数据跨境规则优化，出境企业何去何从？

9月28日，国家互联网信息办公室（以下简称“国家网信办”）发布了《规范和促进数据跨境流动规定（征求意见稿）》（以下简称“《征求意见稿》”）并公开征求意见。《征求意见稿》对《数据出境安全评估办法》及个人信息保护认证、标准合同备案等相关规范在实践过程中企业存在的疑点进行了澄清、对数据出境监管难点进行了疏通，回应了国际贸易市场对大陆数据跨境监管环境的忧虑。《征求意见稿》以优化数据跨境流动规则为牵引，有利于大陆进一步融入全球高标准贸易协定，为大陆数字贸易未来的显著增长发挥良性作用。为应对监管规则的优化，建议数据出境企业重点关注自身数据安全能力和个人信息保护能力提升，“减负不减责”，对于政策不理解的多与监管沟通，避免发生数据出境安全风险事件。

一、规定简介

（一）规定适用性

从位阶上看，《征求意见稿》属于国家网信部门制定的部门规范文件，上位法为《网络安全法》《数据安全法》《个人信息保护法》（以下简称“《个保法》”）。按照“新法优于旧法”的原则，《征求意见稿》第十一条规定，“《数据出境安全评估办法》、《个人信息出境标准合同办法》等相关规定与本规定不一致的，按照本规定执行。”实践中，《征求意见稿》中对申报评估、标准合同和认证规范的适用门槛进行了细化规定，如何与前述规定进行衔接，可能还需要监管单位进一步解释明确。

（二）规定基本内容

《征求意见稿》全文共十一条1267个字。《征求意见稿》对数据出境合规路径的澄清和细化主要体现在下述四个方面：

1. 白名单制度（豁免申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证，以下简称“审查义务”）：对部分场景下数据出境的必要性审查进行豁免，包括：非重要数据非个人信息的数据、合同履行、跨国企业人力资源管理、紧急避险、境外数据入境再出境以及不需要作为重要数据申报数据出境安全评估等情形。
2. 申报门槛澄清：从关注过去2年内出境个人信息人数转变为关注未来一年内预计出境个人信息人数，且计数门槛有所优化，预计一年内出境不满1万人个人信息，豁免审查义务。
3. 负面清单制度（自由贸易区的特殊规定）：赋予自由贸易区数据出境方面先行先试的权利，可自行制定负面清单，报监管批准和备案后，负面清单外的数据出境可豁免事前审查。
4. 与原有制度保持一致的部分：涉及国家机关和关键信息基础设施运营者向境外提供个人信息和重要数据，向境外提供涉及党政军和涉密单位敏感信息、敏感个人信息的按照既有规定执行。

二、逐条解读

第一条：典型场景非个人信息非重要数据不纳入出境监管

要点解读

重申数据出境的监管客体仅为“重要数据”和“个人信息”，如数据出境不含二者，则可自行合法有序出境。核心数据和国家秘密不在此范围内，核心数据不能出境，国家秘密的安全按照《国家安全法》的相关规定执行。

应对建议

• 本条仅限于国际贸易、学术合作、跨国生产制造和市场营销等活动，建议不要在场景定义外过度推演。必要时与监管沟通以确定理解的一致性。
• 实践中，应注意鉴别被共享的学术数据不涉及重要数据或者国家秘密、情报，此类场景适用豁免规定需谨慎，避免危害国家安全和社会公共利益。
• 实践中，快消行业的营销活动往往利用的是“个人信息”，既包括针对明确的个人信息主体进行的精准营销，也包括利用去标识化等处理后得到的数据对特定人群进行定向分析和营销。根据《个保法》的规定，如个人信息经匿名化处理，则其不再属于个人信息的范畴，因此企业需准确判断用出境数据是否已经完全达到匿名化处理要求。

第二条：明确纳入数据出境安全评估的重要数据识别尺度

要点解读

《数据安全法》明确由行业主管部门制定本行业重要数据目录，《征求意见稿》中对此进一步做了说明，即明确已被相关监管认定为重要数据的，须申报安全评估，其他暂未识别为重要数据的，不以重要数据申报评估。

应对建议

相关企业暂时无需申报重要数据出境评估。同时，应关注监管政策变化，及时与监管部门沟通，了解最新的重要数据识别规则及目录。

第三条：不在境内收集产生的个人信息入境再出境的审查义务豁免

要点解读

【豁免依据】此条涉及监管客体为个人信息，不包含重要数据、其他数据。本条豁免依据是《个保法》第三十八条中“国家网信部门规定的其他条件”。

【基本理解】对于过境数据的监管，一直存在争议。

• 《个保法》采取的主要是属地原则，无论个人信息是否在境内收集或者产生：

  -“在中华人民共和国境内处理自然人个人信息的活动，适用本法”（第三条）

  -“个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的”（第三十八条）

• 《数据出境安全评估办法》仅规定了数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的监管要求（第二条），过境数据成为出境监管要求的空白地带。
• 在此基础上，《征求意见稿》进一步明确了过境数据的豁免，给相关企业指明了方向。

应对建议

数据过境情形在实务中较为复杂，需详细甄别过境个人信息是否完全未经任何加工处理。

第四条：三种情形下审查义务的豁免

要点解读

本条豁免依据有三种说法：一个是个保法第38条第四款 网信部门规定的其他条件；另一个是个保法第七十二条自然人因个人或者家庭事务处理个人信息的豁免；还有人认为本条可能存在与上位法冲突的地方。众口不一的情形还有待监管进一步解释和明确。

应对建议

• 上述情形下，出境个人信息必要性的判断从监管下放至企业，允许企业自行判断，也即对判断错误有一定容忍空间。企业可基于《个保法》提出的“必要原则”、“限于实现处理目的的最小范围”、“实现处理目的所必要的最短时间”、“采取对个人权益影响最小的方式”等指导原则进行判断。同时，企业应当对上述原则的具体应用享有合理的商业判断与解释空间。
• 实践中，必要性的判断仍是普遍存在的难点，有待监管进一步明确和业界通过实践案例进行精确识别。同时，企业不可放松跨境场景下个人信息保护义务的落实责任。

第五&六条：澄清出境个人信息计算逻辑

要点解读

第七条：自贸区负面清单外的审查义务豁免

要点解读

此条豁免的依据是个保法第38条第四款网信部门规定的其他条件。也是对《关于进一步优化外商投资环境 加大吸引外商投资力度的意见》第（十四）条“外商投资企业建立绿色通道，形成可自由流动的一般数据清单”的细化落地（出于落地考虑，从“白名单”转为“黑名单”机制）。通过“黑名单”机制，允许自贸区内的相关监管机构探索宽松的数据出境措施，将自贸区打造成数字贸易示范区，实现跨境数据流动分级分类监管，满足自贸区企业多元化的出境需求，发挥其在数字贸易上的产业优势，使自贸区成为数字贸易和数据跨境活动的重要通道。

第八条：国家机关和CIIO数据出境规则不变

要点解读

• 国家机关在处理敏感信息时，应确保不会被滥用或泄露给外部势力。
• CIIO通常包括电信运营商、金融机构、能源企业等，他们掌握大量的个人信息和重要数据，如银行客户的财务状况数据、电信用户的通信数据、反映大陆能源供应和分配的关键数据等，这些数据的安全性对于国家和个人都至关重要。
• 党政军和涉密单位的敏感信息和敏感个人信息一旦泄露可能对国家安全和社会稳定造成严重威胁。
• 上述数据出境规则不变体现了监管对于关系国家安全、社会公共利益的重要数据、敏感信息、敏感个人信息跨境安全的高度关注。涉及单位应当坚守底线，严格落实出境要求，确保不发生数据出境导致的安全风险事件。

第九&十条：各方责任义务澄清

要点解读

从各方责任义务的要求中我们可以看出大陆数据出境监管思路的根本转变——从“家长式监督” 转变为“自律式监督”。

• 在《数据出境安全评估办法》等文件中，国家网信部门发现已经通过评估的出境活动不符合出境安全管理要求的，书面通知数据处理者终止出境活动。
• 《征求意见稿》中，国家网信办将监督职责扩大到各地方网信部门，且监管逻辑为：风险导向-整改为主。不过，如果企业态度恶劣，拒不整改或者出境安全事件造成严重后果的，仍将面临停止出境活动的处罚。

三、数据出境需求企业客户应当如何应对

对于出境企业而言，《征求意见稿》的出台显然是好事。我们建议企业密切关注《征求意见稿》的未来动向：如2023年11月30日前，暂无正式发文的话，建议企业先按照原先的节奏准备出境审查相关材料，并与所在地省级网信办沟通情况，确定是否需尽快提交材料，从而避免标准合同备案整改期结束后，存在合规风险；如11月底前已有正式发文的话，可按照发文要求，重新梳理自身出境场景、数据、涉及系统和链路，选取适当的出境路径，并履行数据出境各项法定义务。具体应对建议如下：

（一）“减负不减责”

对于被豁免审查义务的个人信息出境企业，仍应当履行《个保法》规定的个人信息保护义务，涉及合规义务包括：

• “告知-同意”义务(《个保法》第39条)
• 数据出境场景下的个人信息保护影响评估（PIA）（《个保法》第55条、第56条）
• 个人信息保护合规审计（《个保法》第54条、第64条）
• 其它个人信息的安全保护义务，如：安全规章、分类管理、加密技术、应急预案、安全培训、安全事件发生时的报告义务等（《个保法》第51条、第57条）
• 法律文件签署（《个保法》第20、21、23条）

（二）重点关注自身个人信息保护能力提升

随着个人信息保护审计的监管要求发布，有些人认为监管热点从数据出境转移到个人信息保护合规审计。但笔者认为，随着个人信息保护监管机制形成闭环，我们可以从数据出境自评估和个人信息保护合规审计这样的“点”，看到监管对企业个人信息保护管理能力、技术措施、运营平台等整体防护“面”的要求，同时也是从外在形式的监管到数据处理者内核安全能力提升的要求，最重要的落点还是企业个人信息保护能力的建设。

因此，我们建议企业以数据出境合规为契机，使用当下流行的Saas化自评估工具，对自身数据出境基本情况进行梳理、调查和评估，对发现的问题及时整改，调整数据出境计划，完善个人信息保护管理体系、技术体系和运营体系。通过提升自身个人信息保护能力，固本正元，以扎实的基础应对《个保法》合规的问题。

（三）多与监管沟通

对于已经在准备申报评估、标准合同备案过程中的企业，建议与监管沟通，结合当前合规工作进度，选取适当的出境路径。

对于可能涉及重要数据，但未被相关部门、地区告知或者公开发布为重要数据的，可按照《征求意见稿》第二条，暂时不以重要数据去申报数据出境安全评估。但企业应及时关注行业主管部门和地区重要目录制定情况，一旦被识别为重要数据，应尽快调整践行《数据安全法》规定的重要数据保护各项义务。

在实践中，《征求意见稿》未能细化说明之处，也需及时向所在地省级网信部门咨询，听取监管意见和建议。