数据跨境流动新规简评及实务操作指南.docx

数据跨境流动新规简评及实务操作指南

国家网信办于2024年3月22日发布并正式施行《促进和规范数据跨境流动规定》，同时发布了更新版的《数据出境安全评估指南》、《个人信息出境标准合同备案指南（第二版）》（以下简称数据跨境新规）。中国数据跨境监管的重大调整正式落地。

本文将说明数据跨境新规的核心变化及相应的实操要点，为企业在新环境下的数据合规策略提供操作指南。

一、数据跨境新规的核心变化

1.以豁免形式大幅缩小事前审查/备案的适用范围

过去几年来，我国对数据跨境流动的监管已经形成了“三条路径”，即：申报数据出境安全评估、标准合同备案、通过个人信息保护认证。

这三种路径都属于事前审查。他们不但要求数据出境单位根据法律法规完成数据合规工作，而且要求他们准备大量申请文件证明自己达到了法律要求，最后还需要等待监管机关完成评估、备案程序后，才能开始实施数据出境活动。

数据处理的方式、范围复杂多变，在事前审查、备案或认证的环境下，数据处理者必须投入大量人力物力准备申报文件，而在等待批准或认证期间，企业可能已产生了新的数据传输需求。导致企业倾向于将资源用在应对监管要求上，而非提升日常的个人信息保障能力。

数据跨境新规转换了监管思维，强调了开放与发展并重的基调，适度放宽了程序性要求。特别是对于企业需要频繁处理数据的日常业务场景，豁免了事前的审查程序。此外，新规还赋予了自贸试验区制定《负面清单》的自由，进一步放宽了对数据流通的约束。

下表整理了数据跨境新规所豁免的事前审查、备案的场景：

2.提高了需要事前审查的场景门槛

除从质的角度豁免上述场景的事前审查、报备要求外，数据跨境新规还从量的角度缩小了事前审查程序的适用范围。

首先，明确了计算时间的节点。

相较于过往以“企业上年度至本年所处理数据总量”计算数据出境安全审查门槛的规定，数据跨境新规以“当年累计向境外提供数据量”判断申报必要性，降低了模糊性，也回应了数据处理情况不断变化的现实。

其次，改变了判断数据出境安全审查的统计口径。

在是否需要出境安全审查的统计口径上，过往的标准是以企业所“处理”的总的个人信息数量判断其是否需要完成数据出境审查。这就令那些虽然掌握较大数量用户的个人信息，但业务中实际只跨境传输很小数量的个人信息的单位面临两难：为了数十人的个人信息跨境传输，需要全面梳理和汇报整个企业的数据处理情况。

数据跨境新规改成以“向境外提供”个人信息数量计算。这一变化在实质上进一步放宽了事前审查的要求，改变也降低了境内企业在偶发的数据出境情况下合规开展业务的成本。

第三，数据跨境新规对关键基础设施运营者（“CIIO”）向境外提供个人信息的场景也从一刀切的模式转为分类对待，将前述豁免场景一体适用于关键基础设施运营者。

3.明确了重要数据识别及申报要求

在前一阶段，重要数据的识别和管理是企业开展数据合规工作中经常面临的难题。由于目前仅汽车、电信等部分行业公布了重要数据识别的方法或列出重要数据的种类，大多数行业都尚未公布重要数据目录。企业在数据跨境的路径判断中难免存在困惑。

数据跨境新规明确，在未被相关部门、地区告知，或者未公开发布为重要数据的情形下，企业不需要申报重要数据出境安全评估。

4.延长了数据安全评估结果有效期

数据跨境新规将安全评估结果的有效期自2年延长至3年，此外还新增了企业申请延长有效期的规定。此举对于完成评估和正在申报评估的企业具有重要意义，进一步让他们将数据合规的资源用于日常的个人信息保护工作，增加了数据合规工作的稳定性。

二、实操要点

从合规实践出发，我们梳理和总结了企业适用数据跨境新规的实操要点。

1.如何选择出境路径？

数据跨境新规出台后，在我国当前的监管框架下，对于数据跨境流动的管理采取了根据数据重要程度分类对应监管的思路。

首先，监管对象为重要数据和个人信息。对于重要数据出境，采取严格管控，企业需申报数据出境安全评估。对于个人信息，划分为敏感个人信息和一般个人信息：前者的跨境传输在条件具备的情况下可以豁免申报数据出境安全评估；后者在特定豁免情形下可以免予所有事前审查（即免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证）。

其次，对于CIIO的个人信息出境管控更为严格。各类处理者所对应的具体数据出境合规路径，可参考以下路径图：

2.出境合规定位图

为了方便企业迅速定位自己的合规申报义务，我们进一步制作了下面的数据出境合规义务定位流程图：

3.一些关键概念和实务TIPS

?重要数据：是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。

TIPS：实践中，企业应关注行业主管部门直接通知或公开发布的重要数据目录清单或识别指南。

?个人信息：以电子或者其他方式记录的与已识别或者可识别的自然