《数据安全治理白皮书6.0》政策篇： 数据出境安全管理

近年来，随着数字经济的蓬勃发展，数据跨境活动日益频繁，数据处理者的数据出境需求快速增长，全球主要经济体对跨境数据流动提出越来越多的监管要求。数据跨境流通蕴含潜在风险，不仅会影响数据处理者的经济利益，还会给数据出境国家带来不可预估的安全隐患。

随着《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等规章相继出台，我国数据出境安全管理体系下的配套规章版图日渐清晰，为境内企业提供了更明确、细化的要求与指引。

《网络安全法》《数据安全法》《个人信息保护法》构建了中国数据出境的监管框架，涉及跨境服务的数据运营者可通过网信部门的数据出境安全评估、与境外接收方签订标准合同条款以及经专业机构进行个人信息保护认证三大路径使得数据出境落地实操。此外，《个人信息保护法》第三十八条规定“中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行”。目前，我国正积极深化改革、扩大开放，与世界主要国家、地区共同建设自由贸易区，降低贸易壁垒，促进货物、服务、人员等要素流通。数据要素作为现代国际贸易的重要组成，是扩大开放的重要构成，如 CPTPP、DEPA 等相关国际条约或协定，也是值得关注的数据跨境渠道。在此基础上，数据出境安全管理相关规定、办法陆续出台，逐步构建起规范化、便利化的数据跨境流动的具体规则体系。

自 2022 年下半年以来，多项数据出境相关的细化规定相继出台，对我国数据出境的路径和机制做出详细规定安排。

数据出境安全评估

国家互联网信息办公室于 2022 年 7 月、8 月相继发布了《数据出境安全评估办法》（以下简称《安全评估办法》）与《数据出境安全评估申报指南（第一版）》，标志着企业数据出境正式被纳入国家统一管理范畴。2024 年 3 月，国家互联网信息办公室发布了《促进和规范数据跨境流动规定》，对现有数据出境安全评估等数据出境制度的实施和衔接作出进一步明确，适当放宽数据跨境流动条件，适度收窄数据出境安全评估范围，在保障国家数据安全的前提下，便利数据跨境流动，降低企业合规成本，充分释放数据要素价值，扩大高水平对外开放，为数字经济高质量发展提供法律保障。

2024 年 3 月，国家互联网信息办公室发布了《数据出境安全评估申报指南（第二版）》，对申报数据出境安全评估的方式、流程和材料等具体要求作出了说明，对数据处理者需要提交的相关材料进行了优化简化。国家互联网信息办公室开通了“数据出境申报系统”，网址：https://sjcj.cac.gov.cn。数据处理者可以通过该系统申报数据出境安全评估。

个人信息跨境认证

2022 年 11 月 18 日，为贯彻落实《个人信息保护法》有关规定，根据《中华人民共和国认证认可条例》，国家市场监督管理总局、国家互联网信息办公室决定实施个人信息保护认证，鼓励个人信息处理者通过认证方式提升个人信息保护能力。国家市场监督管理总局、国家互联网信息办公室制定的《个人信息保护认证实施规则》（以下简称《认证规则》）中关于个人信息跨境提供认证制度的规定，明确了《个人信息保护法》第三十八条第二款规定的“按照国家网信部门的规定经专业机构进行的个人信息保护认证”的适用情形、基本原则、基本要求等规定，是我国个人信息跨境流动制度体系进一步完善的重要标志。另外，全国信息安全标准化技术委员会（现为全国网络安全标准化技术委员会）相继发布了《网络安全标准实践指南—个人信息跨境处理活动安全认证规范（V2.0）》和《信息安全技术 个人信息跨境传输认证要求》（征求意见稿），进一步明确了个人信息出境合规在个人信息保护认证制度方面的切实要求。 

个人信息出境标准合同

2023年2月、5月，国家互联网信息办公室相继发布《个人信息出境标准合同办法》（以下简称《标准合同办法》）与《个人信息出境标准合同备案指南（第一版）》。《标准合同办法》对标准合同具体适用条件、主要内容和备案要求等内容作出规定，并以附件形式提供了国家网信办制定的个人信息出境标准合同模板。

2024年3月，国家互联网信息办公室发布了《促进和规范数据跨境流动规定》，对现有个人信息出境标准合同等数据出境制度的实施和衔接作出进一步明确，适当放宽数据跨境流动条件。

2024年3月，国家互联网信息办公室发布了《个人信息出境标准合同备案指南（第二版）》，对备案个人信息出境标准合同的方式、流程和材料等具体要求作出了说明，对数据处理者需要提交的相关材料进行了优化简化。国家互联网信息办公室开通了“数据出境申报系统”，网址：https:// sjcj.cac.gov.cn。数据处理者可以通过该系统备案个人信息出境标准合同。 

2024年3月22日，国家互联网信息办公室公布《促进和规范数据跨境流动规定》（以下简称《跨境流动规定》），规定全文共计 14 条，对数据跨境流动监管制度做出重要调整，包括丰富数据出境安全管理和合规的工具箱、增加地方政府在数据出境安全管理体系中的角色权重等，构成了我国数据出境安全管理最新的制度革新。

规定出台背景

《跨境流动规定》出台之前，企业在开展数据出境活动时，应结合自身的主体类型、出境数据类型等综合判定，是否需要通过网信部门的数据出境安全评估、与境外接收方签订标准合同条款以及经专业机构进行个人信息保护认证等数据出境前置程序。具体而言：

1）若企业拟出境的数据为重要数据，则应申报并通过网信部门的数据出境安全评估。

2）若企业拟出境的数据为个人信息，在满足以下任一条件时，应申报并通过网信部门的数据出境安全评估：（i）企业被认定为关键信息基础设施运营者的；（ii）处理 100 万人以上个人信息的；（iii）自上年 1 月 1 日起累计向境外提供 10 万人个人信息的；或（iv）自上年 1 月 1 日起累计向境外提供 1 万人敏感个人信息的。

3）若企业拟出境的数据为个人信息，且未满足上述任一情形的，则可以选择（i）订立并备案个人信息出境标准合同，或（ii）通过专业机构的个人信息安全保护认证后开展个人信息出境。然而，在数据出境具体工作开展中，存在企业成本和负担较重、数据出境安全评估审查周期长、个人信息出境标准合同备案超负荷等问题，亟需相关监管部门适时出台相应规范予以优化调整。

重点调整概述

《跨境流动规定》结合数据出境安全评估、个人信息出境标准合同备案工作中的具体问题，强调根据实质风险适配相应的监管手段，调整了数据出境安全评估、标准合同备案工作的适用标准，针对仅涉及少量个人信息出境、具有强出境必要性的情形等特定情形下的企业予以实质性豁免。《跨境流动规定》释放出放宽事前监管的积极信号，但并未免除相关企业遵守包括《数据安全法》《个人信息保护法》在内的中国境内法律法规项下的一般数据保护义务，相关企业仍需确保自身在开展数据出境活动中的合规性，避免事中、事后的合规风险。

主要调整内容

基于现行数据出境的监管框架，在数据出境场景下履行前置程序的豁免情形、个人信息出境的触发门槛、自由贸易区的负面清单制度等方面，针对数据跨境流动监管制度做出实质性变更。

1）澄清无须履行数据出境前置程序的情形

《跨境流动规定》澄清了无须履行数据出境前置程序的情形，包括国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的不包含个人信息或者重要数据的数据出境，未被相关部门、地区告知或者公开发布为重要数据的数据出境，以及在境外收集和产生的个人信息传输至境内处理后向境外提供且处理过程中没有引入境内个人信息或者重要数据的情况。

2）履行数据出境前置程序的豁免情形

《跨境流动规定》列举了可豁免《个人信息保护法》第三十八条所规定的应履行数据出境前置程序的数据出境情形，包括：（a）为订立、履行个人作为一方当事人的合同，如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等，确需向境外提供个人信息的；（b）按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的；（c）紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息的。在上述场景下，企业无须履行相应的数据出境前置程序。 

根据《跨境流动规定》第 5 条第 2 款的规定，“按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的”，不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

这一规定针对涉及人力资源管理场景下企业内部员工个人信息的特定出境场景，且并未针对企业既有个人信息处理规模、拟出境的个人信息数量及类型做出任何限制性规定，因此明确豁免了在该特定场景下企业内部员工个人信息出境活动所应履行相应数据出境前置程序的义务，即企业只需充分论证企业内部员工个人信息出境是为了实施劳动规章制度和集体合同而向境外提供的必要性。

《跨境流动规定》第 5 条第 3 款规定了，“紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息的”，不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。在紧急情况下，企业在取得个人信息主体同意、履行相应数据出境前置程序均存在实践障碍。因此，《跨境流动规定》充分考虑实际情况，针对企业在面临紧急情况下为了保护个人信息主体的生命健康和财产安全等重要利益而所应开展的个人信息出境活动，豁免其履行数据出境前置程序的义务。

3）调整履行个人信息出境前置程序的触发门槛

针对现有个人信息出境规则中关于数据出境安全评估和个人信息标准合同备案或个人信息保护认证中的触发门槛所显现出来的问题，《跨境流动规定》予以相应调整，调整后的触发规则可操作性更强，减轻了明显低风险的少量数据出境活动的合规义务。

表《跨境流动规定》与《安全评估办法》《标准合同办法》触发规则对比

图《跨境流动规定》具体触发规则

由此，《跨境流动规定》不再根据数据处理者所处理的个人信息数量判断数据跨境合规路径，仅从数据出境的“流量”判断数据跨境的合规路径。但是，需要注意的是，在《跨境流动规定》项下，企业在开展个人信息出境活动前仍需要依据《个人信息保护法》第 39 条、第 55 条履行“告知 - 同意”义务以及开展个人信息保护影响评估。

4）自由贸易区的负面清单制度

《跨境流动规定》预留了自由贸易区（以下简称“自贸区”）自行制定数据清单的制度接口，有利于试点探索形成可自由流动的一般数据清单。根据《跨境流动规定》第 6 条的规定，“自由贸易试验区在国家数据分类分级保护制度框架下，可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（以下简称负面清单），经省级网络安全和信息化委员会批准后，报国家网信部门、国家数据管理部门备案。自由贸易试验区内数据处理者向境外提供负面清单外的数据，可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。” 

不同于针对特定出境场景或特定数据出境数量以下的数据出境行为的豁免情形，“负面清单”仅保留对负面清单上少量数据出境行为的监管，而放宽对负面清单之外其他数据出境活动的要求。这一制度规定是在上海、深圳等地试点基础上创新形成。简言之，《跨境流动规定》允许自贸区设定“负面清单”，实际上是允许自贸区自行探索更为宽松的数据出境监管政策。

5）重申数据出境履行全流程合规义务的重要性

尽管《跨境流动规定》一定程度豁免了部分企业履行数据出境前置程序的义务，但仍然强调企业应当履行数据出境活动所涉事前、事中、事后全流程的合规义务。由此，企业仍需要履行事前数据安全保护义务，以及履行安全事件发生时的报告义务并采取相应的补救措施。而相较于《安全评估办法》《标准合同办法》中违反规定将“依据《中华人民共和国个人信息保护法》等法律法规处理”的罚则，《跨境流动规定》第 12 条规定了“发现数据出境活动存在较大风险或者发生数据安全事件的，要求数据处理者进行整改”，给予了数据处理者及时整改、消除隐患的机会。只有对拒不改正或者造成严重后果的，才会依法追究法律责任。

总之，《跨境流动规定》将简化数据出境相关的前置程序，从“必要性”角度赋予了企业更多自主判断的空间，充分认可了企业跨国经营的商业需要，但是这并不意味着可以降低数据出境的合规标准，拟开展数据出境活动的企业均应当确保履行相应的合规义务。

本文来源：中关村网络安全与信息化产业联盟数据安全治理专业委员会编著《数据安全治理白皮书6.0》

作者:王新锐、刘洋  单位:北京世辉律师事务所

感谢中国网络空间研究院的指导与支持