规范和促进数据跨境流动规定（征求意见稿）

为保障国家数据安全，保护个人信息权益，进一步规范和促进数据依法有序自由流动，依据有关法律，对《数据出境安全评估办法》、《个人信息出境标准合同办法》等数据出境规定的施行，作出以下规定。

解读: 

新规出台的大背景，是中央稳经济、稳外资、稳外贸、保增长的政策趋向。比如，国务院2023年7月发布的《关于进一步优化外商投资环境 加大吸引外商投资力度的意见》第（十四）条就提出，要探索便利化的数据跨境流动安全管理机制。新规响应了目前经济发展的最大诉求，一方面能促进数据跨境流动发展，另一方面能缓解实务中的出境合规难题，为企业减负。

一、国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境，不包含个人信息或者重要数据的，不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

解读：

国际贸易、学术合作、跨国生产制造和市场营销四个领域的数据出境可以豁免，但前提是不包含个人信息或者重要数据。以跨国生产制造企业为例，很多跨国公司在中国境内设有制造工厂，如果是只是纯工业制造类生产和经营数据，而不涉及个人信息和重要数据，则相关数据可以进行跨境传输。

相关规定：

《数据出境安全评估办法》 

第四条 数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：

（一）数据处理者向境外提供重要数据；

（二）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；

（三）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；

（四）国家网信部门规定的其他需要申报数据出境安全评估的情形。

《个人信息出境标准合同办法》 

第四条 个人信息处理者通过订立标准合同的方式向境外提供个人信息的，应当同时符合下列情形：

（一）非关键信息基础设施运营者；

（二）处理个人信息不满100万人的；

（三）自上年1月1日起累计向境外提供个人信息不满10万人的；

（四）自上年1月1日起累计向境外提供敏感个人信息不满1万人的。

法律、行政法规或者国家网信部门另有规定的，从其规定。

个人信息处理者不得采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。

二、未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。

解读：

虽然是数据跨境流动的相关规定，但本条可以被视为是关于“重要数据”的重要规定。何为“重要数据”，目前在法律法规层面尚无明确规定，一直为雾里看花的朦胧状态。

2016年11月发布的《网络安全法》首次提出“重要数据”的概念，其第二十一条要求对重要数据采取“备份和加密等措施”，第三十七条要求关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。

2021年6月出台的《数据安全法》亦未对重要数据的概念进行界定，但提出了国家建立数据分类分级保护制度，各地区、各部门确定重要数据具体目录，并强调对列入的数据进行重点保护。

2021年11月14日，国家网信办发布的《网络数据安全管理条例（征求意见稿）》第二十七条规定，各地区、各部门按照国家有关要求和标准，组织本地区、本部门以及相关行业、领域的数据处理者识别重要数据和核心数据，组织制定本地区、本部门以及相关行业、领域重要数据和核心数据目录，并报国家网信部门。按照该条规定，各地区、各部门将根据《数安条例》制定自己的重要数据识别细则。

此外，2021年10月1日生效的《汽车数据安全管理若干规定(试行)》以不完全列举的形式对汽车行业的重要数据做出了规定，但《汽车数据规定》作为汽车行业的专门规定，对于非汽车行业的企业的合规指引作用有限。

而根据此条的规定，无疑明确了以下两点：

1）“重要数据”的认定方式：将由相关部门、地区告知或者公开发布。主管部门或地区“告知”的方式，与关键信息基础设施的认定方式类似。

2）企业如果没有被主管部门或地区“告知”，则排除被认定为“重要数据”，可以不用针对重要数据申报出具出境安全评估；但如果本企业的个人信息出境触发到规定的量级，则仍需要申报数据出境安全评估。

相关规定：

《数据出境安全评估办法》 

第二条 数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估，适用本办法。法律、行政法规另有规定的，依照其规定。

第十九条 本办法所称重要数据，是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。

三、不是在境内收集产生的个人信息向境外提供，不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

解读：

本条明确了个人信息的来源如果不是境内的话，则不适用数据出境监管规则。此种例外情况笔者暂且想到了以下这两种场景：

1）跨国企业：境外分支机构收集产生的境外自然人个人信息——通过邮件、内部CRM、OA系统等传输到国内总部存储——境外分支机构访问、调取数据；

2）云存储：境外2C端的云服务收集产生的境外自然人个人信息——存储在国内的服务器上——境外C端用户访问、调取数据。

问题：

如境外C端产品在境外收集产生的境内自然人个人信息，通过云计算技术将数据存储在境内的云服务器上，境外C端产品运营者可以通过互联网访问和管理存储的数据，是否属于此条的豁免情形？按照《个人信息保护法》第三条的规定，此种情况应适用《个人信息保护法》，因此也就应符合个人信息出境监管要求，不能豁免。

相关规定：

《个人信息保护法》

第三条 在中华人民共和国境内处理自然人个人信息的活动，适用本法。

在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用本法：

（一）以向境内自然人提供产品或者服务为目的；

（二）分析、评估境内自然人的行为；

（三）法律、行政法规规定的其他情形。

第三十八条 个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：

（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；

（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；

（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

（四）法律、行政法规或者国家网信部门规定的其他条件。

中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。

个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

第四十条　关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

四、符合以下情形之一的，不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证：

（一）为订立、履行个人作为一方当事人的合同所必需，如跨境购物、跨境汇款、机票酒店预订、签证办理等，必须向境外提供个人信息的；

（二）按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理，必须向境外提供内部员工个人信息的；

（三）紧急情况下为保护自然人的生命健康和财产安全等，必须向境外提供个人信息的。

解读：

本条规定了不适用数据出境监管规则的三种豁免行为。第二款和第三款比较明确，即跨国企业集团内部员工个人信息的跨境提供和紧急情况下为保护自然人的生命健康和财产安全的情形，如在医院紧急实施有境外专家参与的远程手术治疗，或有国际刑警参与救援的刑事追捕场景等。

但第一款“订立、履行合同所必须”的豁免情形中，列举了“跨境购物、跨境汇款、机票酒店预订、签证办理”四种场景，那么其他场景谁来判断？又如何判断属于“订立、履行合同所必须”？如跨国培训机构将不满十四周岁的儿童个人表演视频传输给境外的指导老师的场景，是否属于订立、履行合同所必须？

如果是秉承事前监管向事中事后监管转变的这一监管思路，则“订立、履行合同所必须”的第一判断人为向境外提供数据一方，也就是企业自身，企业宜在合同中做好相关条款的设计。

五、预计一年内向境外提供不满1万人个人信息的，不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。但是，基于个人同意向境外提供个人信息的，应当取得个人信息主体同意。

解读: 

《个人信息出境标准合同办法》适用订立标准合同的情形，得同时满足非关基、处理个人信息不满100万人、自上年1月1月起不满10万人个人信息以及自上年1月1日起不满1万敏感个人信息的要求。从本条新规来看，除却前几条的豁免情形，明显为个人信息出境提供了便利通道：

一是“预计”未来一年内，谁来预计？企业自己来预计，而不是监管单位事前审。

二是不满1万人个人信息，即有了1万的门槛，而《个人信息出境标准合同办法》中是是零门槛的，只要有个人信息出境，哪怕只有100条个人信息出境，也需要走标准合同备案流程。

三是数据类型为“个人信息”，含敏感个人信息，即只要向境外提供的敏感个人信息不满1万人的，也不需要适用数据出境监管规则。

但是，需要提请企业注意的是，根据《个人信息保护法》第三十九的规定，个人信息处理者向境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。即只要向境外提供个人信息的，无论是100条还是100万条，都应当履行告知和单独同意的义务。

回到前文向境外培训机构的老师传输学生表演视频的案例，结合新规第四条和第五条的规定，我们有了以下推论：即使企业自身不好判断是否为“订立、履行合同所必须”，即使传输的是敏感个人信息，但由于学生数量没达到1万人的门槛，因此仍不需要适用数据出境监管规则，只需要取得该学生家长的单独同意即可。

问题：

本条规定的是“预计未来一年内新增不满1万”，那么在2023年11月31日前已经出境的个人信息，是否应按照《个人信息出境标准合同办法》第四条的规定进行备案？

相关规定：

《个人信息保护法》

第十三条　符合下列情形之一的，个人信息处理者方可处理个人信息：

（一）取得个人的同意；

（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；

（三）为履行法定职责或者法定义务所必需；

（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；

（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；

（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；

（七）法律、行政法规规定的其他情形。

依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。

第十四条　基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。

个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。

第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

《个人信息出境标准合同办法》

第十三条 本办法自2023年6月1日起施行。本办法施行前已经开展的个人信息出境活动，不符合本办法规定的，应当自本办法施行之日起6个月内完成整改。

六、预计一年内向境外提供1万人以上、不满100万人个人信息，与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的，可以不申报数据出境安全评估；向境外提供100万人以上个人信息的，应当申报数据出境安全评估。但是，基于个人同意向境外提供个人信息的，应当取得个人信息主体同意。

解读: 

1）判断主体和时间跨度：企业自己来判断未来一年内的个人信息传输量；

2）可采取标准合同备案或者认证路径的数量级为1万至100万人，但需要注意的是，本条规定的是个人信息，而不是1万敏感个人信息，即如果是上下游供应链企业的联系人的姓名和电话号码，只要超过了1万，则仍需要适用数据出境监管规则；

3）预计一年内向境外向境外提供个人信息超过100万人以上的，则应向网信办申报收据出境安全评估。

相较于《数据出境安全评估办法》第四条的规定，此项申报安全评估的数量级门槛无疑大幅度提升，将让一大批企业免于走申报流程。

问题：

本条规定的问题同第六条，在2023年11月31日前已经出境的个人信息，如果没有达到1万至100万人，是否应按照《个人信息出境标准合同办法》第四条的规定进行标准合同备案。

七、自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（以下简称负面清单），报经省级网络安全和信息化委员会批准后，报国家网信部门备案。

负面清单外数据出境，可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

解读：

本条为自贸区的特殊政策留出空间，自贸区可以制定单独适用的负面清单，负面清单之外的数据出境予以审批豁免。此举促进了自贸区内数据跨境流动的便捷性，强化了自贸区在数据跨境流动领域的集聚力。目前国内已经有至少18个自贸区，有数据出境需求的企业可密切关注其负面清单的差异化。

八、国家机关和关键信息基础设施运营者向境外提供个人信息和重要数据的，依照有关法律、行政法规、部门规章规定执行。

向境外提供涉及党政军和涉密单位敏感信息、敏感个人信息的，依照有关法律、行政法规、部门规章规定执行。

解读：

这是新规中唯一提到了敏感个人信息的一条。虽然新规不再将敏感个人信息纳入数据出境路径的判断基数，但是在针对国家机关、CIIO以及“涉及党政军和涉密单位敏感信息、敏感个人信息的”，仍然需要走专门的法律法规要求的路径，不能豁免。

九、数据处理者向境外提供重要数据和个人信息，应当遵守法律、行政法规的规定，履行数据安全保护义务，保障数据出境安全；发生数据出境安全事件或者发现数据出境安全风险增大的，应当采取补救措施，及时向网信部门报告。

解读：

本条主要规定了数据出境的合法性与安全性。即无论企业是否触及新规所要求的数量标准，《网络安全法》《数据安全法》和《个人信息保护法》及相关行政法规中所要求的数据安全保护义务仍需要履行，如进行个人信息保护影响评估、建立数据安全和个人信息保护管理制度、采取安全技术措施、定期进行安全教育和培训以及制定安全事件应急预案等。

十、各地方网信部门应当加强对数据处理者数据出境

活动的指导监督，强化事前事中事后监管，发现数据出境活动存在较大风险或者发生安全事件的，要求数据处理者进行整改消除隐患；对拒不改正或者导致严重后果的，依法责令其停止数据出境活动，保障数据安全。

解读：

监管侧会更加强调事中和事后监管，如发现数据出境活动存在较大风险或者发生安全事件的，可以要求数据处理者进行整改消除隐患；对拒不改正或者导致严重后果的，依法责令其停止数据出境活动，保障数据安全。

十一、《数据出境安全评估办法》、《个人信息出境标准合同办法》等相关规定与本规定不一致的，按照本规定执行。

解读：

新规确实与《数据出境安全评估办法》第四条和《个人信息出境标准合同办法》第四条有比较大的出入，作为同一法律位阶的部门规章，本着新法优于旧法的法律适用原则，规定有冲突的地方，定将以新规为准。

总结和建议

本次征求意见稿的调整重点：

1.明确无需适用数据出境监管规则的情形，大大降低了相关主体在数据出境时的合规成本，提高了我国数据出境的效率。

2.提升了适用数据出境监管规则的门槛：预计一年内向境外提供超过100万人个人信息的，申报安全评估；1万人-100万人的，标准合同备案或认证即可；1万人以下的，豁免。

3.监管思路转变，从强调事前监管调整到强化事前事中事后的均衡监管。

4.新规可能与《个人信息出境标准合同办法》6个月整改期衔接，成为2023年11月30日后数据出境的重要法律依据。

对企业的相关建议：

1.尽管新规规定了一些豁免场景，但《网络安全法》《数据安全法》《个人信息保护法》等法律法规规定实质性合规义务仍应当履行。比如，对于跨境传输个人信息，即使按照新规不需要申报评估或进行备案，也应当主动采取合规措施，满足合法性、正当性和必要性的条件，如在数据采集环节获得数据主体的单独同意，向境外提供个人信息前进行个人信息保护影响评估，在向境外传输数据环节采取措施实现传输信息的安全等。

2.虽然是征求意见稿，但跨国企业可以根据新规来履行合规义务，即通过完善内部劳动规章制度、依法签订集体合同的方式以向境外提供员工数据。

3.所传输数据是否为履行合同所必须？企业向境外传输的数据是否触发1万人/100万人的门槛？这些事项都需要企业对所涉数据跨境提供的合同进行完善，对企业内部所有系统的出境数据进行盘点，以判断是否适用或者适用哪一条数据出境监管规则。

作者简介

张良律师，北京市盈科律师事务所合伙人，盈科全国数字经济法律专业委员会秘书长，中国信通院DSI数安智库专家，中国电子商会数据要素发展工作委员会专家组成员，中国卫生信息与健康医疗大数据学会信息及应用安全防护分会第一届委员，持有“数据保护官（DPO）”认证和基金从业资格证书。

张良律师曾在某信息安全公司、某基金管理公司和某跨国集团公司担任法务负责人十余年，自执业以来专注于网络安全、数据安全与个人信息保护、数据治理、数据流通和交易等网络法相关领域的法律实务，并参与了该领域数项行业标准、地方标准以及团体标准的制定。

服务客户包括但不限于：中国石化销售股份有限公司、人民健康网络有限公司、郑州数据交易中心、深圳数据交易所、鄂尔多斯市大数据中心、中国卫生信息与健康医疗大数据学会、中国中医药信息学会、成都久信信息技术股份有限公司、湖南链创智能科技有限公司、（大众集团）逸驾智能科技有限公司等。