简评《规范和促进数据跨境流动规定（征求意见稿）》对企业数据出境的影响

2023年9月28日，国家互联网信息办公室（以下简称“网信办”）发布了《规范和促进数据跨境流动规定（征求意见稿）》（以下简称“《征求意见稿》”），向社会公开征求意见，反馈意见截止时间为2023年10月15日。该《征求意见稿》若正式通过，将使我国的数据出境监管的适用要求发生重大变化。本文旨在简析《征求意见稿》对企业数据出境的影响，并为企业如何开展下一步工作提供建议。

一、 重要数据出境

根据《征求意见稿》第二条，未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。

在《征求意见稿》发布之前，向境外提供重要数据应当根据《数据出境安全评估办法》的规定，申报数据出境安全评估。然而，由于现行生效的法律文件对于“重要数据”的识别标准多为基本原则和定性考量因素，诸多行业领域对于“重要数据”的识别标准尚不明确，对企业此前开展数据出境合规活动构成了较大挑战。《征求意见稿》第二条规定未经监管主动告知数据处理者或公开发布文件的方式识别重要数据的情况下，无需数据处理者进行重要数据的出境申报，则企业有关重要数据判断的合规负担将被大幅减轻。

二、 个人信息出境

总体而言，《征求意见稿》相对于《数据出境安全评估办法》、《个人信息出境标准合同办法》规定的个人信息出境的三条合规路径（即安全评估路径、标准合同路径、认证路径），虽然适用框架仍然相同，但适用标准发生重大变化。如《征求意见稿》依此发布，则基于人力资源管理所必须而出境员工个人信息的企业、出境个人信息数量较少的企业将直接受益于《征求意见稿》的相关规定而减轻或豁免原有的数据出境合规义务。具体而言：

1. 基于人力资源管理所必须而出境员工个人信息，将豁免合规路径要求

《征求意见稿》第四条第（二）项规定，按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理，必须向境外提供内部员工个人信息的，不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

该条豁免规定仅针对员工个人信息的特定出境场景，而未对出境方既有的个人信息处理规模或拟出境的个人信息数量提出任何要求。此外，该条也未对拟出境的员工个人信息类型进行限定，即无论是敏感个人信息还是一般个人信息，只要可充分论证员工的个人信息出境是为了实施人力资源管理所必须而向境外提供，即可符合第四条第（二）项的豁免条件。

但是，对于此条规定的理解，仍有下述问题待网信办进一步解释：

• 如何证明员工个人信息的出境是为实施人力资源管理所“必须”。

• 如何证明特定字段的出境是为实施人力资源管理所“必须”，如若充分论证特定字段是实施人力资源管理所“必须”的信息，是否可以不再获得员工的单独同意而出境。

• 如何解释《征求意见稿》第四条第（二）项与第六条之间的关系。即，如果符合了《征求意见稿》第四条第（二）项中有关员工个人信息出境的豁免情形，但出境的员工个人信息数量超过1万，是否仍需要按照第六条的规定完成标准合同备案或认证（超过1万，不满100万），或申报安全评估（超过100万）。

• 对于根据《征求意见稿》仍需进行安全评估或标准合同备案或认证的企业，是否仍然需要将该豁免场景纳入到自评估报告之中进行分析。

2. 预计一年内向境外提供不满1万人个人信息的，将豁免合规路径要求

《征求意见稿》第五条规定，预计一年内向境外提供不满1万人个人信息的，不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。但是，基于个人同意向境外提供个人信息的，应当取得个人信息主体同意。

上述规定中的出境数量门槛、出境数量统计的时间周期已与《数据出境安全评估办法》、《个人信息出境标准合同办法》的监管尺度发生变化。对于此条的理解，有下述问题有待进一步解释：

• “预计一年内”的时间起点如何计算。是否需要同时考虑过去一年的个人信息出境数量和未来一年的出境数量。

• 是否不再区分“敏感个人信息”和“一般个人信息”，即，只要预计一年内出境不满1万人个人信息，无论是1万敏感个人信息还是1万一般个人信息，均无需申报安全评估、完成标准合同备案或认证。

• 计算出境个人信息出境数量时，是否还需要将《征求意见稿》第四条第（二）项中豁免的员工个人信息数量纳入计算。例如，某企业预计一年内出境员工个人信息5000人，商业联系人6000人，则该企业是否满足上述第五条的豁免要求。

3. 预计一年内向境外提供1万人以上、不满100万人个人信息的，需进行标准合同备案或认证；向境外提供100万人以上个人信息的，需申报安全评估

根据《征求意见稿》第六条，预计一年内向境外提供1万人以上、不满100万人个人信息，与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的，可以不申报数据出境安全评估，向境外提供100万人以上个人信息的，应当申报数据出境安全评估。但是，基于个人同意向境外提供个人信息的，应当取得个人信息主体同意。

如上所述，《征求意见稿》提出的出境数量门槛、出境数量统计的时间周期需注意与此前即已生效的法规文本进行区分。针对此条的理解适用，有下述问题待进一步解释：

• 如何理解《征求意见稿》第六条与第四条第（二）项的关系。第四条规定的豁免场景数量之中涉及的个人数量在根据第六条计算出境数量时是否仍需计算在内。

• “向境外提供100万人以上个人信息”没有设置出境数量统计的时间周期，那么，是否也应遵循“预计一年内”出境数量的计算周期。

• 历史出境数据量日后将是否不再被纳入考量范围。《数据出境安全评估办法》、《个人信息出境标准合同办法》中已列举了关于安全评估路径、标准合同路径的触发情形，如《征求意见稿》日后按现有文本生效，那么在出境数量上是否将无需再考虑企业是否为百万个人信息处理者，或是自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者。

值得注意的是，无论个人信息出境场景是否适用《征求意见稿》中的豁免情形，有关个人信息跨境转移的单独同意要求，并未因此而豁免。此外，根据《个人信息保护法》第五十五条的规定，向境外提供个人信息仍需开展个人信息保护影响评估，只是该评估目前并未强制要求必须按照网信办发布的个人信息保护影响评估报告模板起草，但评估报告模板之中的具体内容仍建议纳入到企业自行准备的个人信息保护影响评价报告中。

4. 其他豁免场景

除上述列举的“基于人力资源管理必须而出境员工个人信息”以及“预计一年内向境外提供不满1万人个人信息”的豁免场景外，有如下情形也可豁免三条数据出境合规路径的适用。

一是《征求意见稿》第一条规定的豁免情形，即国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境，不包含个人信息或者重要数据的。该条从逻辑上与此前的规定是一致的，即如果出境的数据不含重要数据或个人信息，则可豁免三条数据出境合规路径的适用，而该条进一步列举了国际贸易、学术合作、跨国生产制造和市场营销作为典型场景。

二是《征求意见稿》第三条规定的“不是在境内收集产生的个人信息向境外提供”的情况。但具体情况的适用仍待进一步澄清。例如，该条是否仅指在境外收集的境外个人的信息传输至中国境内处理再出境的情况，还是也可包含其他情况。

三是《征求意见稿》第四条规定的其他情形，包括：（一）为订立、履行个人作为一方当事人的合同所必需，如跨境购物、跨境汇款、机票酒店预订、签证办理等，必须向境外提供个人信息的；……（三）紧急情况下为保护自然人的生命健康和财产安全等，必须向境外提供个人信息的。该条针对“履行合同所必需”进行了场景上的罗列，为适用于该类场景的企业提供了具体化参考，但哪些信息属于“必需”范畴仍待解释和检验。关于紧急情况下的数据出境，在企业的日常管理运营中可能并不会被涉及，针对该情形的具体适用与理解，也可进一步等待监管解释。

三、 自贸区“负面清单”的特殊规定

《征求意见稿》第七条规定，自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（以下简称负面清单），报经省级网络安全和信息化委员会批准后，报国家网信部门备案。负面清单外数据出境，可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

该规定与此前国务院印发的《关于进一步优化外商投资环境加大吸引外商投资力度的意见》中提及的“一般数据清单”，从结果导向上来看，均可便利外商投资企业的数据跨境流动。但“负面清单”机制相较于“一般数据清单”而言，是数据出境机制的进一步简化。

四、 企业下一步的策略

考虑到《征求意见稿》对既有的数据出境合规机制将产生重大影响，我们建议企业密切关注《征求意见稿》的发布，并采取以下措施：

(1)建议企业结合《征求意见稿》现有文本整体评估对目前正在进行的数据出境合规工作的影响。具体而言，可对预计一年内的个人信息出境数量进行预估统计，判断其在“1万人以下”、“1万人以上，100万人以下”、“100万人以上”中的哪个数量区间，从而依据《征求意见稿》第五条与第六条的规定预判是否可以豁免三条数据出境合规路径，或切换适用其他数据出境合规路径，如原先适用安全评估路径的企业是否可以适用标准合同路径或认证路径。

(2)对于经评估后无需实施三条数据出境合规路径的，企业可以持续关注《征求意见稿》的立法动态并继续完成其他相应的合规要求，例如获取相关个人信息主体有关数据出境的单独同意、完成个人信息保护影响评估、开展必要评估以证明企业符合豁免条件无需实施数据出境三条合规路径。

(3)对于经评估后仍落入《征求意见稿》第六条中需要继续遵循原先的安全评估路径/标准合同路径/认证路径的企业，应继续完成相应的申报、备案或认证工作。

(4)建议企业密切关注监管侧对于《征求意见稿》的立法动态，尤其是针对《征求意见稿》第三条、第四条中关于“不是在境内收集产生的个人信息向境外提供”、“实施人力资源管理所必须”的解释与适用，以判断其数据出境情形是否满足豁免情形。同时，持续关注企业的数据出境活动的变化，以便及时根据生效的规定判断是否仍需继续履行数据出境的合规路径要求。

(5)自贸区企业还应特别关注有关自贸区数据出境负面清单的最新规定。