数据跨境流动新规正式生效

作者：解石坡丨陈华屹丨刘继炎

中国国家互联网信息办公室（下称“网信办”）于2023年9月28日发布了《规范和促进数据跨境流动规定（征求意见稿）》，向社会公众征求意见，引起了极大的关注。昨天（2024年3月22日），网信办公布了《促进和规范数据跨境流动规定》的正式版（“《正式规定》”），并于公布之日起正式生效。

与此同时，网信办还发布了《数据出境安全评估申报指南（第二版）》和《个人信息出境标准合同备案指南（第二版）》，为数据处理者提供了详细的操作流程。数据处理者可以通过“数据出境申报系统”（https://sjcj.cac.gov.cn）进行数据出境安全评估和个人信息出境标准合同的申报。

一、《正式规定》主要内容

《正式规定》明确了数据处理者在数据跨境传输中的安全评估、个人信息出境标准合同和个人信息保护认证的适用标准。以下是规定的主要内容：

• 数据出境安全评估：关键信息基础设施运营者在向境外提供个人信息或重要数据时，必须进行安全评估。普通经营者在提供重要数据或大量个人信息时，也需进行安全评估，具体门槛为自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息）或1万人以上敏感个人信息。

• 个人信息出境标准合同（个人信息保护认证）：普通经营者在向境外提供10万人以上、不满100万人非敏感个人信息时，应与境外接收方订立标准合同，或通过个人信息保护认证。敏感个人信息的提供，即使数量不满1万，也需订立标准合同或通过个人信息保护认证。

首先，《正式规定》与征求意见稿相比最大的区别是进一步强化了数据出境场景中敏感个人信息与非敏感个人信息的区别，并据此调整了数据出境安全评估和个人信息出境标准合同（个人信息保护认证）适用的数量标准。

具体而言，对于非关键信息基础设施运营者，《正式规定》将安全评估的适用标准规定为每年100万人以上个人信息（不含敏感个人信息）或1万人以上敏感个人信息；而将个人信息出境标准合同（个人信息保护认证）的适用标准规定为10万人以上、不满100万人非敏感个人信息。对于敏感个人信息出境，即使数量不满1万，也需订立标准合同或通过个人信息保护认证。

与之对比，征求意见稿中曾规定预计一年内向境外提供不满1万人个人信息的，不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证，未区分一般个人信息或敏感个人信息。

因此，《正式规定》体现了对一般个人信息的监管进一步放松，而对敏感个人信息的监管加强。其带来的影响是，在征求意见稿下，出境少量敏感个人信息的企业可以豁免订立个人信息出境标准合同，而《正式规定》下不再能够豁免。

其次，《正式规定》对关键信息基础设施运营者的合规义务要求更为明确。征求意见稿中曾规定，国家机关和关键信息基础设施运营者向境外提供个人信息和重要数据的，依照有关法律、行政法规、部门规章规定执行。《正式规定》中则明确关键信息基础设施运营者在向境外提供个人信息或重要数据时，必须进行安全评估，其他数据则可以豁免。

除此之外，《正式规定》在其他方面延续了征求意见稿的放松监管趋势，体现在以下对申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的豁免情形：

• 重要数据：数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。

• 自由贸易区负面清单：自由贸易试验区在国家数据分类分级保护制度框架下，可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（以下简称负面清单），经批准备案后生效。自由贸易试验区内数据处理者向境外提供负面清单外的数据，可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

• 数据类别豁免：国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供，不包含个人信息或者重要数据的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

• 境外数据豁免：数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供，处理过程中没有引入境内个人信息或者重要数据的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

• 具体场景豁免：

-   为订立、履行个人作为一方当事人的合同，如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等，确需向境外提供个人信息的；

-   按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的；

-   紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息的。

• 数量豁免：普通经营者（关键信息基础设施运营者以外的数据处理者）自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）的。

二、敏感个人信息、重要数据及关键信息基础设施运营者的认定

由于上述变化，敏感个人信息、重要数据及关键信息基础设施运营者等概念的认定对于理解《正式规定》的具体适用范围非常关键，网信办也在其答记者问中进行了专门回应。

（一）敏感个人信息

敏感个人信息，是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

《信息安全技术 个人信息安全规范》（GB/T 35273–2020）对于敏感个人信息的认定提供了更具体的指导，以下是根据该规范提供的个人敏感信息的具体举例：

（二）重要数据

根据《数据出境安全评估办法》，重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。

《数据安全法》规定，国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。

对于重要数据的识别，《数据安全技术 数据分类分级规则》（GB/T 43697–2024）报批稿、《信息安全技术 重要数据识别指南》征求意见稿等文件将作出进一步厘清。

对此，《正式规定》明确未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估，为企业提供了更高的确定性。

（三）关键信息基础设施运营者

根据《关键信息基础设施安全保护条例》，关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

涉及的重要行业和领域的主管部门、监督管理部门负责制定本行业、本领域关键信息基础设施认定规则，组织认定本行业、本领域的关键信息基础设施，及时将认定结果通知关键信息基础设施运营者。

实践中，与重要数据类似，如果企业未被有关部门明确告知为关键信息基础设施运营者，也无需推定自己是关键信息基础设施运营者。

三、对企业的影响和建议

面对《正式规定》，企业应采取以下措施以确保合规：

• 个人信息出境场景判断：企业应重新评估其数据出境活动，掌握其业务运营和日常管理中的数据场景和具体出境的数据类别和数量，对应《正式规定》，判断应当履行的数据出境合规义务；

• 敏感个人信息的识别：由于《正式规定》明确要求，对于敏感个人信息出境，即使数量不满1万，也需订立标准合同或通过个人信息保护认证，企业应当特别注意其出境的数据中是否有不属于豁免场景的敏感个人信息的出境。例如，员工的身份证号、银行账户等敏感个人信息出境可以得到豁免，而其他合作方联系人的身份证号等敏感个人信息出境无法豁免，需要签署个人信息出境标准合同；

• 持续义务：即便在申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的豁免情形，企业对于个人信息出境仍应履行告知、取得个人单独同意、进行个人信息保护影响评估等义务，对于数据出境仍应履行数据安全保护义务，采取技术措施和其他必要措施，保障数据出境安全，发生或者可能发生数据安全事件的，应当采取补救措施，及时向省级以上网信部门和其他有关主管部门报告。

综上，新规定为数据跨境流动提供了更为明确的指导和要求，企业需要密切关注这些变化，并及时调整自身的数据管理和保护策略，以确保合规并保护企业和用户的权益。