跨境数据流动减负增效——评《促进和规范数据跨境流动规定》｜mhp君悦评论

2024年3月22日，中华人民共和国国家互联网信息办公室（“网信办”）发布了《促进规范数据跨境流动规定》（“《数据跨境流动规定》”），进一步规范数据出境活动及其适用管制。

一、不堪重负的过往

以《网络安全法》第37条、《数据安全法》第31条、《个人信息保护法》第38条为基础，2022年生效的《数据出境安全评估办法》、《关于实施个人信息保护认证的公告》、2023年生效的《个人信息出境标准合同办法》详细规定了数据/个人信息出境时应进行数据出境安全评估、标准合同备案、个人信息保护认证的情形。其中，数据/个人信息处理者向境外提供数据，且满足以下条件之一者，应进行数据出境安全评估：（1）数据/个人信息处理者向境外提供重要数据；（2）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；（3）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息。其中，“重要数据”是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。而个人信息处理者在同时满足以下条件时，应通过订立标准合同的方式向境外提供个人信息：（1）非关键信息基础设施运营者；（2）处理个人信息不满100万人的；（3）自上年1月1日起累计向境外提供个人信息不满10万人的；（4）自上年1月1日起累计向境外提供敏感个人信息不满1万人的。

上述规定，广泛地将各企业，特别是跨国企业和开展跨国业务的企业，日常经营活动中涉及的跨境数据/个人信息传输行为囊括其中，提出了严苛的合规要求。在实践中，跨国企业一般出于员工/应聘者管理、股权激励等目的，将个人信息传输到境外总部统一管理；面向国际市场的各个企业在日常经营活动中，会将诸多数据、信息传输到境外，用于满足商业、管理、营销等目的；以个人为服务对象的跨境电商平台、代理平台为实现跨境购物、机酒预定等目的，无法避免地将个人信息传输到境外。这些数据/个人信息传输无一例外受制于上述数据出境安全评估、个人信息保护认证或标准合同备案的要求。各地网信办亦要求属地企业根据实际情况，开展合规工作。一年多来，虽然大部分企业仍然处于观望态度，但是已经有相当多的企业主动开展安全评估/标准合同备案工作，各地网信办工作量陡增。然而，由于网信办对于安全评估/标准合同备案要求较高，国家网信办亦不时更新申请文件细节要求，导致诸多企业的申请被不断退回要求修改。但又出于合规考虑，各企业不得不按照要求不停修改、更新申请文件，工作量以及成本极大。而相较提交申请的企业数量来说，获得最终通过的企业却寥寥无几。

二、卸下枷锁、减负增效

在收集、听取各地对于数据出境安全评估、个人信息保护认证或标准合同备案的反馈及意见后，并且在商务部外商企业圆桌会议的加持下，网信办发布了《数据跨境流动规定》。《数据跨境流动规定》效力优于《数据出境安全评估办法》、《个人信息出境标准合同办法》等规定。《数据跨境流动规定》明确了即便符合《数据出境安全评估办法》及《个人信息出境标准合同办法》中关于数据/个人信息出境时应进行数据出境安全评估或标准合同备案的要求，但免予进行数据出境安全评估或标准合同备案（或通过个人信息保护认证）的情形。

在免予进行出境数据安全评估、个人信息保护认证或标准合同备案的情形中，特别的，

（1）未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估；

（2）为订立、履行个人作为一方当事人的合同，如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等，确需向境外提供个人信息的；

（3）按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供内部员工个人信息的；

（4）紧急情况下为保护自然人的生命健康和财产安全确需向境外提供个人信息的；

（5）关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）的。

上述豁免情形，将绝大部分企业日常、简单、重复的数据/个人出境的情形囊括其中，包括了日常员工管理、针对个人提供的跨境贸易/服务等，从而避免了这些企业的数据/个人信息数据出境安全评估、个人信息保护认证或标准合同备案的要求，将监管集中在更关键、数据量较大的数据/个人信息出境的企业身上。此举无疑将大幅度降低企业合规成本与负担，也极大减少了网信办的监管压力和工作强度。但值得提醒的是，另外一些场景下的个人信息出境，似乎并不在豁免范围内，例如境外大学、中介机构在境内招生产生的个人信息跨境传输，CRO组织临床试验数据相关的个人信息跨境传输等。

即便如此，为了进一步缩小监管范围，并考虑进一步减少监管的可能性，《数据跨境流动规定》授权各个自由贸易试验区自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（“负面清单”）。负面清单外的数据/个人信息出境，无需进行安全评估、个人信息保护认证或标准合同备案。可以看出，网信办希望在繁文缛礼的监管体系下，依托自由贸易区的优势，进一步探索高效、便利的数据/个人信息出境监管之路。

目前，上海临港自贸区发布了《临港新片区数据跨境流动分类分级管理办法（试行）》，将跨境数据从高到低依次分为核心数据、重要数据、一般数据3个级别，并在遵循“从企业到行业，从案例到清单，从正面到负面”的原则基础上，在智能网联汽车、金融理财、高端航运、国际贸易、生物医药、文化出海等重点领域的具体场景，逐步形成首批清单目录，并将在完成论证后对外发布。

三、合规要求

根据《数据跨境流动规定》，在不能适用《数据跨境流动规定》中给予的免予进行数据出境安全评估、个人信息保护认证或标准合同备案的情况下，申报门槛可以总结如下：

四、延长数据出境安全评估结果有效期

《数据跨境流动规定》将《数据出境安全评估办法》规定的数据出境安全评估结果有效期2年延长为3年，自评估结果出具之日起计算。

需要注意的是，即便无需进行数据/个人信息数据出境安全评估、个人信息保护认证或标准合同备案，在《个人信息保护法》及相关法律法规要求的情况下，基于个人同意向境外提供个人信息的，仍然需要取得个人信息主体同意。

此外，个人信息处理者仍然应该注意并遵守个人信息保护合规审计等合规要求。