2024年3月22日，国家互联网信息办公室印发《促进和规范数据跨境流动规定》。相较于《规范和促进数据跨境流动规定（征求意见稿）》（以下简称“征求意见稿”）最直观的变化在于，由征求意见稿的“规范”在前“促进”在后，改为了先“促进”后“规范”。这也意味着我国为促进数据的跨境流动创造了更为宽松的监管环境。

借此契机，本文对我国数据跨境传输监管框架进行梳理，旨在为企业提供更为清晰的数据出境路径指引。

在讨论“数据出境”监管路径，需明确什么样的行为会构成“数据出境”。

在国家网信办就《数据出境安全评估办法》答记者问中予以明确，数据出境活动主要包括以下两种情形：

一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。

二是数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以访问或者调用。

之于“境外”的理解，是否包含港澳台地区，实务中已无过多的争议。

《中华人民共和国出境入境管理法》第八十九条规定：“出境，是指由中国内地前往其他国家或者地区，由中国内地前往香港特别行政区、澳门特别行政区，由中国大陆前往台湾地区。”因此，“数据出境”当然包括我国港澳台地区。

当然，企业也不必过度紧张，落入“数据出境”范畴，不等同于落入监管范畴。

一、不涉及重要数据和个人信息的一般数据出境暂无限制

并不是任何数据的出境行为都会受到直接监管。

也就是说，对于既不属于重要数据也不是个人信息的，在目前的数据出境监管态势下，未有限制。

《规定》第三条提出，“国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供，不包含个人信息或者重要数据的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。”例如，企业产品销量等数据需跨境传输的，暂无监管层面限制。

当然，该类一般数据的跨境传输仍需遵守国家秘密保护、反不正当竞争以及相关合同协议中约定的义务。

二、重要数据出境必须评估

何为“重要数据”？根据《数据出境安全评估办法》第十九条规定：“重要数据，是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。”

但在实践中，企业面临的最大困惑在于难以判断何种数据的不当使用可能会危害国家安全等，便难以进一步判断其处理的数据是否属于重要数据。

对于重要数据的识别，《数据安全法》明确了我国实行目录制度[1]。但据悉，现阶段暂无任何行业、地区发布了重要数据目录。目前，工信部已经开展工业和信息化领域重要数据识别试点工作，并有部分企业向主管部门报送重要数据目录[2]，重要数据的监管将进一步明确和落地。

在汽车行业，《汽车数据安全管理若干规定（试行）》第三条第六款明确了部分重要数据的范围，主要包括重要敏感区域的地理信息、人员流量、车辆流量等数据、汽车充电网的运行数据等[3]。此外，上海市网信办于2023年5月18日分享了上海市新能源汽车公共数据采集与监测研究中心制定的《重要数据识别规则》，具有参考意义。

之于企业而言，《规定》再一次明确了未被公开发布为重要数据的，暂时就无需考虑数据出境安全评估[4]，除非企业触发了需进行评估的其他条件和情形。

需强调的是，任何一条重要数据的出境都要进行数据出境安全评估，企业仍应保持必要的关注，未雨绸缪。日常管理中，企业可以参照《数据安全技术 数据分类分级规则》（GB/T 43697—2024）附录G《重要数据识别指南》中的各项因素进行自我识别。

电信领域、工业领域的企业还可以参照《电信领域重要数据和核心数据识别指南（试行）》《工业领域重要数据和核心数据识别指南（试行）》等相关文件进行重要数据识别，必要时，可以主动联系行业主管部门，以完成重要数据识别、申报义务。

三、个人信息出境需区分情况讨论

个人信息出境是否会触发监管要求，取决于不同场景和条件。

（一）数据过境明确予以豁免

很多企业非常关注数据过境问题，如主要面向海外市场提供客服、物流、数据分析等支持性服务，但将数据中心建立在境内的服务商。该类企业，考虑到境内的成本较低，境外机构会将其在境外收集的个人信息发送给境内的数据处理者进行处理，但此过程中未添加任何境内的个人信息。此类数据过境场景，根据《规定》第四条[5]可以予以豁免，但前提是没有引入任何新的境内个人信息或重要数据。

（二）特定场景下的出境申报豁免

针对诸如为开展跨境业务、跨国公司人力资源管理等而确需向境外传输个人信息的特定场景，《规定》也对该等场景予以豁免，免于申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证[6]。

实践中，企业最为关心的就是在何种条件下向境外传输员工个人信息能够予以出境申报豁免。相比征求意见稿，相应表述从“必须”改为了“确需”，给企业留下了一定的解释空间。在我们遇到的企业中，有一部分仅有该业务场景涉及个人出境场景，《规定》的出台可以在一定程度上可以将这些企业从数据出境申报中解放出来。仍需提示的是，与《个保法》第十三条中关于“同意”的豁免情形相同，人力资源管理豁免所需的是“依法制定的劳动规章制度”及“依法签订的集体合同”，这意味着并非企业随意印发一个制度即可实现豁免的效果，应符合《劳动法》《劳动合同法》等法律规定，企业不得随意扩大。

（三）特殊身份仍应当保持关注

关键信息基础设施运营者（“CIIO”，Critical Information Infrastructure Operator）具有比一般网络运营者更高的安全运行保障义务，因此，CIIO的认定在实践中也引起了企业的高度关注。

《规定》[7]再次明确了，被认定为关键信息基础设施运营者的，任何一条个人信息的出境均需要申报数据出境安全评估。但上述“（二）特定场景下的出境申报豁免”，对于CIIO同样适用。

CIIO的认定，与上述“重要数据”类似，如未被有关部门明确告知为关键信息基础设施运营者的，暂无需将自己视为CIIO。同时，企业也可以结合《关键信息基础设施安全保护条例》中列明的参考因素进行自评估。

（四）特定区域的出境义务减负

1.自由贸易试验区数据负面清单制度

《规定》[8]设置了自由贸易试验区负面清单制度，允许自贸区探索更为宽松的监管政策。自贸区可以自行制定需要履行前置审批的数据负面清单，经属地的省级网信办批准并报国家网信办备案后，负面清单外的数据出境申报均可予以豁免。

近期，不同地方的自贸区相应地尝试探索促进数据流通。

以上海为例，2024年2月8日，《中国（上海）自由贸易试验区临港新片区数据跨境流动分类分级管理办法（试行）》（沪自贸临管规范〔2024〕3号，以下简称“《临港管理办法》”）正式印发。《临港管理办法》采用“行业+场景”的形式，将率先围绕智能网联汽车、金融理财、高端航运、国际贸易、生物医药、文化出海等重点领域的具体场景，发布一批一般数据清单和重要数据目录。

《临港管理办法》将跨境数据分级从高到低依次分为核心数据、重要数据、一般数据3个级别。其中，核心数据禁止跨境；重要数据形成重要数据目录，安全评估后出境；一般数据形成一般数据清单，备案后出境。对企业实践的具体影响，有待于相关目录或清单发布后，结合所涵盖数据范围和内容等做进一步判断。

目前，临港新片区已基本编制完成智能网联汽车车辆远程诊断、公募基金市场投研信息、跨国公司集团管理、生物医药临床试验和研发等20个场景的跨境流动分级分类的首批清单目录，在完成论证后将于近期对外发布[9]。

2.粤港澳大湾区数据跨境流动创新制度

2023年6月，国家互联网信息办公室与香港特区政府创新科技及工业局签署《关于促进粤港澳大湾区数据跨境流动的合作备忘录》（以下简称“《合作备忘录》”）。在此基础上，作为粤港澳大湾区数据跨境流动创新制度，2023年12月13日，国家互联网信息办公室与香港创新科技及工业局公布了《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》（以下简称“《实施指引》”）。《实施指引》适用注册于（适用于组织）/位于（适用于个人）粤港澳大湾区内地部分，即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市，或者香港特别行政区的个人信息处理者及接收方。

《实施指引》虽未明确就跨境的数量等限制进行突破。但基于《合作备忘录》中树立的“进一步降低大湾区内地和香港两地企业跨境数据流动合规成本”的精神和理念，倾向于认为原本触发数据安全出境评估标准的个人信息出境行为，在符合《实施指引》条件时，可以通过《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同》备案这一特殊安排履行数据出境合规义务。

（五）出境路径数量标准的再澄清

实践中，遇到过的一个问题是：企业出境数据的数量可能达到触发数据出境安全评估或其他出境路径的标准，但某些情形满足了特定的豁免条件，此时是否可以扣减该部分可以豁免的数量，从而避免触发特定的申报条件？

本次《规定》对该种情形予以明确。在《规定》第七条、第八条关于出境路径数量标准中，均明确了“属于本规定第三条、第四条、第五条、第六条规定情形的，从其规定”。换言之，在满足《规定》第三条、第四条、第五条、第六条的豁免情形下，企业无需再对出境的数量进行统计以判断适用何种出境路径。

在数量标准上，《规定》同样进行了调整。

【注：上表仅涉及数量标准的对比，CIIO或涉及重要数据出境的，仍需申报安全评估】

其中，《规定》将数据出境安全评估的有效期延长至三年，同时明确经申请并经国家网信办批准后，可以再延长三年[10]。

因此，企业可以自行或委托专业第三方根据《规定》的相关要求对是否会触发数据出境安全机制进行评估。若涉及敏感个人信息的，必然会触发相应出境安全机制；若不涉及敏感个人信息，需结合出境个人信息数量进行区分判断。

（六）其他合规义务仍需落实

仍需提示的是，虽然《规定》对特定场景、特定数量范围内个人信息出境等情形予以豁免，但数据处理者仍需履行相应的合规义务。

《规定》第十一条明确：“数据处理者向境外提供数据的，应当遵守法律、法规的规定，履行数据安全保护义务，采取技术措施和其他必要措施，保障数据出境安全。发生或者可能发生数据安全事件的，应当采取补救措施，及时向省级以上网信部门和其他有关主管部门报告。”

除此之外，《个人信息保护法》中对于个人信息的处理设有相应的合规义务，企业仍应予以落实，如获得处理个人信息的合法性基础、开展个人信息保护影响评估等。

整体而言，《规定》对我国现有数据跨境安全机制进行了调整和优化，便利了数据跨境流动。但企业仍需正确理解，《规定》本质是对监管程序的豁免，并非对企业合规义务的免除。企业可以根据《规定》的相关要求，综合评估和判断适用情况，制定相应的合规策略。

第一，结合企业自身实际，评估判断《规定》的适用情况，确定相应的数据出境合规路径。

对于尚未提交安全评估申报或标准合同备案的企业，可以结合上图判断是否需进行评估、备案或认证，并尽快开展相应工作。对已经提交申报或备案的企业，结合《规定》判断是否撤回或继续推进相应工作。

第二，建立完善企业个人信息保护合规举措，落实个人信息保护合规义务。

企业应自行或委托专业机构对涉及个人信息业务的全生命周期进行合规体检，建立完善适应企业业务开展所需的个人信息保护合规举措，确保能够满足个人信息出境的基本合规义务。

第三，密切关注重要数据目录制定、CIIO认定的最新动态。

涉及重要数据出境或CIIO实施数据出境活动，均需申报数据出境安全评估。鉴于重要数据目录制定和CIIO认定等工作会陆续开展和推进，企业仍应根据自身所处行业、领域，对重要数据目录制定、CIIO认定等最新动态保持关注，以满足相应合规义务。