有序管理、适当放宽——详述《促进和规范数据跨境流动规定》

新规要点

2024年3月22日，国家互联网信息办公室（“国家网信办”）发布《促进和规范数据跨境流动规定》（以下简称“《跨境新规》”），在2023年9月28日发布征求意见稿（以下简称“《征求意见稿》”）半年后，正式对现有数据跨境机制进行调整。《跨境新规》延续了《征求意见稿》有序管理、适当放宽的基调及规定框架，并结合数据出境安全管理工作实际，对《征求意见稿》进行了适当调整。

1.《跨境新规》确定了豁免申报的特定场景：包括不包含个人信息、重要数据的国际贸易、跨境运输等场景的数据出境、数据纯过境、确认并增补列举了豁免申报的高频出境活动场景（跨境购物、跨境寄递、跨境汇款、跨境支付等）以及跨境人力资源管理目的的员工个人信息出境等。

2. 提高个人信息出境评估和备案触发标准：（1）当年累计向境外提供100万人以上个人信息或者1万人以上敏感个人信息，应当申报数据出境安全评估；（2）当年累计向境外提供10万人以上、不满100万人个人信息或者不满1万人敏感个人信息，应当订立个人信息出境标准合同或者通过个人信息保护认证；相较于《征求意见稿》：一是补充了敏感个人信息出境数量作为单独的一项触发评估或备案的标准，二是将触发备案的人数标准从1万提高到10万，三是关于标准的计算，对于出境人数的计算方式从“预计未来一年”变更为“申报当年”，四是将评估有效期从2年改为3年，且经申请可延长。

3. 重要数据出境申报确立依公开发布的目录或被告知的前提，即未被相关部门、地区告知或者公开发布为重要数据的，无需作为重要数据申报出境。

4. 自由贸易试验区可发布负面数据清单，即需进行安全评估、标准合同备案或认证的数据类别，但其仅适用于相关自由贸易区内的数据处理者。

企业尚未提交安全评估或标准合同备案的，应尽快判断是否需评估、备案或认证，并及时申请。根据国家网信办有关负责人答记者问，如果企业在《跨境新规》施行前已经申报数据出境安全评估、提交个人信息出境标准合同备案，但根据《跨境新规》无需开展上述程序的，数据处理者可以按照原程序进行，也可以向所在地省级网信部门撤回申报、备案。如果企业在此前未通过或者部分未通过数据出境安全评估，根据《跨境新规》免予申报数据出境安全评估的数据出境活动，数据处理者可以依法通过订立个人信息出境标准合同、通过个人信息保护认证等其他途径向境外提供个人信息。

当然，《跨境新规》依旧强调与出境相关的合规要求，例如对于个人信息出境，需履行告知、取得个人单独同意、进行个人信息保护影响评估的要求；对于重要数据，明确了数据处理者应当按照相关规定识别、申报重要数据；强调事前事中事后全链条全领域监管，明确境外发生数据安全事件的报告要求。从企业管理和合规的角度，首先是确认自身是否豁免或调整申报路径，但并非跳出原有合规框架和要求，而是仍应完成完善合规流程和落地合规举措。

以下请见我们的详细分析。

一、《跨境新规》的主要内容分析和解读

《跨境新规》全文一共14条，涉及以下几个方面的主要内容：

1. 明确在未被相关部门、地区告知或者公开发布为重要数据的，数据处理者无需就此数据申报数据出境安全评估

从实操层面来看，在缺乏相关部门、地区告知或者公开发布重要数据目录的情况下，数据处理者很难判断其是否处理了重要数据，更难以基于此不确定性进行数据出境安全评估申报。此条款减少了重要数据识别的不确定性，便利企业开展正常的数据跨境流动，与《征求意见稿》保持一致。

鉴于重要数据对国家安全和社会公共利益的影响，此条款仍然强调了数据处理者应按照相关规定对重要数据进行识别和申报，落实重要数据的安全保护义务。例如，《工业和信息化领域数据安全管理办法（试行）》即规定，工业和信息化领域数据处理者应当定期梳理数据，按照相关标准规范识别重要数据和核心数据并形成本单位的具体目录。2024年3月21日，国家标准《数据安全技术数据分类分级规则》（GB/T 43697-2024）正式发布，其中，附录G规定了重要数据识别指南，列出了对关键行业和领域的重要数据进行识别所应当考虑的因素。另外，天津自贸区发布的《中国（天津）自由贸易试验区企业数据分类分级标准规范》也包括了重要数据的识别目录，并要求企业开展内部数据分类分级工作，并向天津自贸试验区网络数据安全工作主管部门报送重要数据目录。各行业和地区的重要数据目录仍值得进一步关注，以判断是否涉及企业自身所产生或管理的数据。

2. 针对不涉及境内个人信息或者重要数据的数据跨境流动，明确免于出境申报机制

针对不涉及境内个人信息或者重要数据情况下的两类数据跨境流动，《跨境新规》明确豁免其申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证：

(1) 实践中常见的跨境商业经营活动，包括国际贸易、跨境运输、跨国生产制造和市场营销等以及学术合作，如果出境数据不包括个人信息或重要数据，企业可以自由出境。

(2) 此外，如果其在境外收集和产生的个人信息传输至境内处理后向境外提供，多见于面向境外用户提供服务的出海企业，假如在处理过程中没有引入境内个人信息或者重要数据的，也免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

3. 调整不同出境申报机制的触发数量门槛以及计算周期

不同于《数据出境安全评估办法》以数据处理者所持有的存量数据数量作为出境申报的触发门槛之一，《跨境新规》已调整为以数据处理者当年累计出境数量和数据类型作为不同出境机制的触发判断标准，更侧重于对于数据出境风险的评估，并有效降低了企业的合规成本。相较于《征求意见稿》：一是补充了敏感个人信息出境数量作为单独的一项触发评估或备案的标准，二是将触发备案的人数标准从1万提高到10万，三是将出境人数的计算方式从“预计未来一年”变更为“申报当年”，四是将评估有效期从2年改为3年，且经申请可延长。

以下我们分别就关键信息基础设施运营者和关键信息基础设施运营者之外的一般数据处理者对外提供重要数据和个人信息所需适用的出境申报类型及触发标准进行了总结，方便企业了解自身对应的合规义务：

 注：统计出境人数时应排除《跨境新规》豁免出境申报场景所对应的人数。

4. 豁免出境申报的个人信息出境场景

针对实践中需要高频次进行数据出境传输的业务、跨国公司基于跨境人力资源管理需要而对外传输员工个人信息等特定的个人信息出境场景，《跨境新规》也豁免其申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证：

 (1) 为订立、履行个人作为一方当事人的合同，如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等，确需向境外提供个人信息的；

 (2) 按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的；

 (3) 紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息的；

 (4) 关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）的。

针对上述个人信息出境的豁免情形，实践中普遍关注第二项，即对外传输员工个人信息如何满足豁免申报的要求。与《征求意见稿》相比，《跨境新规》仍然没有明确“跨境人力资源管理”、“确需”的范围和判断标准。根据此前的项目经验，网信部门对于“确需”出境仍有相应的判定标准和要求，后续该等标准和要求是否在豁免情形或者评估、备案项目之中仍将延续或有相应的放宽，仍有待进一步观察。这也意味着，如果企业对外传输员工敏感个人信息累计不足1万人的，除非该等敏感个人信息出境满足本项豁免的要求，否则还是需要按照《跨境新规》第八条的规定与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。因此，该条的后续解释仍值得继续关注。

5. 自由贸易试验区内的数据处理者对外提供“负面清单”以外数据，也可豁免申报

自由贸易试验区在国家数据分类分级保护制度框架下，可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（以下简称“负面清单”），经省级网络安全和信息化委员会批准后，报国家网信部门、国家数据管理部门备案。

自由贸易试验区内数据处理者向境外提供负面清单外的数据，可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。但此项豁免仅适用于自由贸易试验区内的数据处理者。

近期，企业可以关注不同地方的自由贸易试验区的相应尝试出台促进数据流通的规定。例如，北京市商务局发布《北京市外商投资条例（草案征求意见稿）》，规定“高效开展重要数据和个人信息出境安全评估，制定可自由流动的一般数据清单，促进数据安全有序自由流动。”¹广州市政务服务数据管理局则发布《广州市数据条例（征求意见稿）》，提出了跨境数据流通“白名单”制度。²上海市政府发布了《上海市落实〈全面对接国际高标准经贸规则推进中国（上海）自由贸易试验区高水平制度型开放总体方案〉的实施方案》，其中提到探索建立合法安全便利的数据跨境流动机制，提升数据跨境流动便利性。通过加强相关行业出境数据分类指导、发布示范场景、在临港新片区建立数据跨境服务中心等，便利数据处理者开展数据出境自评等数据出境安全合规工作。³

6. 重申出境的相关法律要求及数据安全事件的处理义务

《跨境新规》第十条强调，数据处理者向境外提供个人信息的，应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。与《征求意见稿》之中多次强调单独同意的要求相一致，该条款再次强调了，适度放宽的主要是指触发评估和备案的场景范围，而对于涉及到个人信息出境的管理要求并没有改变。对于即便不需要进行评估或备案的企业，上述的出境基本义务仍然应当在业务流程之中落地，不因豁免评估或备案而不遵守相应的基本法律要求。

《跨境新规》第十一条在强调保障数据出境安全的前提下，规定发生或者可能发生数据安全事件的，应当采取补救措施，及时向省级以上网信部门和其他有关主管部门报告。

《网络安全法》施行至今已经6年有余，有关网络安全的各项配套规则和执法活动已逐渐深入和完善。2023年，国家网信办也发布了《网络安全事件报告管理办法（征求意见稿）》，其中规定网络运营者在发生网络安全事件时，应当及时启动应急预案进行处置；属于较大、重大或特别重大网络安全事件的，应当于1小时内进行报告。就跨境数据发生数据安全事件后续的报告流程和具体要求，还需待实践之中进一步明确。该等要求也与目前的实践操作相一致，企业内部也建议预先制定预案流程和管理要求。

二、我们的观察和建议

整体而言，《跨境新规》在保障国家数据安全的前提下，调整和优化了数据跨境申报机制，便利数据跨境流动，降低企业的合规成本。在《跨境新规》的指引下，企业可参照以下要点，综合评估和完善自身数据跨境场景的合规。

1. 评估判断《跨境新规》对企业的具体适用，根据自身情况，确定相应合规策略。

(1) 尚未提交安全评估或备案的，应尽快判断是否需评估、备案或认证，并尽快申请。如果经过对数据出境情况的梳理，数据处理者仍然符合申报标准的，需根据国家网信办在同日发布的《数据出境安全评估申报指南（第二版）》和《个人信息出境标准合同备案指南（第二版）》，进一步更新和完善申报材料并尽快提交。根据国家网信办相关负责人答记者问⁴，一般的申请可登录数据出境申报系统提交。

(2) 已提交的安全评估或备案确定撤回或推进。根据国家网信办有关负责人答记者问，如果企业在2024年3月22日前已经申报数据出境安全评估、提交个人信息出境标准合同备案，但根据《跨境新规》无需开展上述程序的，数据处理者可以按照原程序进行，也可以向所在地省级网信部门撤回申报、备案。虽具体撤回的流程暂未明确，后续可与相关负责官员联系确认。

(3) 未通过或部分通过安全评估的确定是否按照其他途径出境。根据国家网信办有关负责人答记者问，如果企业在2024年3月22日前未通过或者部分未通过数据出境安全评估，根据《跨境新规》免予申报数据出境安全评估的数据出境活动，数据处理者可以依法通过订立个人信息出境标准合同、通过个人信息保护认证等其他途径向境外提供个人信息。对于当时申报时未通过或者部分未通过的情形或具体字段，在其他出境途径下，是否可以满足相关的条件顺利通过，目前相关细节仍有待实践之中确认。

(4) 已通过的安全评估有效期延长为3年，届满可申请续期。如果数据处理者在2024年3月22日前已经通过数据出境安全评估的数据出境活动，数据处理者可以根据申报事项继续开展。依据《跨境新规》，通过数据出境安全评估的结果有效期为3年，自评估结果出具之日起计算。有效期届满，需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的，数据处理者可以在有效期届满前60个工作日内申请延期3年。

2. 完善内部合规举措、满足个人信息出境合规基本要求。虽然《跨境新规》规定了豁免申报的具体情形，但豁免针对的并不是出境的合规义务。特别的，《跨境新规》第十条强调了个人信息出境的一般性合规义务，包括履行告知义务、取得个人单独同意，以及进行个人信息保护影响评估。这也是《个人信息保护法》项下个人信息出境的基本合规要求。企业在梳理个人信息出境过程中，无论是否需要适用评估、标准合同备案或认证，仍需对照判断是否存在合规差距，进行必要整改，并留存相应记录，这也是企业未来满足个人信息保护合规审计的基本要求。

3. 紧密跟进重要数据的目录变化，依法识别、申报重要数据。《跨境新规》说明，数据处理者应当按照相关规定识别、申报重要数据。即便企业在未被相关部门、地区告知或者公开发布为重要数据的情况下，无需申请重要数据出境的安全评估，但鉴于各地区、 各部门将按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录的实践会相应发展，企业仍应根据自身所处行业、所处理数据、所从事业务的情况，紧密跟进及持续关注关于重要数据的识别和申报要求。

就《跨境新规》的落地情况，我们也会紧密跟踪。

1. https://sw.beijing.gov.cn/zmhd/dczjj/202309/t20230920_3262661.html

2. http://zsj.gz.gov.cn/hdjlpt/yjzj/answer/29851

3. https://www.shanghai.gov.cn/nw12344/20240205/2af907af61cf4977866b7d377baf5d1d.html

4. https://mp.weixin.qq.com/s/-Y-dY_HL21jHTFQsMbeiVQ