守得云开见月明 — 《规范和促进数据跨境流动规定（征求意见稿）》速览

作者：段志超丨王雨婷丨胡敏喆丨邹奕

引言

2023年9月28日，国家互联网信息办公室发布《规范和促进数据跨境流动规定（征求意见稿）》（“《数据跨境规定》”）并向社会公开征求意见。《数据跨境规定》结合此前数据出境安全评估、个人信息出境标准合同备案工作中的实际问题，大幅调整了数据出境评估备案工作的适用标准，实质性豁免了具有强出境必要性以及仅涉及少量个人信息出境的数据出境场景的评估备案义务，在确保数据有序跨境流动的同时实质降低了企业的合规负担。在整体经济面临下行压力的大背景下，《数据跨境规定》为数据出境提供了更多的确定性和可能性，实质性响应了我国政府在新态势下坚持经济全球化的倡议，为企业发展提供了源动力。

值得注意的是，《数据跨境规定》并未免除《数据安全法》、《个人信息保护法》等相关法律法规下对于数据安全和个人信息保护的基本要求。即便对于在《数据跨境规定》下免于进行数据出境评估和备案的企业，仍有必要通过签署数据传输协议、开展数据出境相关的个人信息保护影响评估等基本数据合规制度确保自身在数据出境活动中的合规性，避免相关数据出境活动的事中事后监管风险。

本文将结合上述背景，对此次发布的《数据跨境规定》做出解读。

一、基本原则

《数据跨境规定》全文共11条，但概括而言主要体现了以下几项基本的监管原则：

• 白名单制度：《数据跨境规定》第1条至第4条从跨境传输的数据类型、数据跨境传输的数据来源以及数据跨境传输的场景设置了可以豁免申报数据出境安全评估、订立个人信息出境标准合同以及通过个人信息保护认证的白名单。

• 以预期出境量作为唯一考量因素：《数据跨境规定》第5条和第6条提出了新的衡量是否需要申报数据出境安全评估、订立个人信息出境标准合同以及通过个人信息保护认证的数量标准。这一数量标准仅考虑预计一年内的出境个人信息数量，而无需考虑企业实际掌握的个人信息数量和已经出境的个人信息数量。

• 合规义务的三个数量层次：《数据跨境规定》第5条和第6条以预期一年内向境外提供1万人和100万人作为分界线，要求超过100万人的应当申报数据出境安全评估；超过1万人但不满100万人的应当订立个人信息出境标准合同或通过个人信息保护认证；不足1万人的不需要申报数据出境安全评估、订立个人信息出境标准合同、或通过个人信息保护认证。

• 自贸区例外：在白名单制度基础上，《数据跨境规定》第7条对自贸区的数据跨境传输规则进行了进一步放宽，授权自贸区设立与外商投资限制等类似的负面清单制度。自贸区可以自行制定需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单，除此之外的数据出境则无需履行相关义务。

需要注意的是，虽然《数据跨境规定》很大程度上降低了数据出境安全评估或者备案的要求，增加了制度的灵活性，其并没有忽视对数据出境相关安全问题的关注，同时提出了强化数据出境监管事中事后监管的新思路，这也意味着相关企业仍需高度重视数据出境行为的安全性和合规性，并基于具体数据出境活动的变化及时调整合规措施。

二、具体规则变化

（一）白名单制度

在现有数据出境评估和备案规则中，一个常见的问题是由于评估标准不明确带来的不确定性。特别是对于出境数据的必要性判断，企业和监管视角存在一定的落差。此外，对于数据出境活动是否涉及一直定义模糊的重要数据以及由此触发数据出境安全评估也让企业无从着手。诸多企业由此在什么数据能出境这个问题上犹豫不决，给企业实际运营带来了一定的障碍。

《数据跨境规定》针对这个问题总体创设了白名单规则，针对无需进行出境安全评估或者备案的出境场景、重要数据触发数据出境安全评估的条件等问题进行了列举式的规定，极大程度地解决了上述痛点。尤其是针对出境必要性高、场景常见，以及潜在安全危害小的场景（包括履行有涉外因素的合同所必要以及跨国企业内部人力资源管理场景）的豁免显著地减轻了企业的负担，避免了对正常涉外经贸活动和经营管理造成额外的障碍。

1.   境外数据入境再出境场景的豁免

《数据跨境规定》第3条明确，非境内收集产生的个人信息向境外提供的，无需出境安全评估或标准合同备案等。这一规定与此前的监管思路保持一致，《信息安全技术 数据出境安全评估指南（征求意见稿）》第3.7条也曾规定，“非在境内运营中收集和产生的个人信息和重要数据经由本国出境，未经任何变动或加工处理的，不属于数据出境”以及“非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境，不涉及境内运营中收集和产生的个人信息和重要数据的，不属于数据出境”。

在中国企业出海的浪潮下，越来越多中国境内企业在全球范围内开展业务，甚至部分企业专攻海外市场而在中国境内没有实际业务活动，跨国企业的中国实体也可能基于全球分工承担部分个人信息处理职责。基于统一管理、成本控制、产业链分工等需要，海外业务产生的境外主体个人信息可能回传中国境内并交由境内主体处理，典型如由境内企业为海外业务提供客服、物流、云存储、数据分析等支持性服务，这种情况下存在境外收集产生的个人信息在境内处理后被传输出境的情况。我们理解新规第3条旨在明确该等境外数据入境再出境的场景不落入中国数据出境监管的适用范围，消除了此前对于该问题的监管不确定性，对于开展海外业务的中国企业以及全球分工的跨国企业无疑是重大利好。

2.   具体场景豁免

履行合同：《数据跨境规定》第4条第1款首先排除为订立、履行个人作为一方当事人的合同所必需（如跨境购物、跨境汇款、机票酒店预订、签证办理等）必须向境外提供个人信息的场景。此条以非穷尽列举的方式，通过生活中常见的场景对“履行合同所必需”给出了参考指引。对于跨国企业而言，其研发、生产、销售等各个业务环境可能都离不开全球不同主体之间的协作。而本款则为企业合理、高效地组织业务活动提供了更大空间，避免由于出境场景下过重的合规成本导致对业务经营的不利影响。

HR场景：按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理，必须向境外提供内部员工个人信息的场景同样无需前置审批。依据此条规定，《数据跨境规定》对人力资源场景的个人信息出境做出了豁免，这也是诸多跨国企业的日常管理实践。跨国企业在梳理个人信息出境场景时将无需再考虑内部员工个人信息出境的情形。需要注意的是，严格按照本条规定解释，由于应聘人员尚未与企业签署劳动合同，也不需要遵守企业的劳动规章制度，因此不属于企业的内部员工，企业向境外传输这些人员的个人信息无法依据本条豁免。

紧急场景：最后，紧急情况下为保护自然人的生命健康和财产安全等，必须向境外提供个人信息的亦无需就相关数据出境活动进行前置审批。在紧急情况下，无论是取得个人信息主体同意还是取得个人信息出境的前置审批均存在实践障碍，也不符合《个人信息保护法》设立该豁免条款的初衷。因此，《数据跨境规定》充分考虑到了实践情况，体现出对个人信息主体权益的尊重和保护。

（二）个人信息出境合规措施仅和个人信息出境量挂钩

针对现有数据出境规则中关于触发安全评估和标准合同备案中的数据量门槛计算显现出来的问题，《数据跨境规定》进行了相应调整，调整后的规则更加清晰易懂，可操作性更强，也消除了对于明显风险低的少量数据出境行为施加不成比重的合规要求的不合理情形。

不再将个人信息掌握量作为考量因素：与《数据出境安全评估办法》不同，《数据跨境规定》中并没有对相关主体处理数据的数量设定门槛。实践中，可能存在数据处理者在境内掌握超过百万人个人信息，但是其出境个人信息量极小的情况。如果严格按照《数据出境安全评估办法》的要求开展安全评估，则将导致较重的合规成本，且很可能与实际出境风险不匹配。为了避免该等情况，《数据跨境规定》不再考虑数据处理者所掌握的境内数据，而是直接从出境的数量上进行规制。

出境量计算期限由2年减少为1年：与《数据出境安全评估办法》《个人信息出境标准合同办法》在规定数量门槛时关注企业整体的数据处理数量以及自上一年1月1日已经出境的个人信息数量不同，《数据跨境规定》提出了“预计一年内”的统计时限。考虑到《数据跨境规定》第11条明确规定，《数据出境安全评估办法》、《个人信息出境标准合同办法》等相关规定与本规定不一致的，按照本规定执行。如果企业希望据此豁免或减轻申报数据出境安全评估或者订立个人信息出境标准合同的义务，则需要重点关注和预估未来一年内的个人信息出境规模。

明确1万人个人信息的下限：在数量上，《数据跨境规定》的另外一大变化是明确对1年内个人信息出境累积未满1万个人的，豁免数据出境前置审批手续，改变了此前任何个人信息出境都需要签署个人信息标准合同并进行备案的局面。因此，对于业务规模较小、出境场景简单、整体出境量较低的企业而言，《数据跨境规定》第5条将很大程度上降低其经营负担，促进其跨境业务的开展。

不区分一般个人信息和敏感个人信息：另外需要说明的是，《数据跨境规定》有关数量计算的规定并未就敏感个人信息做出规定，而是在第8条中规定，向境外提供敏感个人信息的，依照有关法律、行政法规、部门规章规定执行。有鉴于《数据跨境规定》第11条同时规定，“《数据出境安全评估办法》、《个人信息出境标准合同办法》等相关规定与本规定不一致的，按照本规定执行”，我们理解若《数据跨境规定》按照现状通过，且无其他法律法规及部门规章的要求，敏感个人信息出境的严苛计算标准将被大幅弱化。

（三）自贸区特殊规则

《数据跨境规定》在数据跨境传输的监管领域首创了负面清单制度。《数据跨境规定》第7条规定，“自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（“负面清单”），报经省级网络安全和信息化委员会批准后，报国家网信部门备案。负面清单外数据出境，可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”。作为对比，白名单是对特定出境场景或特定数量以下的出境行为进行豁免，而“负面清单”则是仅保留对少量数据的监管，而放宽对其他数据出境的要求。换言之，允许自贸区设定“负面清单”实际上是允许自贸区探索更为宽松的监管政策。

之所以由自贸区探索该负面清单制度，不仅因为自贸区在我国经济发展中的定位，也是基于自贸区行业发展情况的实际考量。自贸区处于我国境内关外，在工商登记、企业税收、外商投资、人才引进上都有着特殊的优惠政策，一定程度上突破了关内的政策限制。其中，面对自贸区企业较迫切和多元的数据出境需求，自贸区可以在兼管安全的基础上，更多地偏重于发展，促进数据的跨境流通。此外，自贸区进行制度创新，也将推进国家层级相关监管制度的落地实施，同时提升现有法律法规的可操作性和可执行性。

在这一背景下，自贸区探索数据出境创新监管已有先例。例如，《中国（上海）自由贸易试验区临港新片区条例》第33条规定，按照国家相关法律、法规的规定，在临港新片区内探索制定低风险跨境流动数据目录，促进数据跨境安全有序流动。《关于深圳建设中国特色社会主义先行示范区放宽市场准入若干特别措施的意见》提出，在国家及行业数据跨境传输安全管理制度框架下，开展数据跨境传输（出境）安全管理试点，建立数据安全保护能力评估认证、数据流通备份审查、跨境数据流通和交易风险评估等数据安全管理机制。

鉴于当前数据出境监管制度体系已初步搭建，自贸区进一步探索开放数据出境政策恰逢其时，也具有监管层面的可操作性。由于我国一些自贸区（港）已拥有较完善的产业生态和市场应用基础，自贸区当地的监管部门可以在自身具有比较优势的相关产业和业务领域（如：北京的生物医疗、社交媒介领域，上海自贸区的金融、汽车产业、工业互联网领域等）进行实地考察调研，了解相关行业的业务情况，听取专家建议，并形成限制出境的数据清单，为其他地区数据出境监管提供重要参考。

三、对现有数据出境安全评估和标准合同备案工作的影响

《数据跨境规定》对包括《数据出境安全评估办法》以及《个人信息出境标准合同办法》等相关规定建立的现有数据出境评估和备案规则进行了大幅修订，且明确规定了新规一旦生效将替代现有规则。该等实质变更将对已经提交或正在准备数据出境安全评估和标准合同备案的企业产生较大影响。虽然《数据跨境规定》仍处在征求意见阶段，尚未生效，但基于其出台的背景和现有数据出境规则下的相关时限要求，我们有理由相信其将在较短时间内正式出台并对企业的数据跨境合规工作产生一定影响。

（一）对数据出境安全评估的影响

1.   对仍在审查过程中的申请

对于已经提交了数据出境安全评估、尚未收到正式决定或者仍然在根据监管要求修改申报材料的企业而言，企业需要结合《数据跨境规定》和相关数据出境场景，以场景为基础对数据出境安全评估的适用性进行重新判断。对于依据《数据跨境规定》不再适用数据出境安全评估的场景，建议和监管机构进行积极沟通，商讨对现有申请进行调整和简化的可能性以及具体方式。考虑到绝大多数企业的数据出境申报尚处在审查阶段，不排除监管机构会在针对该等申请的后续审查工作中对上述情形的处理方式进行统一说明。

2.   对已经被监管要求整改的出境场景

对于已经提交数据出境安全评估、且已经就相关数据出境场景收到整改要求的企业而言，如果其依据《数据跨境规定》判断，相关数据出境场景已经不再适用数据出境安全评估，我们建议相关企业和监管机构进行沟通，明确监管机构对相关申请以及评估结论的处理方式。不过，考虑到监管机构已经通过企业前期提交的申报材料识别出企业在相关数据出境活动中存在的问题，我们建议企业持续落实监管机构提出的整改要求并就整改进度与监管机构保持密切沟通。

（二）对标准合同备案的影响

对于个人信息出境标准合同备案工作而言，由于其相较数据出境安全评估制度出台时间较晚，仅从6月1日起才正式开启接收材料的窗口，绝大多数企业尚处在相关备案工作的准备和评估阶段。有鉴于《数据跨境规定》明确了需要订立个人信息标准合同并履行备案程序的出境个人信息数量下限以及豁免此等合规义务的场景，相关企业需要重新分析标准合同备案对其个人信息出境场景的适用性，并考虑将明确不适用的场景排除在后续申请备案的场景范围之外。

四、数据出境合规：不能彻底松开的弦

《个人信息保护法》、《数据安全法》、《数据出境安全评估办法》等法律法规确定了数据出境风险评估的三个基本要求，即“合法性、正当性、必要性”。本次出台的《数据跨境规定》将简化数据出境相关行政审批程序，降低企业的合规成本和经营负担，尤其是从“必要性”的角度赋予了企业更多自主判断的空间，充分认可了企业跨国经营的商业需要、回应了我国政府关于经济全球化的倡议。

但是，这并不意味着可以降低数据出境的合规标准，无论是否适用个人信息出境标准合同或数据出境安全评估，数据处理者均应当确保履行相关法定义务。对于“合法性”，典型如对个人信息主体的告知同意，《数据跨境规定》在明确特定出境场景无需申报安全评估或订立个人信息标准合同的同时，仍要求“基于个人同意向境外提供个人信息的，应当取得个人信息主体同意”。而“安全性”则侧重于对个人权益的影响及数据出境后的安全风险。《数据跨境规定》也再次强调数据处理者应当“履行数据安全保护义务，保障数据出境安全”，且监管部门会从事中事后的角度对数据出境安全事件和安全风险进行持续监测。

现阶段，企业可根据《数据跨境规定》的规定初步判断是否仍需申报数据出境安全评估或订立个人信息出境标准合同：

• 若1年内预期出境数量不足1万人，则根据新规无需申报安全评估或订立标准合同，但该等企业仍需采取如下措施持续保障数据出境安全，同时应对新规生效后对审批备案程序的影响。

• 继续与境外接收方签署数据处理协议或数据传输协议，以明确境外接收方的数据处理角色；要求境外接收方承诺确保个人信息处理活动达到中国数据保护法规定的保护标准，并采取必要措施保障个人信息安全。

• 持续推进个人信息保护影响评估工作，完成个人信息保护影响评估报告，以证明企业符合《数据跨境规定》规定的豁免条件，论证数据出境的必要性，并证明企业已依法采取充分的数据安全保障措施。

• 持续关注《数据跨境规定》的制定颁布进展以及企业数据跨境传输活动的变化，根据届时生效的规定决策是否继续申报数据出境安全评估或完成个人信息出境标准合同备案。

针对1年内预期出境数据量超过1万人但存在白名单豁免场景的企业，需结合具体场景评估出境活动的必要性，并根据数据出境规模评估决策具体的申报策略以及后续出境安排：

• 若数据出境活动落入前述白名单场景，则我们理解该等场景下的出境活动无需申报安全评估或订立标准合同。但这种情况下企业应谨慎论证“必须向境外提供的个人信息”的范围，若企业自行将与白名单场景明显无关的个人信息字段纳入豁免评估备案的范围，则可能面临主管部门事中事后监管。

• 《数据跨境规定》第5条、第6条项下预估出境量的计算方式可能存在不同解读。我们倾向于认为在计算预估出境量时白名单场景下的个人信息数量可不计算在内，企业可统计白名单场景之外的预期出境数量以判断是否需要申报安全评估或订立标准合同。我们理解这符合新规确立的促进数据跨境流的基本原则，但具体计算方式仍有待新规生效版本以及主管部门的进一步释明。

若部分出境字段或场景确实存在必要性方面的缺失，则在后续申报安全评估或标准合同备案环节也可能面临实际障碍，这种情况下我们建议企业尽早探索数据处理本地化方案的可行性，或避免不必要字段的跨境传输。待自贸区负面清单发布后，也可考虑通过自贸区的特殊规则合法开展数据出境活动。

五、结论

包括数据出境安全评估和个人信息出境标准合同备案在内的数据出境评估备案工作是众多企业在过去一年多时间内的合规工作重心。现有数据出境规则侧重于安全考量，间接导致数据出境量偏少、风险低、且出境场景必要性高的情形也可能触发安全评估或备案，这一定程度上给部分的企业造成了和实际数据出境风险不相称的合规负担。此外，在实际审查过程中，现有规则下企业和监管部门对于诸如出境必要性等关键因素的判断存在落差，对于特定场景、特定字段能否出境企业缺乏可依据的标准，该等评估规则的较低确定性也为企业的日常运营和业务开展造成了障碍。很多企业的数据出境合规工作一度陷入了困境。

中秋前夜出台的《数据跨境规定》就上述问题提供了极具针对性的解决方案。作为从业者，我们乐见监管部门从解决企业实际困难、减少企业不必要负担的角度出发，及时调整现有规则，提供兼具安全性和实操性的数据出境评估和备案方案，为数字化背景下企业的全球化运营提供必要的底层保障。