处理者实际向境外提供何种数量的个人信息（比如仅向境外提供1人个人信息），只要其是处理了100万人以上个人信息的数据处理者，便需要申报数据出境安全评估。这将增加此类数据处理者个人信息出境的合规成本，不利于数据的跨境流动。为减轻数据出境合规负担，促使数据出境合规制度设置更为合理，《规定》第5、7、8条将个人信息出境三大制度的适用条件由主要关注数据出境主体转变为主要关注数据出境数量。《规定》规定CIIO以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）的，不需要履行数据出境三大制度；CIIO以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息的，应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证，即不必申报数据出境安全评估；CIIO以外的数据处理者向境外提供重要数据，或者自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息）或者1万人以上敏感个人信息的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。

《数据出境安全评估办法》规定，自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息时应当申报数据出境安全评估。可知以往有关个人信息出境的法律文件在判断个人信息出境企业是否需要履行个人信息出境三大制度时，以上一年度1月1日起累计数据出境数量作为起算标准，关注企业上一年度数据出境数量。然而，此种起算标准将导致上一年度数据出境数量多而本年度数据出境数量少的企业不得不申报数据出境安全评估，造成数据出境数量与合规路径选择不相适应。为此，《规定》第5、7、8条修改了上述条款，从关注上一年度数据出境数量转变为仅关注本年度数据出境数量，实现了数据出境数量与合规路径选择的匹配协调。

（三）数据出境监管立场由“相对严格”转变为“适度豁免”

正如规定名称由《征求意见稿》中的“规范和促进”改为《规定》中的“促进和规范”，监管部门相比于保障数据出境安全，更倾向于促进数据跨境流动。与先前规定相比，《规定》针对多种数据出境场景制定了豁免适用数据出境三大制度的规定，使得数据出境监管思路由较为严格监管转变为适度豁免数据出境三大制度的适用。且《规定》放宽了数据出境的合规要求，自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息）或者1万人以上敏感个人信息，而非自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者才需申报数据出境安全评估。可见，国家网信办力求在保障数据安全的基础上促进数据跨境流动，体现了妥善平衡数据安全与数据流动关系的监管立场，将有助于加大我国数据对外开放力度。此外，《规定》借鉴了既有国际实践，推动世界数据安全保护标准协调一致，将促使我国数字经济与世界更好地接轨。

关于个人信息（不含敏感个人信息）数据出境的新旧规对比如下：

虽有上述规定，但请留意，如出境数据含有敏感个人信息，则数量标准仍应适用原法规的规定。区别在于，起算时间同样从“上一年度的1月1日”调整为“当年度的1月1日”。

（一）数据出境三大制度的豁免情形

1.国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等的豁免

《规定》第3条规定国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供，在不包含个人信息或者重要数据的情形下，不需要履行数据出境三大制度。一方面，国际贸易、跨境运输、跨国生产制造与市场营销等活动为企业的日常生产经营活动，包含大量尚无必要履行数据出境三大制度的普通数据，而基于日常业务或产业分工需要，上述数据需要跨境传输。为减少相关企业数据出境的合规负担，《规定》对其履行数据出境三大制度的义务进行了豁免，在不包含个人信息与重要数据的前提下，国际贸易、跨境运输、跨国生产制造与市场营销等活动的数据出境不必遵循数据出境三大制度。另一方面，国际学术合作交流也具有数据跨境传输的需要，而学术合作所涉数据不一定皆包含个人信息或者重要数据，因而此类数据对国家数据安全威胁也较小，为方便国际学术交流并促进我国科技进步，《规定》对此类数据的跨境传输也作出了豁免适用数据出境三大制度的规定。整体观之，该条款与《数据出境安全评估办法》《个人信息出境标准合同办法》等办法规定的个人信息与重要数据应当履行数据出境三大制度的条款相互协调，保证了法律适用的延续性与统一性。此外，《规定》在《征求意见稿》的基础上增加了“跨境运输”数据出境场景，从而与企业实际数据出境需求更相契合。

2.境外个人信息中转的豁免

《规定》第4条明确数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供，处理过程中没有引入境内个人信息或者重要数据的，不需要履行数据出境三大制度，即境外个人信息在境内中转无需遵守数据出境三大制度。《规定》的上述规定也顺应了《信息安全技术 数据出境安全评估指南（征求意见稿）》第3.7条的相关规定，即非在境内运营中收集和产生的个人信息和重要数据经由本国出境，未经任何变动或加工处理的，不属于数据出境；非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境，不涉及境内运营中收集和产生的个人信息和重要数据的，不属于数据出境。此外，《规定》将境外个人信息中转的表述由《征求意见稿》的“不是在境内收集产生的个人信息向境外提供”更改为“数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供，处理过程中没有引入境内个人信息或者重要数据”，使得表述更为准确。

3.特定必要情形的豁免

《规定》第5条明确了四类无需履行数据出境三大制度的特定必要情形，分别为：（一）为订立、履行个人作为一方当事人的合同，如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等，确需向境外提供个人信息的；（二）按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的；（三）紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息的；（四）CIIO以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）的。且上述所称向境外提供的个人信息，不包括重要数据。

第一类情形列举了个人为订立、履行其合同而确需向境外提供个人信息的常见应用场景，为具有类似业务场景的企业数据出境提供了参考。且《规定》在《征求意见稿》的基础上增加了“跨境寄递”“跨境支付”“跨境开户”“考试服务”场景，帮助企业更方便地对照《规定》判断其应用场景是否属于第一类情形。第二类情形为跨国公司依法有序将中国境内员工个人信息存储到境外集团服务器而不需遵守数据出境三大制度提供了可能，因为公司员工个人信息的跨境传输常常仅供公司内部留存所用，通常不会对我国公民个人信息权益产生较大影响。然而，根据《规定》的要求，跨国公司在向境外提供员工个人信息时应当将该内容写入依法制定的劳动规章制度或者依法签订的集体合同当中。第三类情形保护了自然人的生命健康与财产安全，充分体现了跨境传输应当以保护公民安全为前提的立法理念。第四类情形则将《征求意见稿》中规定的“预计一年内向境外提供不满1万人个人信息的”更改为“自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）的”，一方面消除了“预计一年”在起算时间上的争议，另一方面放宽了豁免条件，减轻了企业数据出境合规压力。

整体而言，《规定》第5条与《个人信息保护法》第13条有关条款进行了一定程度的衔接。根据《个人信息保护法》第4条第2款，“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等”，我们理解，个人信息的跨境提供亦是个人信息处理的一种方式。根据《个人信息保护法》第13条^[2]，为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需，个人信息处理者不需取得个人同意即可处理个人信息。根据个人信息处理的前述定义，我们进一步理解，在《个人信息保护法》第13条规定的前述情形下，个人信息的跨境提供亦应无需取得个人同意。但是，《个人信息保护法》第39条进一步规定，“个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意”。显然，上述两个法条的规定之间存在矛盾，就二者之间的关系目前在理论和实务中也仍然存在争议。《规定》第5条虽然未能解决跨境提供个人信息是否需要取得个人单独同意的问题，但是至少明确了上述特定必要情形无需履行数据出境三大制度。

4.自由贸易试验区非负面清单的豁免

《规定》第6条规定，自由贸易试验区在国家数据分类分级保护制度框架下，可以自行制定区内需要纳入数据出境三大制度管理范围的数据清单（以下简称“负面清单”），经省级网络安全和信息化委员会批准后，报国家网信部门、国家数据管理部门备案。自由贸易试验区内数据处理者向境外提供负面清单外的数据，可以不履行数据出境三大制度。上述规定满足了自由贸易试验区较大的数据出境需求，将有助于自由贸易试验区自由规范地进行数据跨境流动。此外，《规定》在《征求意见稿》的基础上增加了“国家数据管理部门”作为备案主体之一，规范了自由贸易试验区负面清单的备案流程，也符合国家数据局协调推动数据基础制度建设等工作职责。

5.个人信息出境特定数量的豁免

《规定》第5条第1款第4项已明确规定，CIIO以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）的，豁免履行数据出境三大制度。此外，《规定》第8条规定，CIIO以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息的，应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证，即豁免申报数据出境安全评估。属于《规定》第3-6条规定情形的，从其规定。然而，《规定》第7条规定，CIIO向境外提供个人信息或者重要数据时需要申报数据出境安全评估；CIIO以外的数据处理者向境外提供重要数据，或者自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息）或者1万人以上敏感个人信息时，也需要申报数据出境安全评估。属于《规定》第3-6条规定情形的，从其规定。

《规定》关于数据出境三大制度及豁免情形可总结归纳为如下表格：

（二）数据出境安全评估结果有效期的延长

《数据出境安全评估办法》第14条规定，通过数据出境安全评估的结果有效期为2年，自评估结果出具之日起计算。有效期届满，需要继续开展数据出境活动的，数据处理者应当在有效期届满60个工作日前重新申报评估。而《规定》第9条修改了上述内容，即通过数据出境安全评估的结果有效期为3年，自评估结果出具之日起计算。有效期届满，需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的，数据处理者可以在有效期届满前60个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请。经国家网信部门批准，可以延长评估结果有效期3年。同时根据《规定》第13条，《数据出境安全评估办法》《个人信息出境标准合同办法》等相关规定与《规定》不一致的，适用《规定》。可见，《规定》延长了数据出境安全评估的结果有效期，且可以在未发生需要重新申报数据出境安全评估情形时延长评估结果有效期，更加方便了企业数据出境。

（三）数据处理者的个人信息保护、安全保护与补救义务

《规定》第10、11条规定了数据出境企业的个人信息保护义务、数据安全保护义务与补救义务。一方面，《规定》第10条规定，数据处理者向境外提供个人信息的，应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务，保障个人信息安全。上述条款主要强调了数据出境企业对个人信息的保护义务，原因在于个人信息对于个人权益保障与乃至国家数据安全均有极为重要的影响。另一方面，《规定》第11条规定，数据处理者向境外提供数据的，应当遵守法律、法规的规定，履行数据安全保护义务，采取技术措施和其他必要措施，保障数据出境安全。发生或者可能发生数据安全事件的，应当采取补救措施，及时向省级以上网信部门和其他有关主管部门报告。该条款不仅要求数据出境企业在实际发生相关安全事件时采取补救与报告措施，还要求数据出境企业在发现可能发生数据安全事件时同样履行补救义务，这将增加网信部门等监管部门对数据出境的事前监管力度，防患于未然。

（四）网信部门的事前事中事后监管

《规定》第12条规定了各地网信部门的事前事中事后监管义务。一方面，各地方网信部门应当加强对数据处理者数据出境活动的指导监督，健全完善数据出境安全评估制度，优化评估流程。另一方面，各地网信部门应当强化事前事中事后全链条全领域监管，发现数据出境活动存在较大风险或者发生数据安全事件的，要求数据处理者进行整改，消除隐患，从而强化事前与事中监管；而对拒不改正或者造成严重后果的数据出境企业，应当依法追究法律责任，从而保障数据安全，以强化事后监管。此外，《规定》将拒不改正或者造成严重后果的数据处理者可能承担的法律后果由《征求意见稿》的“依法责令其停止数据出境活动”更改为“依法追究法律责任”，可见，国家网信办增加了拒不改正或者造成严重后果的数据处理者的法律责任，原因在于企业数据出境不仅涉及《网络安全法》《数据安全法》与《个人信息保护法》，还涉及《刑法》《民法典》等法律法规，应当根据涉及的多种法规追究拒不改正或者造成严重后果的数据处理者的法律责任。

虽然《规定》规定了较多豁免适用数据出境三大制度的情形，在行政程序层面体现出了一定程度的放松监管与促进数据跨境流动的监管趋势，但是相应地提升了事中事后监管的法律地位，因此我们建议涉及数据出境的企业就其数据出境行为更审慎地进行判断，根据《规定》的发布适时调整企业数据出境合规思路，积极履行数据出境相关义务。基于我们长期从事数据出境合规工作的经验，我们提出如下三点数据出境合规建议：

第一，根据《规定》及时做好应对与准备工作。一方面，数据出境企业应当积极开展数据出境自评估工作，不仅应当评估企业自当年1月1日起累计向境外提供的个人信息和敏感个人信息数量，进而判断是否需要履行数据出境三大制度，还应当评估企业相关业务场景是否适用《规定》有关豁免数据出境三大制度的规定。另一方面，数据出境企业应当及时关注相关部门与地区公开发布的重要数据目录，并随时接收监管部门对本企业重要数据认定的通知，以帮助企业准确认定自身重要数据并以此作为申报数据出境安全评估与否的依据。

第二，根据数据出境企业实际情况适时调整合规策略。根据国家网信办答记者问，对于在2024年3月22日前已经通过数据出境安全评估的数据出境企业，其可以根据申报事项继续开展相应数据出境活动；对于在2024年3月22日前未通过或者部分未通过数据出境安全评估但根据《规定》免予申报数据出境安全评估的数据出境企业，其可以依法通过订立个人信息出境标准合同或者申请个人信息保护认证等其他途径向境外提供个人信息；对于在2024年3月22日前已经申报数据出境安全评估、提交个人信息出境标准合同备案但根据《规定》无需开展上述程序的数据出境企业，其可以按照原程序进行，也可以向所在地省级网信部门撤回申报、备案。若数据出境企业计划撤回申报、备案，那么建议积极与网信部门沟通具体的撤回流程。此外，申报数据出境安全评估、备案个人信息出境标准合同、申请个人信息保护认证均可于线上进行。

第三，规范履行数据出境合规义务。虽然依据《规定》，不少数据出境企业被豁免了履行数据出境三大制度的义务，但根据《规定》第10条，数据出境企业仍然应当履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。此外，由于数据出境可能同时构成数据在不同实体之间的流动，相关实体之间可能还需要根据其所属的具体场景签订数据处理协议（包括但不限于标准合同等）此外，建议数据出境企业制作数据安全保护及数据安全事件报告，根据《规定》第11条的要求履行数据出境的安全保护与补救义务。

注释：

[1] 《数据安全法》第21条 国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护......各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。

[2] 《个人信息保护法》第十三条　符合下列情形之一的，个人信息处理者方可处理个人信息：

（一）取得个人的同意；

（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；

（三）为履行法定职责或者法定义务所必需；

（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；

（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；

（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；

（七）法律、行政法规规定的其他情形。

依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。

···作者简介···