朝过夕改，君子与之——评《规范和促进数据跨境流动规定（征求意见稿）》｜mhp君悦评论

2023年黄金周假期的前一天，中华人民共和国国家互联网信息办公室（“网信办”）发布了《规范和促进数据跨境流动规定（征求意见稿）》（“《数据跨境流动规定》”），拟进一步规范数据出境活动及其适用管制。

一、“朝令”过犹不及

以《网络安全法》第37条、《数据安全法》第31条、《个人信息保护法》第38条为基础，2022年生效的《数据出境安全评估办法》、《关于实施个人信息保护认证的公告》、2023年生效的《个人信息出境标准合同办法》详细规定了数据/个人信息出境时应进行安全评估、标准合同备案、个人信息保护认证的情形。其中，数据/个人信息处理者向境外提供数据，且满足以下条件之一者，应进行安全评估：（1）数据/个人信息处理者向境外提供重要数据；（2）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；（3）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息。其中，“重要数据”是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。而个人信息处理者在同时满足以下条件时，应通过订立标准合同的方式向境外提供个人信息：（1）非关键信息基础设施运营者；（2）处理个人信息不满100万人的；（3）自上年1月1日起累计向境外提供个人信息不满10万人的；（4）自上年1月1日起累计向境外提供敏感个人信息不满1万人的。

上述规定，广泛地将各企业，特别是跨国企业和开展跨国业务的企业，日常经营活动中涉及的跨境数据/个人信息传输行为囊括其中，提出了严苛的合规要求。在实践中，跨国企业一般出于员工/应聘者管理、股权激励等目的，将个人信息传输到境外总部统一管理；面向国际市场的各个企业在日常经营活动中，会将诸多数据、信息传输到境外，用于满足商业、管理、营销等目的；以个人为服务对象的跨境电商平台、代理平台为实现跨境购物、机酒预定等目的，无法避免地将个人信息传输到境外。这些数据/个人信息传输无一例外受制于上述安全评估、个人信息保护认证或标准合同备案的要求。各地网信办亦要求属地企业根据实际情况，开展合规工作。一年多来，虽然大部分企业仍然处于观望态度，但是已经有相当多的企业主动开展安全评估/标准合同备案工作，各地网信办工作量陡增。但是，由于网信办对于安全评估/标准合同备案要求较高，国家网信办亦不时更新申请文件细节要求，导致诸多企业的申请被不断退回要求修改。但又出于合规考虑，各企业不得不按照要求不停修改、更新申请文件，工作量以及成本极大。而相较提交申请的企业数量来说，获得最终通过的企业却寥寥无几。

二、“夕改”柳暗花明

在收集、听取各地对于安全评估、个人信息保护认证或标准合同备案的反馈及意见后，并且在商务部外商企业圆桌会议的加持下，网信办发布了《数据跨境流动规定》。若《数据跨境流动规定》正式实施，其效力优于《数据出境安全评估办法》、《个人信息出境标准合同办法》等规定。《数据跨境流动规定》明确了即便符合《数据出境安全评估办法》及《个人信息出境标准合同办法》中关于数据/个人信息出境时应进行安全评估或标准合同备案的要求，但无需进行安全评估或标准合同备案（或通过个人信息保护认证）的情形。

在无需进行安全评估、个人信息保护认证或标准合同备案的情形中，特别的，

（1）未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估；

（2）为订立、履行个人作为一方当事人的合同所必需，如跨境购物、跨境汇款、机票酒店预订、签证办理等，必须向境外提供个人信息的，无需进行安全评估、个人信息保护认证或标准合同备案；

（3）按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理，必须向境外提供内部员工个人信息的，无需进行安全评估、个人信息保护认证或标准合同备案；

（4）紧急情况下为保护自然人的生命健康和财产安全等，必须向境外提供个人信息的；

（5）预计一年内向境外提供不满1万人个人信息的，无须进行安全评估、个人信息保护认证或标准合同备案；

（6）预计一年内向境外提供1万人以上、不满100万人个人信息，与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的，可以不申报数据出境安全评估。

上述豁免情形，将绝大部分企业日常、简单、重复的数据/个人出境的情形囊括其中，包括了日常员工管理、针对个人提供的跨境贸易/服务等，从而避免了这些企业的数据/个人信息出境安全评估、个人信息保护认证或标准合同备案的要求，将监管集中在更关键、数据量较大的数据/个人信息出境的企业身上。此举无疑将降低大幅度企业合规成本与负担，也极大减少了网信办的监管压力和工作强度。但值得提醒的是，另外一些场景下的个人信息出境，似乎并不在豁免范围内，例如境外大学、中介机构在境内招生产生的个人信息跨境传输，CRO组织临床试验数据相关的个人信息跨境传输等。

为了进一步缩小监管范围，并考虑进一步减少监管的可能性，《数据跨境流动规定》授权各个自由贸易试验区自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（“负面清单”）。负面清单外的数据/个人信息出境，无需进行安全评估、个人信息保护认证或标准合同备案。可以看出，网信办希望在繁文缛礼的监管体系下，依托自由贸易区的优势，进一步探索高效、便利的数据/个人信息出境监管之路。不过，路漫漫其修远，高效、便利的监管体系建设需要不断探索、调整与完善。

三、“合规”张弛有度

若《数据跨境流动规定》生效：

需要进行数据/个人信息出境安全评估的情形包括：

（1）数据/个人信息处理者向境外提供相关部门、地区告知或者公开发布为重要数据的重要数据；（2）预计未来一年向境外提供100万人以上个人信息的（不包括《数据跨境流动规定》中的豁免情形下的个人信息提供）；（3）预计未来一年内向境外提供1万人以上、不满100万人个人信息（不包括《数据跨境流动规定》中的豁免情形下的个人信息提供），但未与境外接收方订立个人信息出境标准合同并向省级网信部门备案且未通过个人信息保护认证的。

 需要进行标准合同备案的情形包括：

预计未来一年内向境外提供1万人以上、不满100万人个人信息的（不包括《数据跨境流动规定》中的豁免情形下的个人信息）。

至于《数据跨境流动规定》与《数据出境安全评估办法》、《个人信息出境标准合同办法》等规定在适用细节上如何衔接，仍然有待观察。

需要注意的是，即便无需进行数据/个人信息出境安全评估、个人信息保护认证或标准合同备案，在《个人信息保护法》及相关法律法规要求的情况下，基于个人同意向境外提供个人信息的，仍然需要取得个人信息主体同意。

此外，个人信息处理者仍然应该注意并遵守个人信息保护合规审计等合规要求。