跨境合規觀察｜《促進和規範數據跨境流動規定》：六大亮點和實操問題探討_風聞

走出去智庫（CGGT）觀察

3月22日，國家互聯網信息辦公室公佈《促進和規範數據跨境流動規定》（下稱“《跨境流動新規》”），明確了數據出境安全評估申報標準，規定了免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證的數據出境活動條件。

走出去智庫(CGGT)特約法律專家、中倫律師事務所合夥人李瑞與高級顧問賈申認為，《跨境流動新規》寬嚴並濟，對於敏感個人信息保護、關鍵信息基礎設施運營者等問題的監管尺度未做實質性放鬆，而是進行了重申和明確，並加強了這些要求與前述克減後新規的銜接。從宏觀監管政策及其他配套文件來看，數據跨境流動監管網絡呈現全面鋪開、有層次、有梯度的監管框架穩步落地的趨勢；由此也可預計，數據跨境合規監管將進入新的成熟階段，不久的未來相關執法與監管活動將基於該更明晰、細化的監管框架穩步地開展和推進。

《跨境流動新規》釋放了哪些信號？今天，走出去智庫 (CGGT) 刊發中倫律師事務所李瑞、賈申、鍾俊鵬、徐晨的分析文章，供關注跨境合規管理的讀者參閲。

要點

**1、**在數據出境合規實踐中，由於企業對於三大數據出境合規專項機制的適用範圍始終存在一些疑問，因此時常導致過度合規、合規策略不明確、進而影響數據正常跨境流動的情況。對此，《跨境流動新規》的第2條至第4條，首先重申和明確了三種數據出境活動不應落入數據出境合規專項機制適用範圍內。

2、****《跨境流動新規》第5條對此前數據出境合規專項機制的適用範圍做出實質性調整，明確提出4類目前需履行數據出境合規專項機制的數據出境活動，在新規落地後將無需再適用相關專項機制要求。這一亮點將惠及大量數據出境場景簡單且出境個人信息量級較小的企業。

**3、**相關企業對於境外經營所涉數據跨境流動活動進行摸排，重點關注數據量級較大、業務較為活躍和/或當地監管較為嚴格的法域，並考慮與境內數據出境合規管理體系聯動，搭建一體化的合規管理方案。

正文

2024年3月22日，《促進和規範數據跨境流動規定》（下稱“《跨境流動新規》”）在萬眾矚目之下終於發佈並正式施行。從發佈的文件日期來看，《跨境流動新規》於2023年11月28日就已通過，但於日前才發佈。在新規徵求意見的過程中，全球數據跨境流動的監管立法變化頻繁，尤其是美國頻繁出台法案及行政令，使得中美企業間數據流動的前景蒙上一層陰影，也導致業界就中國監管機關此前放出的促進數據跨境活動的信號是否會隨之調整這一問題產生了一定疑問；但從實際發佈的《跨境流動新規》來看，新的數據跨境流動監管框架充分響應了數據發展與安全並重的號召，釋放了較強的促進正常商貿活動中的數據流動的信號，同時進一步明確了監管機制與要求，對於開展跨境經營的企業而言意義重大。

從關鍵內容來看，《跨境流動新規》從多個維度克減了企業需承擔的數據出境合規義務，在重申個人信息數據跨境活動需要滿足法律規定的基礎合規義務（包括告知相關個人並獲得單獨同意、開展個人信息保護影響評估（PIA）等）的基礎上，對現行跨境監管機制做出了以下調整：

(1) 明確了不涉及重要數據和個人信息的數據跨境傳輸免予履行數據出境安全評估、個人信息出境標準合同訂立和/或通過個人信息保護認證機制（每一項均為“數據出境合規專項機制”，統稱“三大數據出境合規專項機制”）；

(2) 針對4大類存在較強出境必要性且安全風險較弱的場景豁免了履行三大數據出境合規專項機制的義務；

(3) 調整了三大數據出境合規專項機制的觸發閾值，使得企業合規義務得到明顯降級適用，合規成本降低。

但不可忽視的是，新規寬嚴並濟，對於敏感個人信息保護、關鍵信息基礎設施運營者等問題的監管尺度未做實質性放鬆，而是進行了重申和明確，並加強了這些要求與前述克減後新規的銜接。

監管部門不僅發佈《跨境流動新規》，還同步發佈了《數據出境安全評估申報指南（第二版）》和《個人信息出境標準合同備案指南（第二版）》，就合規義務履行的流程和細節進行了進一步完善與確定。此外，有關數據分類分級的國標—GB/T 43697-2024《數據安全技術 數據分類分級規則》也已正式出台，這標誌着以分類分級為基礎的數據安全保護體系（包括數據跨境流動）不斷完善。因此，從宏觀監管政策及其他配套文件來看，數據跨境流動監管網絡呈現全面鋪開、有層次、有梯度的監管框架穩步落地的趨勢；由此也可預計，數據跨境合規監管將進入新的成熟階段，不久的未來相關執法與監管活動將基於該更明晰、細化的監管框架穩步地開展和推進。

有鑑於此，本文將首先着眼《跨境流動新規》的亮點，對於企業如何理解新規所帶來的影響進行解析，其次結合項目經驗對於實操要點及數據跨境流動合規體系搭建的方法論進行探析，以供企業及時調整合規策略，優化合規流程與操作，助力商業發展。

一、 新規內容亮點總結

（一）亮點1：****重申和明確若干數據出境活動無需適用數據出境合規專項機制要求

在數據出境合規實踐中，由於企業對於三大數據出境合規專項機制的適用範圍始終存在一些疑問，因此時常導致過度合規、合規策略不明確、進而影響數據正常跨境流動的情況。對此，《跨境流動新規》的第2條至第4條，首先重申和明確了三種數據出境活動不應落入數據出境合規專項機制適用範圍內。具體如下：

(1) 國際貿易、跨境運輸、學術合作、跨國生產製造和市場營銷等活動中產生的數據出境，不包含個人信息或者重要數據的，免予履行三大數據出境合規專項機制。

(2) 數據處理者應當按照相關規定識別、申報重要數據。未被相關部門、地區告知或者公開發布為重要數據的，數據處理者不需要作為重要數據申報數據出境安全評估。

(3) 不是在境內收集產生的個人信息，且在傳輸至境內處理後沒有引入境內個人信息或者重要數據的，如再向境外提供，免予履行三大數據出境合規專項機制。

雖然新規在行文中使用了“免予”的口徑，但上述三類場景在數據跨境新規出台以前一般來講也無需履行三大數據出境合規專項機制。本次發佈的新規更為緊密地結合了企業跨境運營的實踐，使得豁免的情形更為明確和易懂。以上述第3項場景為例，目前有大量出海企業存在將海外運營數據匯聚至境內技術團隊開展統一處理的情形，新規中明確了“在傳輸至境內處理後沒有引入境內個人信息或者重要數據的”作為免予履行出境合規專項機制的前提，使得相關企業在操作時更能把握風險控制要點，採取將海外運營數據與境內運營的數據單獨處理等模式優化數據運營的同時降低合規負擔。這不僅符合出海企業跨境經營的需求，更與全球數據跨境監管的最佳實踐接軌，例如新加坡個人信息保護法律法規中的“Data in Transit”就採取了類似的監管思路。

（二）亮點2********：若干此前需履行數據出境合規專項機制的數據出境活動將豁免適用該機制要求****

《跨境流動新規》第5條對此前數據出境合規專項機制的適用範圍做出實質性調整，明確提出4類目前需履行數據出境合規專項機制的數據出境活動，在新規落地後將無需再適用相關專項機制要求。這一亮點將惠及大量數據出境場景簡單且出境個人信息量級較小的企業。需注意的是，儘管依據新規，落入下述4類情形的數據出境活動將無需再履行相關數據出境合規專項機制義務，但根據《個人信息保護法》（“個保法”）的要求，這些場景中的個人信息處理者仍需滿足告知同意及個人信息保護影響評估等個保法規定的個人信息出境基礎合規要求。這一點在《跨境流動新規》的第10條也做了重申和強調。

具體而言，我們可將4類豁免場景進一步劃分為以下兩個層次：

**(1)**針對有傳輸必要性場景的豁免

新規認可以下3大場景下個人信息出境的必要性，並擬通過克減相關專項合規要求來促進這幾個場景下的數據跨境流動，從而促進相關商貿、經營或應急活動的開展：

① 為訂立、履行個人作為一方當事人的合同所必需，如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開户、機票酒店預訂、簽證辦理、考試服務等，確需向境外提供個人信息的。　

② 按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理，確需向境外提供內部員工個人信息的。　　

③ 緊急情況下為保護自然人的生命健康和財產安全等，確需向境外提供個人信息的。

**(2)**針對數量相對較小、不涉及敏感個人信息的出境活動的豁免

從個人信息出境影響的角度，《跨境流動新規》第5條還針對小規模個人信息出境活動所需履行的數據合規專項機制要求進行了克減。具體而言，關鍵信息基礎設施運營者（下稱“CIIO”）以外的數據處理者自當年1月1日起累計向境外提供不滿10****萬人個人信息********（其中不包括敏感個人信息）****的，無需履行數據出境合規專項機制下義務。

相較此前發佈的徵求意見稿而言，《跨境流動新規》對於本亮點所討論的4大免於履行三大數據出境合規機制義務的場景進行了更為細緻及嚴禁的規定，更體現了寬嚴並濟的原則：

(1)  一方面，新規增加了對於為訂立、履行個人作為一方當事人的合同而必需出境、從而免於履行三大數據出境合規機制的具體場景的列舉，將跨境支付、跨境開户等場景列入其中；

(2)  另一方面，新規將第二類豁免場景的閾值從徵求意見稿中的“1萬人”調整為“10萬人”，利好的尺度進一步加大，但同時明確了只有在出境活動不包含敏感個人信息的情況下，這一豁免情形才適用，這説明監管部門在降低對一般個人信息出境的監管門檻的同時，敏感個人信息的出境活動仍然是監管關注重點。

（三）亮點3：****對三大數據出境合規專項機制對應的觸發閾值進行實質性調整

《跨境流動新規》第7條和第8條集中對於三大數據出境專項合規機制適用的觸發閾值進行了調整。這一對於觸發閾值的實質性調整將廣泛影響大部分擬開展和/或已開展的數據跨境傳輸活動。首先，《跨境流動新規》第7條和第8條對於適用主體（是否為CIIO）及所涉數據類型（重要數據、除敏感個人信息外的個人信息、敏感個人信息）進行了明確區分，使得數量計算及適用推定方式更為清晰，呈現精細化立法的特徵。其次，在觸發閾值門檻上，如上所述，新規秉承寬嚴並濟的原則，針對一般個人信息出境活動的監管門檻有實質性放鬆，但對於敏感個人信息的申報閾值僅僅略作降低（從上年1月1日開始累計超過1萬人變為從當年1月1日開始累計超過1萬人），且對於CIIO的監管與此前相比保持不變。具體總結如下：

表1****：三大數據出境合規專項機制觸發閾值映射表****

（四）亮點4：鼓勵自貿區制定數據出境****“負面清單”****

《跨境流動新規》第6條指出自由貿易試驗區可在國家數據分類分級的保護制度下制定“負面清單”，該負面清單報經省級網絡安全和信息化委員會批准後，應報國家網信部門、國家數據管理部門備案。負面清單一旦制定完成，則自由貿易試驗區內的企業向境外提供負面清單外的數據，可以免予履行數據跨境合規專項********機制。由此可見，自貿區的數據跨境合規監管機制，相對於其他地區，將擁有更大的數據出境靈活度。

（五）亮點5：****數據出境合規專項機制程序性優化

《跨境流動新規》第9條專門針對數據出境安全評估機制有效期（3年）到期後的處理方式進行了完善。為進一步提升便利性，如有效期屆滿，企業需要繼續開展數據出境活動且未發生需要重新申報數據出境安全評估情形的，數據處理者可以在有效期屆滿前60個工作日內通過所在地省級網信部門向國家網信部門提出延長評估結果有效期申請。經國家網信部門批准，可以延長評估結果有效期3年。

此外，國家網信辦也於3月22日同步發佈了《數據出境安全評估申報指南（第二版）》和《個人信息出境標準合同備案指南（第二版）》，簡化了數據處理者需要提交的相關材料，並開通了“數據出境申報系統”。

（六）亮點6：明確數據處理者及監管部門均應加強數據出境動態管理和監測****

《跨境流動新規》從數據處理者和監管部門兩個角度，提出要對數據出境活動進行監督和監管，並在發生數據出境安全事件或者發現數據出境安全風險增大時立即採取措施。這説明在對符合特定條件的數據出境活動的事前監管有所“鬆綁”的同時，監管部門的數據出境合規監管思路，將從當前的主要依賴於事前監管，轉向事前、事中、事後均衡、動態着力。這一監管如能得到有效貫徹，相信將能更好地在促進數據流動和維護數據安全、保護中國個人信息主體權益之間找到平衡。

二、 新形勢下企業如何高效、穩妥開展數據跨境傳輸合規管理？

《跨境流動新規》出台後，數據跨境傳輸監管形成了新的框架與思路。面對新的監管趨勢，企業應如何銜接現有合規基礎與新要求？如何管控不斷產生的新經營與業務需求所帶來的數據跨境合規風險？結合新規的重點內容及項目經驗，我們總結梳理了5大要點，供企業參考：

**（一）**準確識別數據跨境傳輸場景

準確識別數據跨境傳輸場景是企業能夠準確甄別是否觸發的合規義務的首要環節。數據跨境傳輸活動主要可分為數據主動出境、數據被動出境及監管機構所明確的其他出境活動三大類，有關具體業務場景的分析與映射，請見筆者此前發佈的《企業數據出境合規系列解讀（一）：盤點常見數據出境風險場景》。此外，值得關注的是，並非所有數據出境場景均會觸發數據出境合規專項機制，目前免予履行三大數據出境合規機制的場景歸納請見上文亮點1級亮點2。

（二）明確數據跨境傳輸場景的3大關鍵要素

在梳理跨境傳輸場景時，企業應重點關注自身主體類型、所涉及的數據類型和數據量級3大要素，以更好地衡量判斷所觸發的合規義務。具體而言：

(1)  企業自身主體類型

如我們在前文中所提及的，企業自身主體角色是判斷是否能免予履行三大數據出境合規專項機制或具體觸發哪一機制的重要變量。企業首先需明確自身是否屬於CIIO，再準確判斷其應適用的規則。

(2)  數據類型

重要數據和個人信息，是兩類首當其衝的受制於出境監管的數據。就重要數據而言，GB/T 43697-2024《數據安全技術 數據分類分級規則》的發佈使得重要數據識別規則能夠進一步明確，但目前大部分行業的重要數據目錄仍未出台，因此有待持續觀察。現階段，就尚未被明確認定為重要數據的數據而言，依據新規，企業無需按照重要數據的標準來處理。此外，個人信息中的敏感個人信息由於其高敏感程度，在新規所搭建的數據跨境傳輸監管新框架下可能適用比其他個人信息更高的合規義務。因此，首先企業應對於自身數據跨境傳輸活動涉及的數據類型進行區分。

(3)  數據量級

在實操中，企業可能對於擁有多家子公司的集團是否需合併計算，豁免數據出境合規專項機制的個人信息出境場景是否仍需計入等問題存在疑問。我們基於對於法律法規的理解及項目經驗進行了初步的分析，還有待《跨境流動新規》落地實踐的進一步驗證，具體請見下文“三、實操難點問題探討”。

**（三）**跟進自貿區政策動態

就《跨境流動新規》中所提及的自由貿易試驗區 “負面清單”，而言，已有不少自貿區正在密切跟進相關政策和清單的制定。上海臨港行片區和天津自貿試驗區先後於2024年1月及2月發佈了《中國（上海）自由貿易試驗區臨港新片區數據跨境流動分類分級管理辦法（試行）》和《中國（天津）自由貿易試驗區企業數據分類分級標準規範》，為數據跨境流動規則的進一步優化打下基礎。因此，在自貿區有生產經營的企業應密切關注自貿區政策，並積極運營政策優勢，優化合規部署。

**（四）**加強動態管控與安全管理

雖然《跨境流動新規》對於數據出境專項合規機制的適用進行了合規義務克減，但就企業需進行的數據跨境流動安全管理要求並未放鬆。對於企業而言，應搭建好事前審批、事中監測、全程巡查的機制，例如建立數據出境合規審批流程、考慮採購動態監測的技術軟件、建立應急響應方案等，更好地加強動態管控和安全管理。

**（五）**關注和協同推進境外數據迴流合規工作

在全球數字化經濟蓬勃發展的當下，數據跨境流動的監管與規制已經成為世界各個國家和地區的數據合規立法和執法重點。不僅中國已形成較為完善且周密的數據跨境傳輸合規監管機制，境外大部分法域也已出台了相關法律法規以規制數據的跨境流動。因此，對於有頻繁數據出境需求的跨境經營企業，尤其是將出海作為近期主要戰略的企業而言，境外數據迴流的合規風險管理也十分重要。有鑑於此，我們建議相關企業對於境外經營所涉數據跨境流動活動進行摸排，重點關注數據量級較大、業務較為活躍和/或當地監管較為嚴格的法域，並考慮與境內數據出境合規管理體系聯動，搭建一體化的合規管理方案。

三、 實操難點問題探討

如上文所説，相信《跨境流動新規》的落地將更好地在促進數據流動和維護數據安全、保護個人信息主體權益之間找到平衡。在2023年9月28日新規徵求意見稿發佈後，引起了企業的廣泛關注以及一些疑問，我們在《跨境數據觀察｜網信辦發佈數據跨境流動監管新規（徵求意見稿）——六大亮點、實務難點及合規建議》中也以虛擬案例的方式，提出了一些有待澄清的實操問題。在《跨境流動新規》新規正式落地後，絕大部分問題都得到了解答，在此我們將相關實操問題的答覆更新如下：

（一）實操問題一：新規第5條第（2）款規定的無需再適用數據出境合規專項機制的情形之一，“依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理”，應當怎麼理解？****

一些企業從文義角度出發，對這條規定存在疑問，尤其是，如果沒有訂立集體合同，是否可根據此條，就人力資源管理場景的個人信息出境不履行數據出境合規專項機制？首先，本條的措辭與《個保法》第13條第二款，可免於履行告知同意要求的措辭相同，因而在適用方面，應可借鑑《個保法》第13條第二款的實操經驗。其次，此條規定強調的可豁免情形為基於人力資源管理需求，“確需向境外提供員工個人信息的”的情形，因此，不能一概認為在人力資源管理場景中出境的所有個人信息都可免於履行數據出境合規專項機制要求，另外，可落入本條範圍的個人信息範圍仍應遵從個保法規定的最小必要原則。一般而言，企業收集與訂立和履行勞動合同直接相關的個人信息大概率能夠落入這一範圍，但收集婚育情況、是否為乙肝攜帶者等信息則大概率不屬於這一範圍。

（二）實操問題二：就新規第5條第（4）款規定的適用而言，境內有多家子企業的集團公司的出境所涉個人信息主體數量應以單個法律實體為單位進行計算，還是應以集團為單位進行合併計算？

新規第5條規定，關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供不滿10萬人個人信息（不含敏感個人信息）的。實踐中，很多企業有多家子公司，每家子公司的出境個人信息數量並不多，但合併後超過每年10萬人的數量。如果第5條適用時可以單個法律實體為單位計算數量，而不要求以集團為單位就統一的個人信息出境場景合併申報，那麼將有大量企業可適用這一條規定；這與新規中所體現的數量計算更為明確的立法原意不符，客觀上將造成規避新規適用的效果，因此我們認為，在同一集團旗下子公司出境活動的場景相同、出境路徑也相同的情況下，不應將每一家子公司的出境數量單獨計算，而應當合併計算。

（三）實操問題三：就新規第5**條第（4）款的適用而言，統計一年內向境外提供的個人信息數量時，是否應當包含落入新規第5**條前3款所列情形的人數？****

舉例來説，如果一個企業出境人數為十萬二千人，但其中有五千人是員工，出境場景符合新規第5條第（2）款規定的人力資源管理可豁免數據出境合規專項機制要求的情形，餘下九萬七千人是其他類型個人信息，這種情況是否仍需辦理相關數據出境合規專項機制？

新規第7條及第8條在明確三大數據出境專項合規機制的同時，專門提及“屬於本規定第三條、第四條、第五條、第六條規定情形的，從其規定”，因此，新規擬將免予履行專項合規機制的情形排除至累計人數計算範圍之中。在網信部門發佈的《答記者問》中，網信部門也提出新規第3條、第4條、第5條、第6條規定豁免情形的，不計入累計數量。因此，企業在推斷新規第5條第（4）款是否能適用時，應將已受到豁免的個人信息出境場景排除在外。

**（四）**實操問題四：新規生效後，已申報相關數據出境合規專項機制、但可根據新規規定免於履行或降級履行相關出境專項合規機制的企業，應當如何銜接？

目前，已有大量企業根據此前的數據出境合規相關法律法規辦理了數據出境安全評估、個人信息出境標準合同備案等機制，且有很多企業的相關程序仍未辦結。新規生效後，已申報相關數據出境合規專項機制、但尚未辦結的企業，應當如何處理當前程序，是否可以撤回申請？針對這一實操問題，網信部門在《答記者問》中進行了説明：新規施行前已經申報數據出境安全評估、提交個人信息出境標準合同備案，根據新規無需開展上述程序的，數據處理者可以按照原程序進行，也可以向所在地省級網信部門撤回申報、備案。