我国数据跨境的监管政策和合规路径简述.docx

我国数据跨境的监管政策和合规路径简述

一、我国数据跨境主要法律法规和监管规定

我国的跨境数据涉及多个法律法规和相关规定，从2016年《中华人民共和国网络安全法》（以下简称《网络安全法》）出台，数据跨境就一直是立法的重点和焦点问题。直到2021年《中华人民共和国数据安全法》（以下简称《数据安全法》）《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）先后出台，数据合规邻域三大基本法律规范体系建立；2022年《数据出境安全评估办法》发布，《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》（以下简称《安全认证规范V2.0》）正式实施，再到2023年2月《个人信息出境标准合同办法》（以下简称《标准合同办法》）正式发布，我国数据跨境的相关法律法规及政策指引文件更加完善和体系化，并已初步形成数据出境安全评估、个人信息保护认证、个人信息出境标准合同备案三大数据出境的基本合规路径。

在前述法律法规和相关政策文件的规定和指引下，我国数据出境安全评估、个人信息处境安全认证、个人信息出境标准合同备案工作逐展开。但在实践中，数据出境的场景千差万别，而相应的监管细则并不完善，也出现了申报流程长、数据安全评估触发门槛较低、监管较为严格、企业数据出境合规成本较高等一系列情况。在促进数据流动，加强数字贸易的背景下，2023年9月28日国家互联网信息办公室发布《规范和促进数据跨境流动规定（征求意见稿）》广泛征求各方对数据出境规定的意见。2024年3月22日，《促进和规范数据跨境流动规定》（以下简称《跨境流动规定》）正式发布施行，放宽了数据出境的合规监管要求，申报数据安全评估、个人信息保护认证或标准合同备案的触发门槛均有所提高，同时规定了无需申报数据出境安全评估、订立个人信息出境标准合同、进行个人信息保护认证的豁免场景等，监管尺度的放宽同时也大大降低了企业数据出境的合规成本。

在地方层面上，北京、天津、上海、粤港澳大湾区等地也积极探索数据出境管理创新思路和方案，分别出台了《中国（北京）自由贸易试验区数据出境负面清单管理办法（试行）》（以下简称《北京负面清单管理办法》）及《中国（北京）自由贸易试验区数据出境管理清单（负面清单）（2024版）》（以下简称《北京负面清单》）、《中国（上海）自由贸易试验区临港新片区数据跨境流动分类分级管理办法》（以下简称《上海临港数据跨境分类分级办法》）及《中国（上海）自由贸易试验区临港新片区生物医药领域数据跨境场景化一般数据清单（试行）》《中国（上海）自由贸易试验区临港新片区智能网联汽车领域数据跨境场景化一般数据清单（试行）》《中国（上海）自由贸易试验区临港新片区公募基金领域数据跨境场景化一般数据清单（试行）》（以下合并简称《上海一般数据清单》、《中国（天津）自由贸易试验区数据出境管理清单（《负面清单》）（2024年版）》（以下简称《天津自贸区负面清单》、《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》（以下简称《大湾区标准合同实施指引（内地、香港》）及《粤港澳大湾区（内地、澳门）个人信息跨境流动标准合同实施指引》（以下简称《大湾区标准合同实施指引（内地、澳门）》。

总的来说，我国的数据跨境法律法规和监管政策旨在保护数据安全，促进数据合法、有序地跨境流动。随着技术的不断发展和数据保护需求的增加，这些法规、政策和指引文件也在不断完善，以适应新的形势和挑战。

二、我国数据出境的三大基础合规路径

（一）三大基础合规路径

《网络安全法》、《数据安全法》和《个人信息保护法》这三部数据合规领域的“基本法”，对数据出境的条件和要求均做出了相应规定。其中《个人信息保护法》更是直接明确了个人信息出境的三条基本合规路径，即：

（1）通过国家网信部门组织的安全评估；

（2）经专业机构进行个人信息保护认证；

（3）按照国家网信部门制定的标准合同与境外接收方订立合同。

这三条合规路径的具体适用条件和基本要求，也相应通过《安全评估办法》、《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》及之后的2.0版本和《标准合同办法》中予以明确。其中安全评估具有法定适用性，根据《安全评估办法》规定，达到下列条件/符合下列情形的数据出境活动应强制适用：

（1）向境外提供重要数据；

（2）关键信息基础设施运营者（CIIO）；

（3）处理100万人以上个人信息；

（4）自上年1月1日起累计向境外提供10万人个人信息；

（5）自上年1月1日起累计向境外提供1万人敏感个人信息；

（6）国家网信部门规定的其他需要申报数据出境安全评估的情形。

未达到安全评估适用条件的，企业可根据自身条件、数据出境的具体场景和频次等选择适用个人信息保护认证或比准合同备案。

而随着《跨境流动规定》正式发布施行，三大合规路径的适用条件也有了变化，在《跨境流动规定