2023年9月28日，国家互联网信息办公室（以下简称“国家网信办”）就《规范和促进数据跨境流动规定（征求意见稿）》（以下简称《数据跨境规定》）公开征求意见。《数据跨境规定》对于数据出境监管的标准进行了一定的调整，引发社会各界，特别是有数据出境活动的主体的高度关注。

      《数据跨境规定》征求意见稿体现出什么样的监管趋势？该规定与《数据出境安全评估办法》《个人信息出境标准合同办法》等规则的衔接关系，以及《数据跨境规定》落地后如何适用？这些问题都值得关注。

       笔者认为，《数据跨境规定》是对于《数据出境安全评估办法》《个人信息出境标准合同办法》等规则整改期实践的总结，并在此基础上进一步完善了数据出境治理思路。同时，在《数据安全法》《个人信息保护法》的基础上，对于若干问题进行澄清和突破。具体如下：

一、数据出境治理思路的变化

从征求意见稿的内容来看，主要的变化体现在以下三个方面：

（一）触发评估或备案的条件从追溯向预判转化

       这一变化主要体现在触发数据出境安全评估或标准合同备案的情形上，在《数据出境安全评估办法》中，适用个人信息出境安全评估的情形包括：“自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息”。低于这一数量则适用个人信息出境标准合同备案。

1.《数据出境安全评估办法》的追溯思路及拟出境数量管理

       按照这一规定，触发数据安全评估的条件是，过去一个完整年度及申请评估年度截止申请评估日的个人信息或敏感个人信息的出境数量达到一定标准。吴卫明律师认为，这一触发条件，实际上是对数据处理者过去行为的“追溯”。与此同时，在数据出境申报书中，对于未来两年拟出境的数据量也需要进行表述。未来两年的实际数据出境量，应不高于申报书中申报的拟出境数据量。

       按照《数据出境安全评估办法》的流程，对于达到评估标准的数据处理者而言，实际上需要申报两个行为。

       一是过去的个人信息出境行为，该行为是触发评估的前提。二是未来两年的个人信息出境行为，该行为是出境评估授予出境数量额度的行为。

       在实际执行中，会出现一个问题：如果某数据处理者自上年1月1日起累计向境外提供的个人信息数量低于10万人个人信息或低于1万人敏感个人信息，按照《数据出境安全评估办法》，是不需要申报数据出境安全评估的，而只需要按照《个人信息出境标准合同办法》申报个人信息出境标准合同备案。

       假如A企业自上年1月1日起累计向境外提供的个人信息数量低于10万人个人信息或低于1万人敏感个人信息，但未来两年预期的个人信息出境数量较大；而B企业自上年1月1日起累计向境外提供的个人信息数量高于10万人个人信息或高于1万人敏感个人信息，但未来两年预期的个人信息出境数量较小；那么就会形成一个矛盾，即A企业未来实际出境个人信息数量大，却仅仅通过备案获得了出境数量的额度；B企业未来实际出境个人信息数量小，却需要通过安全评估获得出境数量的额度。

       显然，在上述虚拟的案例中，评估或备案的严格程度，与数据出境的数量级别是不匹配的。为了清晰显示这一区别，可见下表：

2.《数据跨境规定》的预判思路及出境数量管理

      《数据跨境规定》则将未来一年内的预计出境信息人数作为触发数据出境安全评估或触发个人信息标准合同备案的条件。其具体规定为：预计一年内向境外提供1万人以上、不满100万人个人信息，与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的，可以不申报数据出境安全评估；向境外提供100万人以上个人信息的，应当申报数据出境安全评估。

      这一规定强调的是“预计”，也就是说，看重的是未来一年的拟出境个人信息人数。从而将现行规则既关注过去的实际出境数量，也需要申报未来两年出境个人信息人数的双重因素调整为只考虑未来一年预计数量。

       征求意见稿的规定方式，有利于出境监管的数量因素与评估/备案体系更好地统筹协调。预计出境数量多（超过100万人）的情况，直接申请评估；预计出境数量少的（1万至100万），直接进行备案。

（二）触发评估条件从管主体向管数量的转化

1.《数据出境安全评估办法》对于特定主体（100万人）的规定

      《数据出境安全评估办法》中，关于个人信息出境安全评估的情形，包含针对特定主体的情形。该办法第四条之（二）包含了“关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息”。当然，本条款里面的关键信息基础设施，已经明确不适用《数据跨境规定》，本文不做赘述。

       对于处理100万人以上个人信息的数据处理者向境外提供个人信息的情况，《数据出境安全评估办法》规定必须申报数据出境安全评估，即使是仅出境一条个人信息。这一条规定，体现了对于处理100万人以上个人信息的数据处理者数据安全的严格保护。但是，如果该主体出境的个人信息数量极少，那么从出境角度看，该种出境行为对于国家安全、社会公共利益、个人信息主体的权益损害也是有限的。如果另外一个主体，虽然处理个人信息数量远远低于100万人，但出境的个人信息数量远大于前者却尚未触发10万人或1万人的标准，则又会造成出境行为的实际风险与出境行为需要履行的评估或备案程序不匹配。

2.《数据跨境规定》关注实际数量

       因《数据出境安全评估办法》中关于关键信息基础设施运营者的个人信息和重要数据出境的规定，是国家法律的强制规定。因此，《数据跨境规定》并未涉及对于关键信息基础设施运营者数据出境的标准调整。

      处理100万人以上个人信息的数据处理者个人信息出境的标准，在《数据跨境规定》中并未规定。而是调整为以未来一年预计出境数量为触发数据出境安全评估或个人信息出境标准合同备案的标准。其中，预计一年内向境外提供100万人以上个人信息的，应当申报数据出境安全评估；预计一年内向境外提供1万人以上、不满100万人个人信息，仅需进行个人信息出境标准合同备案或者通过个人信息保护认证。

       此外，对于非关键信息基础设施运营者未来一年预计出境数量不到1万人个人信息的，则不直接干预。

       对个人信息出境标准，从主体到数量的调整，将使得风险与适用的程序更为匹配。

（三）省级网信部门获得更多授权

        如上，总体而言，适用个人信息出境标准合同备案的情形增加，而适用数据出境安全评估的主体和情形则适当缩减，适用省级网信部门备案的比例提高。此外，对于自由贸易试验区的负面清单制定和批准，也赋予了省级网信部门在数据出境中的监管职责。

二、若干重要问题的突破

（一）关于重要数据的认定从“自行识别”到“被告知或公示”的转变

1.原有规则不能排除自行识别的义务

       重要数据的认定问题，一直是数据出境安全评估申报中的难题，虽然《数据安全法》规定，各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。但截止当前，除《汽车数据安全管理若干规定（试行）》，列举了六类重要数据外，其他行业主管部门或地区尚未出台专门的重要数据目录。

       尽管《工业和信息化领域数据安全管理办法（试行）》对于重要数据的概念进行了细化，但仍属于原则性规定。但是，该办法十二条规定：工业和信息化领域数据处理者应当将本单位重要数据和核心数据目录向本地区行业监管部门备案。

      这就意味着，至少在工业和信息化领域，数据处理者应当识别重要数据，并向本地区行业监管部门备案。

      与此对应，如果工业和信息化领域的企业涉及数据出境，则可能需要根据《工业和信息化领域数据安全管理办法（试行）》的规定识别重要数据，并进行数据出境安全评估申报。

2.《数据跨境规定》明确了被告知或公开发布重要数据的原则

      《数据跨境规定》第二条规定，“未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。”

       即，如果查不到本行业公开的重要数据认定标准，也没有接到监管机构通知的，可以认为不需要适用重要数据的数据出境安全评估申报义务。该规定降低了重要数据认定的不确定性。

       总体而言，重要数据的出境规则，使得企业在国家有关部门、地区重要数据目录没有发布、或者数据处理者未被告知存在重要数据的情况下，可以不需要因为重要数据出境而申报安全评估。

（二）豁免情形与负面清单并存

      《数据跨境规定》同时规定了个人信息出境豁免申报数据出境安全评估、个人信息出境标准合同备案、个人信息保护认证的情形，也规定了自贸区的负面清单制度。豁免情形是《数据跨境规定》直接予以规定的，负面清单则需要自贸区依照相应程序制定并经过批准和备案。

1.个人信息出境豁免的情形

      《数据跨境规定》第四条规定，无须适用数据出境安全评估、个人信息出境标准合同备案、个人信息保护认证的情形包括：（一）为订立、履行个人作为一方当事人的合同所必需，如跨境购物、跨境汇款、机票酒店预订、签证办理等，必须向境外提供个人信息的；（二）按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理，必须向境外提供内部员工个人信息的；（三）紧急情况下为保护自然人的生命健康和财产安全等，必须向境外提供个人信息的。

     就第一种情形而言，是很多企业日常经营中为个人提供服务所不可避免的，比如：航空公司的跨境机票预定、机场提供值机服务，都不可避免需要用到个人信息；金融机构的跨境汇兑，接收方银行获取汇款人的姓名、账号等信息也是业务必备的要求。这种出境活动因服务需要而无法终止或暂停，将其列入豁免的情形，具有合理性。

      第二种情形下，也是企业跨境经营管理的基础条件，企业无论是内部人力资源管理、ESG管理，对于员工信息的获取，都具有一定的合理性。

      第三种情形，则由于紧急情况的需要，而使得出境安全评估、个人信息出境标准合同备案、个人信息保护认证不具有实际的可行性。

      需要注意的是，由于《网络安全法》第三十七条规定关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。因此，上述三种豁免情形，笔者理解，并不适用于关键信息基础设施运营者。

2.自由贸易试验区负面清单问题

     《数据跨境规定》第七条规定，自由贸易试验区可自行制定本自贸区需要适用三大路径的数据清单（即“负面清单”），负面清单外的数据出境可以无须适用三大路径。负面清单应当报经省级网络安全和信息化委员会批准，报国家网信部门备案。

      负面清单制度，是网信部门在特定区域内简化出境监管流程的一种特殊制度安排。

三、数据出境企业如何应对

（一）总量统计与分场景申报的关系

1.不同场景的总量应合并统计

       从《数据跨境规定》关于个人信息的数量规定来看，无论是需要申报数据出境安全评估的情形，还是适用个人信息出境标准合同备案的情形，判断的标准均以出境个人信息人数为准。这里所指的数量，应该是总量。即数据处理者的个人信息数据出境的场景可能有多个，这些场景下的个人信息出境数量应合并计算。

2.申报或备案应分场景分别描述

      虽然《数据跨境规定》尚处于征求意见稿，且所适用的申报指引或者备案指引尚未公布，但从整个文件的精神，以及此前数据出境安全评估及个人信息出境标准合同备案的操作实践来看，评估或备案，应以数据出境的场景为基础，分场景申报评估或申报备案。

      基于以上分析，吴卫明律师认为，与评估或备案相关的基础工作总体上与《数据出境安全评估办法》《个人信息出境标准合同办法》的申报类似。都需要进行信息系统盘点、数据出境场景盘点、数据量盘点，也需要针对不同场景的数据出境进行合法性、正当性、必要性分析。

（二）豁免情况下的个人信息保护影响评估问题

       对于《数据跨境规定》第四条规定的三种豁免情形，以及对于未来一年预计出境数量不到1万人个人信息的，虽然无需无须适用数据出境安全评估、个人信息出境标准合同备案、个人信息保护认证。

       但是，由于《个人信息保护法》明确规定了个人信息保护影响评估制度，个人信息出境属于必须做个人信息保护影响评估的情形。因此，数据处理者即使在上述豁免情形下实施个人信息出境，也应针对个人信息出境场景实施个人信息保护影响评估活动。

（三）豁免情况下的个人信息出境合同签订问题

       对于上述无须适用数据出境安全评估、个人信息出境标准合同备案、个人信息保护认证的情形，数据处理者是否需要签订相应的数据出境法律文件或者个人信息出境标准合同？相关规则没有明确规定，《数据跨境规定》也未涉及。吴卫明律师认为，即使是在豁免情形下，建议数据处理者仍与境外接收方签订相应的个人信息保护协议。

      《个人信息保护法》三十九条规定，个人信息处理者向境外提供个人信息，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

       数据处理者为了明确这些事项，客观上也需要相应的合同予以约定。同时，为了保证这些告知事项能够被境外接收方遵守，也需要与境外接收方签订相应的保障个人信息安全及个人权益的协议。当然，对于个人信息保护协议的内容，如果具备条件，建议按照个人信息出境标准合同的内容签署。如果不具有签署标准合同的条件，则建议协议中应涵盖《个人信息保护法》第三十九条对于告知内容的要求。

       综上，笔者认为，《数据跨境规定》是在《数据出境安全评估办法》《个人信息出境标准合同办法》施行基础上的总结，《数据跨境规定》征求意见稿的颁布，也体现出监管机关对于数据出境治理思路。对于数据处理者而言，吃透规定的精神，并做好数据出境合规工作的预判与规划，无疑具有重要的现实意义。