数据出境新篇章-《促进和规范数据跨境流动规定》新规解析

2024年3月22日，国家网信办公布《促进和规范数据跨境流动规定》（“《规定》”），同时发布了《数据出境安全评估申报指南（第二版）》、《个人信息出境标准合同备案指南（第二版）》，我国数据出境监管制度开启新篇章。

前一阶段，我国数据出境管理主要以《数据出境安全评估办法》、《个人信息出境标准合同办法》、《关于实施个人信息保护认证的公告》为基础，构建了数据出境安全评估、个人信息出境标准合同备案以及个人信息保护认证三条数据出境路径。并且，国家网信办先后发布了《数据出境安全评估申报指南》、《个人信息出境标准合同备案指南》等文件，对申报数据出境安全评估、备案标准合同的方式、流程及需提交的材料等具体要求进行了规定。但此前数据出境监管实操中，也出现了安全评估触发门槛低、审核周期长、审核标准不够清晰等问题。国家网信办本次结合数据出境安全管理工作实际，制定了《规定》，对现有数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的实施和衔接作出进一步规定，适当放宽数据跨境流动条件，收窄数据出境安全评估范围，总体而言，有利于数据跨境流动，降低企业合规成本。

 

以下将对本次《规定》的相关重点内容以及数据出境监管变化进行解析。

 

一、什么样的数据会落入《规定》规制范围内

数据出境安全管理限于重要数据和个人信息，对于一般企业而言，除重要数据和个人信息外的其他数据，通常情况下可自由跨境流动。

个人信息容易理解，而如何判断是否属于重要数据。首先，重要数据是针对国家而言，而并非指针对企业和个人“重要”的数据，根据《数据出境安全评估办法》规定，重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。企业通常可能较难以判断自身是否涉及处理重要数据，对于一般企业，原则上如果没有被监管部门告知或者公开发布为重要数据的，可以不需要作为重要数据申报数据出境安全评估。

但需注意：

1、当前实操中，部分地区监管部门已经在组织辖区内企业进行重要数据识别以及重要数据目录编制、备案工作，若企业参与了该等识别、备案工作的，需留意结合相关情况判断自身是否涉及处理重要数据、是否需要申报数据出境安全评估。

2、汽车行业有相对明确的重要数据判断标准，根据《汽车数据安全管理若干规定（试行）》，涉及个人信息主体超过10万人的个人信息等数据属于重要数据，且在各地年度汽车数据安全管理情况报告中也通常会要求说明处理的汽车重要数据情况。因此，对于汽车数据处理者还需要结合该等规定判断是否涉及重要数据出境。

 

二、什么样的情形属于“数据出境”

根据《数据出境安全评估申报指南（第二版）》的规定，数据出境包括三种情形：

1、数据处理者将在境内运营中收集和产生的数据传输至境外；

2、数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；

3、符合《个人信息保护法》第三条第二款情形（即以向境内自然人提供产品或者服务为目的；分析、评估境内自然人的行为以及其他法定情形），在境外处理境内自然人个人信息等其他数据处理活动。

相较于第一版《数据出境安全评估申报指南》中的规定，数据出境情形的核心变化在于法规层面增加了境外处理境内自然人个人信息的情形。

 

三、哪些情况下可以豁免数据出境手续

符合以下六种情形之一的，可以豁免数据出境手续，即不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证：

1、非个人信息或重要数据：国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供，不包含个人信息或者重要数据的。

2、过境数据：在境外收集和产生的个人信息传输至境内处理后向境外提供，处理过程中没有引入境内个人信息或者重要数据的。

3、履行合同所必需：为订立、履行个人作为一方当事人的合同，如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等，确需向境外提供个人信息的。

4、跨境人力资源管理所必需：按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的。

5、紧急情况所必需：紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息的。

6、少量个人信息：关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）的。

 

其中，以下几点值得进一步观察后续实操动向：

1、对于履行合同所必需的场景，实操中的问题在于，该等场景下的数据出境链路及所涉主体往往较为复杂，并非仅涉及合同当事人双方及境外接收方，在数据出境链路中还可能有别的合作方。前手数据处理者收集个人信息后，传输给后手处理者，后手再传输给境外接收方，鉴于后手并未直接与个人订立合同，该等情况下，后手数据处理者是否可主张豁免数据出境手续还存在一定不确定性。

2、“必需”的考量，本质上是必要性的判断。过往实操中对必要性的考量较为严格，通常会细化到具体字段层面。对于同一场景下，可能某些数据字段出境是必需的，某些数据字段则可能并非必需出境。后续如何把握上述豁免场景下数据字段出境的“必需”尺度还有待观察。

3、上述第3种至第6种情形下所称向境外提供的个人信息，不包括被相关部门、地区告知或者公开发布为重要数据的个人信息。当前实操中，满足特定数量、特征要求的个人信息确有可能被认定为重要数据，企业对此也需予以关注。

 

四、如何选择数据出境路径

如果不属于可豁免数据出境手续的情形，又需向境外提供数据的，则数据出境手续包括三条路径：申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证，三条路径适用的标准如下：

1、是否属于关键信息基础设施运营者（“CIIO”），如属于，则出境的无论是个人信息还是重要数据，均需要申报数据出境安全评估；

2、非CIIO但向境外提供重要数据，需申报数据出境安全评估；

3、非CIIO且向境外提供个人信息，则需要依据出境所涉个人信息主体数量来适用数据出境路径，具体标准如下

 

 

 

 

几个要点：

1、关于数据出境路径的适用标准，其中一处主要变化在于，对于个人信息，不再以处理个人信息所涉主体数量作为触发数据出境安全评估的门槛，而是聚焦在出境的个人信息主体数量本身，也即原《数据出境安全评估办法》规定的“处理100万人以上个人信息的数据处理者向境外提供个人信息”必须申报安全评估的要求不再存续。

2、在计算累计出境数量时，计算周期为自当年1月1日起至申报数据出境安全评估之日，数量以自然人为单位去重后的统计结果为准。如果涉及相关豁免情形下的数据，则不计入累计数量。

3、如何判断自身是否属于CIIO，实操中CIIO的认定主要以监管部门通知为准。如果企业未收到通知被认定为CIIO的，则暂无需将自身作为CIIO看待。

 

五、如何履行数据出境监管手续

申报数据出境安全评估、备案个人信息出境标准合同可以登录数据出境申报系统，网址：https://sjcj.cac.gov.cn。

申请个人信息保护认证可以登录个人信息保护认证管理系统，网址：https://data.isccc.gov.cn。

相较于以往以线下递交材料为主的流程，新规的一大亮点在于上线了数据出境申报系统，用于申报数据出境安全评估、备案个人信息出境标准合同，减轻了监管部门和企业程序上的负担。

 

1、数据出境安全评估

除申报方式变化外，数据出境安全评估流程与此前基本一致。考虑到当前实操中数据出境安全评估审核周期相对较长的情况，数据出境申报系统上线后是否可能加快审核速度值得期待。此外，对于申报数据出境安全评估所需提交的相关材料此次也进行了更新，一定程度上有所简化，但在具体内容上相较以往有所变化，部分细节内容具体如何填写还需在实操中进一步明确。

 

值得关注的是：

（1）数据出境安全评估结果的有效期从2年延长至3年，有效期届满，需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的，可在有效期届满前60个工作日内提出延长评估结果有效期申请。经国家网信部门批准，可以延长评估结果有效期3年。

（2）关键信息基础设施运营者或者其他不适合通过数据出境申报系统申报数据出境安全评估的，仍需采用线下方式通过所在地省级网信办向国家网信办申报数据出境安全评估。

 

2、个人信息出境标准合同备案

对于个人信息出境标准合同备案，其中一个主要变化在于此次新发布的《个人信息保护影响评估报告（模板）》的内容相较于《个人信息出境标准合同备案指南（第一版）》中的模板有所简化，有助于减轻企业负担。个人信息出境标准合同备案并无固定的有效期规定，但特定情形下仍可能需补充或者重新订立标准合同，并履行相应备案手续。

 

六、关于其他个人信息跨境合规义务

《规定》中明确向境外提供个人信息的，应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。也即无论是否需履行数据出境手续，如涉及个人信息出境的，均需要依法履行前述相关合规义务。

值得关注的点在于，过往监管实操中对个人信息出境合法性审查整体呈现出“重个人单独同意、轻其他合法性基础”的态势，但本次新发布的《数据出境安全评估申报指南》（第二版）中的《数据出境风险自评估报告（模板）》明确规定了“涉及个人信息出境的，需提供履行包括告知和取得个人的单独同意等义务的情况说明和佐证材料，但若属于《个人信息保护法》规定的具备其他合法性基础的情形的，不需取得个人同意”，该等规定本质上与《个人信息保护法》的逻辑也更加匹配。

 

七、关于自贸区负面清单制度

《规定》赋予自贸区自行制定数据出境负面清单的权利，如果向境外提供负面清单外的数据，可以豁免履行数据出境手续。对于自贸区内的企业而言，一定程度上减轻了数据出境的合规负担。

天津自贸区管委会在2024年5月9日发布了《中国（天津）自由贸易试验区数据出境管理清单（负面清单）（2024年版）》列明了天津自贸试验区企业向境外提供数据需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形。天津自贸区企业向境外提供《负面清单》外的数据免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

2024年5月17日，上海自贸区临港新片区发布《数据跨境场景化一般数据清单》，包含智能网联汽车、公募基金、生物医药3个领域，适用于在中国（上海）自由贸易试验区及临港新片区范围内登记注册的，且在临港新片区开展数据跨境流动活动的相关领域的公司等数据处理者，但不适用于关键信息基础设施运营者。数据处理者对在一般数据清单内的数据，可向临港新片区管委会申请登记备案，并在满足相关管理要求下自由流动。

 

八、关于新旧规定的衔接适用

对于《规定》施行前已经完成或者正在申报数据出境安全评估、提交个人信息出境标准合同备案的：

1、《规定》施行前已经通过数据出境安全评估的数据出境活动可以根据申报事项继续开展；

2、《规定》施行前未通过或者部分未通过数据出境安全评估，根据《规定》免予申报数据出境安全评估的数据出境活动，可通过订立个人信息出境标准合同、通过个人信息保护认证的途径向境外提供个人信息。

3、《规定》施行前已经申报数据出境安全评估、提交个人信息出境标准合同备案，根据《规定》无需开展上述程序的，可以按照原程序进行，也可以向所在地省级网信部门撤回申报、备案。