網信辦發佈數據跨境流動監管新規（徵求意見稿）——六大亮點、實務難點及合規建議_風聞

9月28日，國家互聯網信息辦公室發佈《規範和促進數據跨境流動規定（徵求意見稿）》（簡稱“《跨境流動新規（徵求意見稿）》”），旨在保障國家數據安全，保護個人信息權益的基礎上，進一步規範和促進數據依法有序自由流動。

走出去智庫(CGGT)特約法律專家、中倫律師事務所合夥人李瑞認為**，**雖然《跨境流動新規（徵求意見稿）》篇幅短小，但內容非常重要，它擬對當前已落地的數據跨境合規監管機制進行實質性調整，數據跨境傳輸綠色通道初見雛形。新規釋放了進一步優化跨境數據傳輸監管的積極信號，相關企業應密切追蹤法律法規變化，仍需謹慎處理數據跨境傳輸需求所伴隨的合規風險及要求。

新規有哪些具體內容？今天，走出去智庫(CGGT) 刊發中倫律師事務所合夥人李瑞的文章，供關注跨境數據傳輸監管****的讀者參閲。

要 點

1、未被相關部門、地區告知或者公開發布為重要數據的，數據處理者不需要作為重要數據申報數據出境安全評估。

2、《跨境流動新規（徵求意見稿）》第6條指出，預計一年內向境外提供1萬人以上、不滿100萬人個人信息的，如落實了個人信息出境標準合同機制且完成備案或通過個人信息保護認證，則無需再申報數據出境安全評估。

3、新規出台後，監管機關將有的放矢，“外鬆內緊”，對於涉及數據安全重點監管領域的數據出境活動，仍將嚴格監管。

正 文

2023年9月28日，國家網信辦發佈《規範和促進數據跨境流動規定（徵求意見稿）》（下稱“《跨境流動新規（徵求意見稿）》”）。這份徵求意見稿篇幅短小，但內容非常重要，它擬對當前已落地的數據跨境合規監管機制進行實質性調整——如果這份新規的內容能夠通過和實施，那麼部分目前落入數據跨境合規專項機制監管的數據出境活動將免於開展數據出境安全評估、個人信息出境標準合同訂立和/或通過個人信息保護認證（每一項均為“數據出境合規專項機制”，統稱“三大數據出境合規專項機制”），或可降級適用相對更為簡單的數據出境合規專項機制。相信《跨境流動新規（徵求意見稿）》的正式實施將助力很多具有跨國業務需求和全球運營佈局的企業降低數據跨境傳輸合規壓力與成本，更好地平衡業務發展目標和數據安全管理需求。

本次《跨境流動新規（徵求意見稿）》的出台，與2023年8月國務院發佈的《國務院關於進一步優化外商投資環境加大吸引外商投資力度的意見》（“《吸引外資24條意見》”）中的內容一脈相承。《吸引外資24條意見》中的第14條意見專門提出要探索便利化的數據跨境流通安全管理機制，建立綠色通道，試點探索形成可自由流動的一般數據清單。隨着本次《跨境流動新規（徵求意見稿）》的出台，數據跨境傳輸綠色通道初見雛形。我們也期待第14條內容的進一步落地。

另一方面，《跨境流動新規（徵求意見稿）》內容簡短，其部分內容在實踐中將如何落實，也有許多實務問題亟待解答。在本文中，我們將首先將新規內容總結為6大亮點，然後將結合近年來我們協助企業辦理數據跨境傳輸合規工作的切身經驗，提出若干有待澄清和明確的實操問題以供探討，最後為企業提出合規建議。

新規內容六大亮點總結

亮點1. 重申和明確若干數據出境活動無需適用數據出境合規專項機制要求****

在現有數據出境合規體系中，三大數據出境合規專項機制僅適用於符合特定條件的數據出境活動，但在實踐中，企業對於三大機制的適用範圍始終存在一些疑問，也因此時常導致過度合規、進而影響數據正常跨境流動的情況。對此，《跨境流動新規（徵求意見稿）》的前3條，首先明確了三種數據出境活動不應落入數據出境合規專項機制適用範圍內。這三種活動在新規頒佈前後，均不適用數據出境合規專項機制，本次新規只是對現有規則的適用進行釋明。具體如下：

(1) 國際貿易、學術合作、跨國生產製造和市場營銷等活動中產生的數據出境，不包含個人信息或者重要數據的，不需要申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。

(2) 未被相關部門、地區告知或者公開發布為重要數據的，數據處理者不需要作為重要數據申報數據出境安全評估。

(3) 不是在境內收集產生的個人信息向境外提供，不需要申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。

亮點2：若干目前需履行數據出境合規專項合規義務的數據出境活動將不再適用相關數據出境合規專項機制要求****

《跨境流動新規（徵求意見稿）》第4條和第5條對當前的數據出境合規專項機制的適用範圍做出實質性調整，明確提出4類目前需履行數據出境合規專項機制的數據出境活動，在新規落地後將無需再適用相關數據出境合規專項機制要求。這是本次新規影響範圍最大的亮點，生效後將惠及大量數據出境場景簡單且出境個人信息量級較小的企業。具體而言，

（一）、《跨境流動新規（徵求意見稿）》第4條提出以下三類個人信息出境活動無需履行數據出境三大合規機制的3個場景。可以看出，新規的立法者認可這三個場景下個人信息出境的必要性，並擬通過克減相關專項合規要求來促進這幾個場景下的數據跨境流動，從而促進相關商貿、經營或應急活動的開展：

(1) 為訂立、履行個人作為一方當事人的合同所必需，如跨境購物、跨境匯款、機票酒店預訂、簽證辦理等，必須向境外提供個人信息的；　

(2) 按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理，必須向境外提供內部員工個人信息的；　　

(3) 緊急情況下為保護自然人的生命健康和財產安全等，必須向境外提供個人信息的。

（二）、《跨境流動新規（徵求意見稿）》第5條，從個人信息出境影響的角度，針對小規模個人信息出境活動所需履行的數據合規專項機制要求進行了克減。具體而言，預計一年內向境外提供不滿1萬人個人信息的，無需履行數據出境合規專項機制下義務。

需注意的是，儘管落入上述4類情形的數據出境活動，在新規落地後將無需再履行相關數據出境合規專項機制義務，根據《個人信息保護法》（“個保法”）的要求，這些場景中的個人信息處理者仍需滿足告知同意及個人信息保護影響評估等個保法規定的個人信息出境基礎合規要求。

亮點3：低於一定量級的個人信息出境活動所對應的數據出境合規專項機制將降級適用****

《跨境流動新規（徵求意見稿）》第6條指出，預計一年內向境外提供1萬人以上、不滿100萬人個人信息的，如落實了個人信息出境標準合同機制且完成備案或通過個人信息保護認證，則無需再申報數據出境安全評估。

在本次新規出台之前，前述個人信息出境活動可能需申報數據出境安全評估，而在新規落實後，這類企業只需降格履行個人信息出境標準合同機制或個人信息保護認證機制即可。新規落地後，相關企業的合規壓力及合規成本將得到顯著降低。

亮點4：鼓勵自貿區制定數據出境“負面清單”****

儘管《跨境流動新規（徵求意見稿）》第7條指出自由貿易試驗區可制定“負面清單”，該負面清單報經省級網絡安全和信息化委員會批准後，應報國家網信部門備案。負面清單一旦制定完成，則自由貿易試驗區內的企業將負面清單範圍的數據傳輸出境，無需履行數據跨境合規專項機制。由此可見，自貿區的數據跨境合規監管機制，相對於其他地區，將擁有更大的數據出境靈活度。

亮點5：重申涉及關鍵信息基礎設施、敏感信息等數據安全重點監管領域的數據出境活動需依法依規開展****

儘管新規前7條對符合特定條件的數據跨境傳輸活動所需適用的數據出境合規專項機制要求進行了一定程度上的簡化和放鬆，新規第8條再次重申，國家機關和關鍵信息基礎設施運營者向境外提供個人信息和重要數據的，以及境內向境外提供涉及黨政軍和涉密單位敏感信息、敏感個人信息的，均需依法依規執行。可以看出，新規出台後，監管機關將有的放矢，“外鬆內緊”，對於涉及數據安全重點監管領域的數據出境活動，仍將嚴格監管。

亮點6：明確數據處理者及監管部門均應加強數據出境動態管理和監測****

《跨境流動新規（徵求意見稿）》從數據處理者和監管部門兩個角度，提出要對數據出境活動進行監督和監管，並在發生數據出境安全事件或者發現數據出境安全風險增大時立即採取措施。這説明在對符合特定條件的數據出境活動的事前監管有所“鬆綁”的同時，監管部門的數據出境合規監管思路，將從當前的主要依賴於事前監管，轉向事前、事中、事後均衡、動態着力。這一監管如能得到有效貫徹，相信將能更好地在促進數據流動和維護數據安全、保護中國個人信息主體權益之間找到平衡。

實操問題探討

如上文所説，相信《跨境流動新規（徵求意見稿）》的落地將更好地在促進數據流動和維護數據安全、保護中國個人信息主體權益之間找到平衡。另一方面，新規內容在實操層面也存在不少有待澄清的問題。我們在此拋磚引玉，結合自身經驗以及近期收集的企業反饋，提出一些有待澄清和落實的實操問題，僅供探討。

實操問題一：新規第4條規定的無需再適用數據出境合規專項機制的情形之一，“依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理”，應當怎麼理解？****

一些企業從文義角度出發，對這條規定存在疑問，尤其是，如果沒有訂立集體合同，是否可根據此條，就人力資源管理場景的個人信息出境不履行數據出境合規專項機制？首先，本條的措辭與個保法第13條第二款，可免於履行告知同意要求的措辭相同，因而在適用方面，應可借鑑個保法第13條第二款的實操經驗。其次，儘管有此條規定，也不能一概認為在人力資源管理場景中出境的所有個人信息都可免於履行數據出境合規專項機制要求，可落入本條範圍的個人信息範圍仍應遵從個保法規定的最小必要原則。一般而言，企業收集與訂立和履行勞動合同直接相關的個人信息大概率能夠落入這一範圍，但收集婚育情況、是否為乙肝攜帶者等信息則大概率不屬於這一範圍。

實操問題二：就新規第5條規定的適用而言，境內有多家子企業的集團公司的出境所涉個人信息主體數量應以單個法律實體為單位進行計算，還是應以集團為單位進行合併計算？****

新規第5條規定，預計一年內向境外提供不滿1萬人個人信息的，無需履行數據出境合規專項機制。實踐中，很多企業有多家子公司，每家子公司的出境個人信息數量並不多，但合併後超過每年一萬人的數量。如果第5條適用時可以單個法律實體為單位計算數量，而不要求以集團為單位就統一的個人信息出境場景合併申報，那麼將有大量企業可適用這一條規定。這是否符合這條的立法原意，有待監管部門澄清或在實踐中明晰相關要求。

實操問題三：就新規第5條的適用而言，計算預計一年內向境外提供的個人信息數量時，是否應當包含落入新規第4條所列情形的人數？****

舉例來説，如果一個企業出境人數為一萬二千人，但其中有五千人是員工，出境場景符合新規第4條規定的人力資源管理可豁免數據出境合規專項機制要求的情形，餘下七千人是其他類型個人信息，這種情況是否仍需辦理相關數據出境合規專項機制？我們的理解是需要，但也有待實踐確認。

實操問題四：新規生效後，已申報相關數據出境合規專項機制、但可根據新規第4-6條規定免於履行或降級履行相關專項機制的企業，應當如何銜接？****

目前，已有大量企業根據現行數據出境合規相關法律法規辦理了數據出境安全評估、個人信息出境標準合同備案等機制，且有很多企業的相關程序仍未辦結。新規生效後，已申報相關數據出境合規專項機制、但尚未辦結的企業，應當如何處理當前程序，是否可以撤回申請？已辦結相關機制並獲取合規憑證的企業，新規生效對其是否有任何影響？這些問題均有待實踐驗證。

企業合規建議

綜上所述，《跨境流動新規（徵求意見稿）》釋放了數據跨境流動監管機制進一步優化的積極信號，相關企業應密切追蹤法律法規變化，同時仍需謹慎處理數據跨境傳輸需求所伴隨的合規風險及要求。

特別地，即便部分企業的數據跨境傳輸合規要求在新規施行後將得到簡化，企業仍需落實個保法等相關法律法規規定的其他法定數據出境合規義務，包括但不限於：

·在個人信息出境活動前獲得個人信息主體單獨同意的要求；

·按照《個人信息保護法》的要求開展個人信息保護影響評估；

·採取加密傳輸等有效的跨境傳輸安全保護措施；

·儘量規範與境外數據接收方簽訂合同中的數據保護條款，明確雙方的責任和義務。

我們將持續跟蹤新規的立法進程和落地實踐，分享相關經驗，幫助企業適時調整其數據跨境合規體系，高效管理數據跨境傳輸風險，為跨境業務的順利開展保駕護航。

來源：科技與競爭法律評論