问题一：新《规定》出台后，规范数据跨境流动的主要规定有哪些？

回答一：新《规定》出台后，《数据出境安全评估办法》、《个人信息出境标准合同办法》等相关规定与新《规定》不一致的，适用新《规定》。新《规定》出台后，规范数据跨境流动的主要规定具体包括：

问题二：数据可以通过哪几种方式出境，新《规定》出台后将存在何种变化？

回答二：根据《中华人民共和国个人信息保护法》第三十八条，个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，可以通过“数据安全评估”“个人信息保护认证”“标准合同”三种方式。

《个保法》出台后，《数据出境安全评估办法》《关于实施个人信息保护认证的公告》《个人信息出境标准合同办法》相继公布，对三种数据出境方式的具体操作流程进行了细化规定。然而，前述部门规章在适用过程中，尚存不足，评估及备案的尺度和效率与数据跨境需求存在偏差。

本次网信办出台的新《规定》新增了三种数据出境方式的豁免场景，又被称为“第四条路径”（详见新《规定》第三条、第四条、第五条、第六条）。新《规定》回答了实践中老大难的几大问题，包括“重大数据”如何认定，不包含个人信息或者重要数据的到底要不要适用数据出境路径，跨境企业集团仅在境内作数据处理的到底要不要适用数据出境路径？等等。

问题三：什么是重要数据？新《规定》出台后，重要数据的认定存在哪些变化？

回答三：根据数据的敏感性、重要性和潜在风险进行划分，数据通常被分为一般数据、重要数据、核心数据等。

其中，重要数据是指特定领域、特定群体、特定区域或达到一定精度和规模的，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据，仅影响组织自身或公民个体的数据一般不作为重要数据（国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》（2024年3月21日发布，2024年10月1日起实施））。此外，关于“重要数据”的定义在《数据出境安全评估办法》中亦有规定。

本次新《规定》的修订，解决了企业面对“重要数据”的认定“无从下手”的问题。新《规定》第二条，建立了由上至下的重要数据监管路径，明确“未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。”

问题四：新《规定》出台后，哪些场景下的数据出境可以豁免《个保法》第三十八条下的三条路径？

回答四：新《规定》中的第三条、第四条、第五条、第六条对《个保法》第三十八条规定的“数据安全评估”“个人信息保护认证”“标准合同”三条路径在具体场景下的适用作了豁免规定。具体如下：

（1）不包含个人信息或者重要数据的数据可以豁免申报。包括国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据（新《规定》第三条）。

（2）“来料加工数据”（境外收集、产生——境内处理——对境外提供）可以豁免申报（新《规定》第四条）。

（3）新《规定》较原《征求意见稿》增加了跨境寄递、跨境支付、跨境开户、考试服务等豁免场景，为加大数据流通开放、为促进跨境旅游、学术交流提供了制度背景（新《规定》第五条）。

（4）属于自由贸易实验区负面清单内的数据可以豁免申报。赋予自由贸易试验区自行制定数据跨境负面清单权利（新《规定》第六条）。

问题五：新《规定》出台后，原数据出境安全评估手续将面临哪些变化？

回答五：新《规定》出台后，原数据出境安全评估手续将面临的变化包括：

（1）新增申报“数据安全评估”的豁免规定。本次新《规定》第三条、第四条、第五条、第六条，对《个保法》第三十八条下的三条路径在具体场景下的适用作了豁免规定。

（2）明确数据出境安全评估的条件。包括：其一，关键信息基础设施运营者向境外提供个人信息或者重要数据；其二，关键信息基础设施运营者以外的数据处理者向境外提供重要数据，或者自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息）或者1万人以上敏感个人信息（新《规定》第七条）。

（3）将评估有效期由2年延长至3年的规定。通过数据出境安全评估的结果有效期为3年（原《数据出境安全评估办法》规定为2年），自评估结果出具之日起计算。有效期届满后可通过申请再延长3年有效期（新《规定》第九条）。

问题六：新《规定》出台后，原个人信息出境标准合同及个人信息保护认证的适用范围将面临哪些变化？

回答六：根据新《规定》第八条，关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供：

（1）个人信息：10万人以上、不满100万人（不含敏感个人信息），或者

（2）敏感个人信息：不满1万人。

应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。

问题七：新《规定》出台后，对自由贸易试验区内企业有哪些优惠政策？

回答七：新《规定》出台后，自由贸易试验区有权制定“负面清单”，以促进区内数据依法依规、安全有序流动。

（1）新《规定》的关于自贸区负面清单的具体内容

自由贸易试验区在国家数据分类分级保护制度框架下，可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（简称负面清单）。

自由贸易试验区内数据处理者向境外提供负面清单外的数据，可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证（新《规定》第六条）。负面清单出台前，自由贸易试验区内的数据出境活动按照国家数据出境安全管理有关规定执行。

（2）部分自贸区有关数据分类分级的先行先试情况

新《规定》出台前，已有部分自由贸易试验区对于数据分类分级示范标准进行了先行先试。例如，2024年2月7日，天津市商务局,中国（天津）自由贸易试验区管理委员会正式发布了《中国（天津）自由贸易试验区企业数据分类分级标准规范》（“《天津自贸区标准》”）。2024年2月8日，中国（上海）自由贸易试验区临港新片区管理委员会正式发布了《临港新片区数据跨境流动分类分级管理办法（试行）》（“《临港自贸区标准》”）。

以《天津自贸区标准》为例，规定如果行业主管部门已公开发布或已在行业内部发布本行业本领域数据分类分级标准规范，优先按照行业规范识别重要数据，行业主管部门未明确判定标准时，将通过“统一识别规则”与“十三类行业数据”类别相结合，开展“识别”工作，并向主管部门报送。

问题八：新《规定》出台后，数据处理者向境外提供数据的，应当重点关注哪些方面？

回答八：数据处理者向境外提供个人信息的，应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务（新《规定》第十条）。

数据处理者向境外提供数据的，应当遵守法律、法规的规定，履行数据安全保护义务，采取技术措施和其他必要措施，保障数据出境安全。发生或者可能发生数据安全事件的，应当采取补救措施，及时向省级以上网信部门和其他有关主管部门报告（新《规定》第十一条）。

问题九：新《规定》出台后，新旧制度如何衔接？

回答九：新《规定》施行前已经完成或者正在申报数据出境安全评估、提交个人信息出境标准合同备案的，根据国家网信办3月22日公布的《<促进和规范数据跨境流动规定>答记者问》，可以通过以下方式进行衔接：

（1）新《规定》施行前已经通过数据出境安全评估的数据出境活动，数据处理者可以根据申报事项继续开展。

（2）新《规定》施行前未通过或者部分未通过数据出境安全评估，根据《规定》免予申报数据出境安全评估的数据出境活动，数据处理者可以依法通过订立个人信息出境标准合同、通过个人信息保护认证等其他途径向境外提供个人信息。

（3）新《规定》施行前已经申报数据出境安全评估、提交个人信息出境标准合同备案，根据《规定》无需开展上述程序的，数据处理者可以按照原程序进行，也可以向所在地省级网信部门撤回申报、备案。