2024年3月22日，国家互联网信息办公室（以下简称“国家网信办”）发布了《促进和规范数据跨境流动规定》（以下简称“《数据跨境新规》”），在广受持续关注和讨论的2023年9月28日《规范和促进数据跨境流动规定（征求意见稿）》（以下简称“《征求意见稿》”）发布近半年后，终于靴子落地，对数据跨境规范机制作出了明确调整。

此外，国家网信办同步发布了《数据出境安全评估申报指南（第二版）》和《个人信息出境标准合同备案指南（第二版）》，对数据处理者需要提交的相关材料进行了优化简化，同步开通了“数据出境申报系统”。

《数据跨境新规》解决了众多日资企业客户持续关注的豁免范围等热点问题，下文将就其中要点简要做出解读。

 

第一、出台背景

关于《数据跨境新规》的出台背景，国家网信办负责人在答记者问中做出了详细介绍，即国家网信办结合数据出境安全管理工作实际，制定《数据跨境新规》，对现有数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的实施和衔接作出进一步明确，“适当放宽数据跨境流动条件，适度收窄数据出境安全评估范围”，在保障国家数据安全的前提下，“便利数据跨境流动，降低企业合规成本”。

我国积极促进数据依法有序自由流动，相继制定实施《网络安全法》《数据安全法》《个人信息保护法》，并先后公布了《数据出境安全评估办法》《个人信息出境标准合同办法》《关于实施个人信息保护认证的公告》《数据出境安全评估申报指南》《个人信息出境标准合同备案指南》等实操文件，对数据处理者申报安全评估、备案标准合同等的方式、流程及需提交的材料等具体要求作出了说明，构建了数据出境的基本法律体系。

然而实践中，仅以备案为例，就出现了申报数量较多，申报材料审核严格，审核周期较长，各地审核尺度松紧不同等，导致给企业造成较重负担及不确定性，影响数据正常流动，另外，较多企业在等待《征求意见稿》特别是其中豁免条款的落地，处于对政策的持续观望状态，反而导致数据合规迟迟未能落实，数据安全持续存在保护漏洞。

 而此次《数据跨境新规》结合了监管实际，响应了对外开放需求，为广大企业特别是涉及国际交易、跨国企业，明确了数据跨境合规操作路径，放宽了数据特别是个人信息之跨境流动条件，减轻数据跨境合规负担、便利数据跨境流动，可谓是重大利好调整。

 

第二、重要数据的识别

数据跨境合规的三路径是指通过数据出境安全评估、签订个人信息出境标准合同并备案、通过个人信息保护认证（以下合称“合规三路径”）。

对大部分关键信息基础设施运营者以外的一般数据处理者企业而言，合规路径的必要性及路径选择首先取决于是否识别重要数据。

《数据跨境新规》第二条明确了“未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估”但同时又规定“数据处理者应当按照相关规定识别、申报重要数据”。

可见是否重要数据的识别责任在于企业，本企业数据是否“未被相关部门、地区告知或者公开发布为重要数据”有赖于检索、判别的工具及专业能力而且各地区、各部门公布的文件存在散落、不定时更新等特点，对大部分企业来说可能并不具备，为预防风险，建议在必要时寻求外部专业团队协助。

 

第三、数据跨境合规三路径的豁免

一、一般数据（不含个人信息或重要数据）豁免

《数据跨境新规》第三条明确了“国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供，不包含个人信息或者重要数据的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”，可见“不包含个人信息或者重要数据”的一般数据，可豁免合规三路径，自由流动。

二、境外个人信息过境处理豁免

《数据跨境新规》第四条明确了“数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供，处理过程中没有引入境内个人信息或者重要数据的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”。可见境外收集和产生的个人信息到境内处理后再出境的，只要处理过程中“没有引入境内个人信息或者重要数据的”，可豁免合规三路径，自由流动，反之如果处理过程中“引入境内个人信息或者重要数据的”，则需依法办理合规三路径手续。

三、不含重要数据的个人信息基于特定出境目的豁免

《数据跨境新规》第五条规定“数据处理者向境外提供个人信息，符合下列条件之一的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证“：

（一）为订立、履行个人作为一方当事人的合同，如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等，确需向境外提供个人信息的；

（二）按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的；

（三）紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息的；

前款所称向境外提供的个人信息，不包括重要数据。

可见，不含重要数据的个人信息基于上述特定目的出境的，可豁免合规三路径。

只是，针对“按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的”情形，仅适用于不具备独立法人地位的代表处，还是同样能适用于境外公司在境内设立的具备独立法人地位的独资公司或合资公司呢？存在解读的不确定性。该情形中“实施跨境人力资源管理”是日资企业较为普遍存在的情形，但跨国集团关联公司之间因各国各地区劳动法制度存在较大差异，统一制定 “劳动规章制度”或签订统一版本的“集体合同”的可能性不高，为此从“按照依法制定的劳动规章制度和依法签订的集体合同”这一限定严格解读的，境外公司在境内设立的具备独立法人地位的独资公司或合资公司不能适用的可能性较高。此时，只能进一步探讨是否可以适用下文数量豁免。

四、不含重要数据的个人信息基于出境数量豁免

《数据跨境新规》第五条（四）规定“关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）的”且该个人信息不包含重要数据的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

可见符合非“关键信息基础设施运营者”，“自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）”，且该个人信息不包含重要数据这三个条件的，可豁免合规三路径。

大部分日资企业非“关键信息基础设施运营者”，出境的个人信息数量很少，且不涉及重要数据、敏感个人信息，大概率可以符合该三个条件从而豁免合规三路径。当然，反之如不符合任一条件得，则不能依据本项豁免。如前所述，相关信息是否涉及重要数据、是否属于敏感个人信息，如企业不具备识别工具及专业能力，建议寻求外部专业团队的协助。

 五、基于未来自贸区制定的负面清单豁免

《数据跨境新规》第六条赋予了自由贸易试验区在国家数据分类分级保护制度框架下，可以自行制定区内需要纳入合规三路径管理范围的数据清单（以下简称“负面清单”），该负面清单经省级网络安全和信息化委员会批准后，报国家网信部门、国家数据管理部门备案。

自由贸易试验区内企业向境外提供负面清单外的数据，可以豁免合规三路径。

例如，中国（上海）自由贸易试验区临港新片区制定了《数据跨境流动分类分级管理办法（试行）》，自2024年2月8日起试行，有效期至2025年2月7日，该办法对数据跨境流动进行分类分级管理，保障数据安全、高效、自由有序跨境流动，将先行先试制定相关数据清单。

 

第四、数据出境安全评估的范围调整

《数据跨境新规》第七条及第八条分别对合规三路径的门槛做了调整。

第七条 数据处理者向境外提供数据，符合下列条件之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估： （一）关键信息基础设施运营者向境外提供个人信息或者重要数据； （二）关键信息基础设施运营者以外的数据处理者向境外提供重要数据，或者自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息）或者1万人以上敏感个人信息。 属于本规定第三条、第四条、第五条、第六条规定情形的，从其规定。 第八条 关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息的，应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。 属于本规定第三条、第四条、第五条、第六条规定情形的，从其规定。

 

《数据跨境新规》出台前的合规三路径必要性门槛梳理如下：

 

 

 

《数据跨境新规》将合规三路径必要性门槛调整如下：

 可见，此次调整将合规三路径的必要性门槛适度放宽了，将便利于广大企业特别是外资企业的数据跨境流动。

 

第五、通过数据出境安全评估结果的有效期

《数据跨境新规》将通过数据出境安全评估结果的有效期由《数据出境安全评估办法》中规定的2年延长至3年，自评估结果出具之日起计算。同时，增加数据处理者可以申请延长评估结果有效期的规定。有效期届满，需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的，数据处理者可以在有效期届满前60个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请。经国家网信部门批准，可以延长评估结果有效期3年。

 

第六、个人信息保护合规的强调

尽管有上述的合规三路径的豁免及必要性门槛调整，《数据跨境新规》在第十条、第十一条强调了个人信息出境时在合规三路径之外的以下其他法定义务仍需得到严格遵守。

1、告知、取得单独同意、PIA义务

按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。

2、采取数据安全保护措施义务

遵守法律、法规的规定，履行数据安全保护义务，采取技术措施和其他必要措施，保障数据出境安全。

3、采取补救措施及报告义务

发生或者可能发生数据安全事件的，应当采取补救措施，及时向省级以上网信部门和其他有关主管部门报告。

 

第六、建议

一、已办或正在办理的合规三路径的企业应对

根据国家网信办负责人在答记者问中的答复，应区分必要性情况及办理进展分别处理：

1、《数据跨境新规》施行前已经通过数据出境安全评估的数据出境活动，数据处理者可以根据申报事项继续开展。

2、《数据跨境新规》施行前未通过或者部分未通过数据出境安全评估，根据《数据跨境新规》免予申报数据出境安全评估的数据出境活动，数据处理者可以依法通过订立个人信息出境标准合同、通过个人信息保护认证等其他途径向境外提供个人信息。

3、《数据跨境新规》施行前已经申报数据出境安全评估、提交个人信息出境标准合同备案，根据《数据跨境新规》无需开展上述程序的，数据处理者可以按照原程序进行，也可以向所在地省级网信部门撤回申报、备案，当然目前为止客户大多选择继续进行。

 二、尚未采取合规三路径等的企业应对

企业应根据《数据跨境新规》评估判断企业所涉数据情况及合规必要性，确定相应合规策略。

1、  重要数据、敏感个人信息的识别

如上所述，数据的识别是判断如何合规出境的前提，而该识别存在难度，企业需要紧跟各地区、各行业随时发布的政策，及时作出准确识别并保留必要证据，降低合规风险。

2、出境情形判断

   出境数量如何判断、是否属于豁免情形等，企业需要结合自身实操情况进行慎重判断，并保留必要证据，降低合规风险。

3、个人信息保护的其他法定义务

如上所述，《数据跨境新规》靴子已落地，国家政策已经明朗，对于大部分此前仍在观望中尚未采取任何个人信息合规措施的企业而言，即使不涉及数据出境、或者即使出境所需的合规三路径被豁免，企业涉及个人信息处理或涉及个人信息出境的，仍需履行其他的法定个人信息安全保护义务，保障个人信息安全，其中包括了告知、获得单独同意、制作PIA报告、采取数据安全保护措施等。