自2023年9月28日国家互联网信息办公室发布《规范和促进数据跨境流动规定（征求意见稿）》（以下简称“928新规"）以来，数据跨境监管动态一直悬而未决，企业对于后续的政策及监管趋势存在诸多疑虑。2024年3月22日，《促进和规范数据跨境流动规定》（以下简称“《规定》"）正式发布并自公布之日起施行，规定以促进为主，兼顾规范，对于企业来讲，减负信号更为明显，监管确定性增强，是一件幸事，我们特此在新规正式发布之际带来如下解读，为相关主体提供参考。

一、出台背景

我们理解，《规定》的正式发布主要有两个层次的原因：

首先，中央“稳经济、稳外资、稳外贸、保增长"的政策指向是新规出台最为核心的原因：2023年8月国务院发布《关于进一步优化外商投资环境加大吸引外商投资力度的意见》，其中第（十四）项提出，“探索便利化的数据跨境流动安全管理机制"。2024年3月，国务院进一步发布《扎实推进高水平对外开放更大力度吸引和利用外资行动方案》提及：“支持外商投资企业与总部数据流动。规范数据跨境安全管理，组织开展数据出境安全评估、规范个人信息出境标准合同备案等相关工作，促进外商投资企业研发、生产、销售等数据跨境安全有序流动"。

其次，数据出境安全评估及标准合同备案工作已正式开展一年左右，实践过程中出现了以下问题：

- 申报周期长，准备材料多，审核结果悬而未决的等待时间给企业正常开展跨境业务活动带来不确定性；

- 安全评估触发门槛相对较低，带来安全评估普遍适用的情况，实践中各地区审核尺度存在区别；

- 审核标准和必要性判断标准口径较严，特别是针对于跨国集团内部人事管理等活动的审核较为严格，导致企业后续整改的成本较高；

- 缺乏豁免条件，企业对于少量、轻微、确有必要的数据流动场景仍然需要至少采取标准合同备案或认证的措施。

在稳外资，促发展的前提下，《规定》可以有效降低企业的合规成本和对上述潜在问题的顾虑，在保证安全底线的同时稳固发展趋势。

二、变化、解读与分析

1. 数据出境“减负三件套"：新门槛、新豁免、新程序

- 新门槛

《规定》第五、七、八条对触发数据出境安全评估申报义务、订立个人信息出境标准合同及备案或通过个人信息保护认证的触发数量门槛进行了新的安排，具体如下表所示：

前述触发门槛信息数量的调整体现了放松数据安全监管、促进发展与流动的明确信号。新触发门槛规定还特别重申了完全无需适用任一数据出境机制的豁免场景“从其规定"的衔接条文，避免做出过于严格的解读，便于企业开展跨境经贸活动。

- 新豁免

关于“数据过境"

《规定》第四条规定，“数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供，处理过程中没有引入境内个人信息或者重要数据的，不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。"

与928新规相比，《规定》更加明确了“过境"的概念，并且强调了未引入境内个人信息或重要数据的前提下，无需承担相应义务的概念。对于在国内建设跨境数据中心、面向海外市场提供跨境云服务的企业而言，无疑是一大利好消息。

关于“个人发起"、“员工管理"和“紧急情况"

除触发数量门槛更新外，《规定》第五条亦规定，以下情形不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证：

“（一）为订立、履行个人作为一方当事人的合同所必需，如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等，确需向境外提供个人信息的；

（二）按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的；

（三）紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息的；"

与928新规相比，《规定》增加了对个人发起场景的列举，为企业判断豁免情形提供了更多参考。

此外，虽然《规定》未沿袭928新规，明确“基于个人同意向境外提供个人信息的，应当取得个人信息主体同意"，但我们理解，《规定》与928新规导向一致。在《规定》项下，跨境场景下的“单独同意"这一要求，对于企业拥有豁免场景涉及的合法基础的前提下，具体实现形式会进一步松绑，将在形式上和实质内容上降低“同意"的合规负担[1]。详见下图：

- 新程序

《规定》第九条规定，“通过数据出境安全评估的结果有效期为3年，自评估结果出具之日起算。有效期届满，需要继续开展数据出境活动并且未发生需要重新申报数据出境安全评估的情形的，数据处理者可以在届满前60个工作日内向国家网信部门提出延长评估结果有效期的申请。"该等规定一方面延长了有效期时间，另一方面简化了数据处理活动以及安全因素未变化场景下数据处理者延长有效期的申报工作程序，对于依然需要开展安全评估的公司而言具有重大意义。

此外，国家网信办同步发布了《数据出境安全评估申报指南（第二版）》和《个人信息出境标准合同备案指南（第二版）》，对数据处理者需要提交的相关材料进行了优化简化，同步开通了“数据出境申报系统"。数据处理者应通过系统提交申报，关键信息基础设施运营者或者其他不适合通过数据出境申报系统申报数据出境安全评估的，采用线下方式通过所在地省级网信办向国家网信办申报数据出境安全评估，申报方式为送达书面申报材料并附带材料电子版，书面申报材料需装订成册。

以上指南文件中，以《数据出境安全评估申报指南（第二版）》为例，主要变化如下：明确了《个人信息保护法》第三条第二款的情况下域外适用的个人信息处理者依然需要遵循相关规定提交申报；对于单位性质单位类型等具体填报项目进行勾选化设计；需要明确申报方是否为关键信息基础设施运营者；从场景化出发要求填报数据出境活动，并且给出了扩展、拆分等实操性指引；明确自然人数量需要去重；简化合并了报告中部分条目；按照出境数据类项逐条分析必要性；要求提交单独同意的佐证材料。我们理解，《个人信息出境标准合同备案指南（第二版）》修订趋势类似。

2. 自贸区或成为数据跨境流动进一步扩大的有效试验田

《规定》第六条，“自由贸易试验区在国家数据分类分级保护制度框架下，可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（以下简称负面清单），经省级网络安全和信息化委员会批准后，报国家网信部门、国家数据管理部门备案。

自由贸易试验区内数据处理者向境外提供负面清单外的数据，可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。"

《规定》提出的负面清单要求，具备以下优势：

• 政策导向角度，负面清单机制更能体现我国对于一般数据流动支持的态度，即禁止出境、受限出境是例外；

  
  

• 可操作性方面，负面清单机制有助于企业及监管机关提升识别禁止或受限出境的数据的效率，亦有助于增强企业展业过程中判断自身数据是否可出境的可预期性。

各自贸区自去年以来纷纷采取动作响应相关要求，以上海、天津为例，特色如下：

上海

根据《全面对接国际高标准经贸规则推进中国（上海）自由贸易试验区高水平制度型开放总体方案》《上海市落实〈全面对接国际高标准经贸规则推进中国（上海）自由贸易试验区高水平制度型开放总体方案〉的实施方案》，上海拟出台如下措施便利数据跨境：

• 上海自贸试验区管委会、临港新片区管委会将根据区内实际需求制定重要数据目录；

  
  

• 探索开展数据出境标准合同与个人信息保护认证与国际互认试点；

  
  

• 将通过如在临港新片区建立数据跨境服务中心等措施，便利数据处理者开展数据出境自评等数据出境安全合规工作，其中，数据跨境服务中心主要提供材料受理、咨询、初审服务。

2024年2月8日，《中国（上海）自由贸易试验区临港新片区数据跨境流动分类分级管理办法（试行）》（以下简称“《上海办法》"）印发。《上海办法》适用于：（1）在临港新片区范围内登记注册的，或（2）在临港新片区开展数据跨境流动相关活动的数据处理者。该办法有效期至2025年2月7日。

《上海办法》明确临港新片区管委会将区分领域，率先围绕汽车等重点领域制定数据流动正面、负面清单。具体而言，跨境数据分为核心数据、重要数据、一般数据3个级别：

• 核心数据禁止跨境；

  
  

• 重要数据目录由临港新片区管委会制定，重要数据跨境可在通过临港新片区数据跨境服务中心进行申报材料初验后，向市委网信办申报数据出境安全评估；

  
  

• 一般数据清单由临港新片区管委会制定，一般数据可向临港新片区管委会申请登记备案，在满足相关管理要求后自由流动。若相关领域出台场景化重要数据目录，则该领域的一般数据清单自动失效。同时，若数据处理者在数据跨境流动过程中未严格履行相关承诺，或出现其他违规行为的，临港新片区管委会可立即暂停或终止数据跨境流动。数据处理者需继续开展数据跨境流动的，应按照要求整改，整改完成后重新备案。

根据我们与当地相关负责部门的沟通，目前当地正在就此《上海办法》撰写具体指引。此外据报道，智能网联汽车车辆远程诊断、公募基金市场投研信息、跨国公司集团管理、生物医药临床试验和研发等20个场景的跨境流动分级分类的首批清单目录已基本编制完成，在完成论证后将于近期对外发布[2]。

天津

2024年2月5日，天津市商务局、自贸试验区管委会印发《中国（天津）自由贸易试验区企业数据分类分级标准规范》（以下简称“《规范》"）。《规范》适用于天津自贸试验区内企业在生产经营过程中产生、收集、存储、传输和处理的数据的分类分级：

• 数据分类：《规范》将企业数据分为三个层级，第一层级为13大类，第二层级为40子类，第三层分类由数据处理者自行决定。例如，智能汽车运行过程中获取的地理信息、人员流量、车辆流量等数据及智能汽车用户用车数据属于工业类中的“智能汽车"子类别；

  
  

• 数据分级：《规范》将企业数据从高到低分为核心、重要、一般3个级别，并强调重要数据应对国家安全、经济运行、社会稳定、公共健康和安全产生影响，仅影响组织自身或公民个体的数据，一般不作为重要数据。就重要数据判定，《规范》提出应参照相关法律、法规和规定，行业主管部门未明确判定标准时，可按照《规范》提出的标准识别，如“天津自贸试验区企业掌握的1000万人以上个人信息；100万人以上个人敏感信息；10万人以上且包含个人银行账户、个人保险账户、个人注册账户、个人诊疗数据等的个人敏感信息"，“在提供互联网服务过程中产生的可用来实施社会动员的数据，相关退伍人员等敏感人群数字画像数据，对军工、政府类客户记录和跟踪的数据"及“智能汽车领域汽车OTA参数"构成重要数据。

此外，《规范》要求企业向天津自贸试验区网络数据安全工作主管部门报送重要数据目录。

3. 其他需要注意的合规要求

《规定》第十条明确，“数据处理者向境外提供个人信息的，应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。"《规定》第十一条规定再次重申了依法合规的要求，“数据处理者向境外提供数据的，应当遵守法律、法规的规定，履行数据安全保护义务，采取技术措施和其他必要措施，保障数据出境安全。发生或者可能发生数据安全事件的，应当采取补救措施，及时向省级以上网信部门和其他有关主管部门报告。"

因而，尽管满足豁免场景的数据处理者无需进行程序性申报、备案或认证，但仍需满足法律规定履行数据保护义务。

- 重要数据的识别与保护

数据处理者向境外提供重要数据依然要承担申报出境安全评估的义务，重要数据的识别、安全管理一直是横贯在企业头部的达摩克利斯之剑，除了汽车行业有明确的规定之外，其他均在探索之中。近期网安标委发布的《数据安全技术 数据分类分级规则》整合了之前重要数据相关国标征求意见稿，给出了数据分类分级的通用规则以及重要数据识别指南（见《数据安全技术 数据分类分级规则》附录G），用于指导各行业领域、各地区、各部门的主管机构和数据处理者开展数据分类分级工作。

一旦落入重要数据范围，除了跨境义务之外，根据《数据安全法》以及相关行业法规的规定，涉及企业依然要履行设立责任人，开展风险评估，通过合同等方式管理对外提供等敏感场景，向监管机构申报备案等义务。

- 个人信息保护基本义务

《个人信息保护法》项下数据处理的基本义务和框架如下，以供涉及企业参考，即使落入豁免门槛，建议依然要在以下维度进行考量，在出境时保证同等保护要求。

三、启示与建议

我们理解，《规定》的要求只是监管程序的豁免，而非实质性合规义务的免除。比如，对于跨境传输个人信息，即使按照新规不需要申报评估、进行标准合同备案或开展个人信息保护认证，也应当主动采取合规措施，满足合法性、正当性和必要性的条件，采取措施实现传输信息的安全，总体上达到《个人信息保护法》所要求的同等保护水平要求。而在监管侧，会更加强调事中和事后监管，如发现数据出境活动存在较大风险或者发生安全事件的，可以要求数据处理者进行整改消除隐患；对拒不改正或者导致严重后果的，依法责令其停止数据出境活动，保障数据安全。

《规定》第十三条规定，《数据出境安全评估办法》、《个人信息出境标准合同办法》等相关规定与本规定不一致的，按照本规定执行。由此，我们建议不同类型的企业可采取以下策略来应对：

- 已按照旧规开展申报、备案的企业，可结合申报进程，获得申报结果与否，考量自身数据出境活动是否落入《规定》豁免场景，与监管部门进行密切沟通，做好后续应对和收尾工作；

- 对于之前一直观望中的企业而言，关于数据出境监管的不确定性暂时告一段落，可进行排查和梳理数据处理和数据出境场景，进行后续的合规动作，由于目前强调行业监管以及事中事后检查监管的政策，即使公司落入豁免场景，亦需要做好内部的合规论证并且适当开展其他基本数据合规义务的落地工作以行稳致远。

总体来讲，《规定》响应了目前经济发展的最大诉求，为企业减负，回应市场期待，是应时而变、适时而动的举措，我们也期待更广泛和深入的跨境经贸合作，以及更为合理惠商的监管措施为中外企业带来数字经济的春天。

[注] 

[1] 但是根据《数据出境安全评估申报指南（第二版）》的规定，申报安全评估如涉及单独同意的，仍需提供佐证材料，明确了如走同意路径的需要单独同意的要求。

[2] 参见：https://mp.weixin.qq.com/s/E8aIKLrOh9q69tCdpQ5rDQ?scene=25#wechat_redirect，最后访问时间：2024年3月22日。