揭晓数据出境新图景：《促进和规范数据跨境流动规定》新规解读及企业合规提示数据

《数据跨境新规》通过第三、四等条款的规定进一步明确，数据出境监管的对象限于个人信息与重要数据，除此之外的数据类型除非有特别限制均可以自由流动。国家互联网信息办公室有关负责人在答记者问时也对此进行了重申——“数据出境安全管理不是对于所有数据，只限于重要数据和个人信息，这里的重要数据是针对国家而言，而不是针对企业和个人。”

对于重要数据，《数据跨境新规》同样承继了以往《安全评估办法》的监管要求， 不论是CIIO还是非CIIO的数据处理者，只要向境外提供重要数据，均需申报数据出境安全评估。

关于重要数据的识别，《数据安全法》规定，国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。尽管各行业主管部门均展开了多轮对重要数据的调研活动，但截至目前，尚未有相关目录发布。

针对重要数据的识别标准尚不明确所引起的疑虑，《数据跨境新规》保留了征求意见稿所释放的重要信号，即特别指出是否涉及重要数据以相关部门、地区告知或者公开发布信息为准，从而为数据处理者在尚不明朗的监管环境下确立了一条相对明确的适用判断标准。但相比征求意见稿， 《数据跨境新规》为重要数据的识别提供了一项前置条件，即“数据处理者应当按照相关规定识别、申报重要数据”，这一前置条件实际上突破了《数据安全法》确立的自上而下的重要数据识别方式，首次在数据处理者层面添加了识别和申报义务。这种变化尊重了重要数据发源于企业因而必须由企业参与识别的事实基础，长远来看，有助于重要数据识别的谨慎和准确。

《数据跨境新规》在部门规章层面添设了一种新的数据类别，即“负面清单”。新规确定，在国家数据分类分级保护制度框架下，自由贸易试验区（ “自贸区” ）可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（ “负面清单” ），经省级网络安全和信息化委员会批准后，报国家网信部门、国家数据管理部门备案。负面清单外的数据，可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证（ #绝对豁免1 ）。 据悉，目前，上海自贸区临港新片区已基本编制完成智能网联汽车车辆远程诊断、公募基金市场投研信息、跨国公司集团管理、生物医药临床试验和研发等20个场景的跨境流动分级分类的首批清单目录，在完成论证后将于近期对外发布。

“负面清单”制度意义重大。负面清单制度为区内企业清单外数据提供了“绝对豁免”的自由度，且体现了国家数据监管权力向地方政府部门的罕见赋权，这一举措和态度将在保护营商环境层面将起到重大作用，也令企业更为期待各自贸区负面清单的具体内容。

根据《数据跨境新规》，数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供，处理过程中没有引入境内个人信息或者重要数据的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证（ #绝对豁免2 ）。相比征求意见稿“不是在境内收集产生的个人信息向境外提供”这一对于“过境数据”的粗略描述，《数据跨境新规》明确了 “境外收集和产生”“传输至境内处理”“没有引入境内个人信息或者重要数据” 等核心的判断要素。

核心判断要素叠加后不难发现，相比过去监管着重于论证何为“境内处理”从而判断是否为过境数据的监管思路， 《数据跨境新规》更着眼于对“两头在外”的商业模式的保护而非数据层面的传统保护。所谓“两头在外”，是经济贸易术语“原料从国外进、产品在国外销”的来料加工、进料加工模式在数据监管层面的应用，也能更为清晰地协助企业理解各地政策中的“离岸数据中心”的定位本意，从而更好地应用本条过境数据规则部署相关供应链结构。

《数据跨境新规》对于申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证三条路径的豁免主要从以下两个维度展开：

（1）基于合法性基础的豁免

数据处理者基于以下合法性基础出境个人信息的，三条路径均可予以绝对豁免：

A. 基于“个人主动发起”的为订立、履行个人作为一方当事人的合同中确需出境的个人信息，给予绝对豁免（ #绝对豁免3 ）。

为订立、履行个人作为一方当事人的合同，如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等，确需向境外提供个人信息的。

B. 基于“跨境人力资源管理”中确需出境的员工个人信息，给予绝对豁免（ #绝对豁免4 ）。准备适用此项豁免条件的数据处理者需要在内部人事制度建设、员工个人信息出境告知程序等方面做好合规准备。

按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的。

C. 基于紧急情况下确需出境的个人信息，给予绝对豁免（ #绝对豁免5 ）

紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息的。

（2）基于数据出境量级的豁免

针对数据出境量级，《数据跨境新规》也给出了绝对豁免通道，即 “非CIIO的数据处理者” “自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）的”。 （ #绝对豁免6 ）

另一层面的豁免体现通过对不同出境数据数量级的调整，将原先需要申报数据出境安全评估的情形进行豁免，调整为通过订立个人信息出境标准合同、个人信息保护认证路径出境，大大减低了企业的合规成本。该条款具体为 “非CIIO的数据处理者 ”“自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息的，应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。 ”至于如何计算个人信息数据量，相关负责人答记者问时表示，上述数据出境量级的计算周期为 自当年1月1日起至申报数据出境安全评估之日 ，数量以自然人为单位去重后的统计结果为准。属于《数据跨境新规》第三条、第四条、第五条第一款第一项至第三项、第六条规定的三条路径绝对豁免情形的，不计入累计数量。

值得注意的是， 《数据跨境新规》捋顺了在征求意见稿在数据出境数量和合法性基础层面适用存在冲突的问题。 在下文提及的针对数据出境量级的豁免中，《数据跨境新规》也屡次提及，在数量级计算过程中，如遇合法性基础和其他绝对豁免情形的，则可直接适用绝对豁免情形进行豁免。在新公布的《数据出境安全评估申报指南(第二版)》中对合法性基础本身的适用混乱也回归了《个保法》初衷，强调在合法性基础适用方面，“若属于《个人信息保护法》第十三条第一款第二项至第七项规定情形的，不需取得个人同意”。

1. 竞天公诚网络安全与数据合规动态提报（2024年2月）
   

2. Data Protection in 2023
   

3. 竞天公诚网络安全与数据合规动态提报（2024-1）

4. 网络安全与数据合规动态提报（2023-12）
   

5. Transfer of Personal Info within the Great Bay Area

6. 竞天公诚网络安全与数据合规动态提报（2023-11）

7. 中国数据交易制度与市场建设速览

8. 竞天公诚网络安全与数据合规动态提报（2023-10）

9. 数据跨境新规下企业员工个人信息出境豁免情形适用的前期准备

10. China Expects to Relax Restriction on Cross-Border Data Transfer

11. 竞天公诚网络安全与数据合规动态提报（2023-9）

12. 数据出境九月新规草案：变化与应对

13. 竞天公诚网络安全与数据合规新规提报（2023- ‍ 8）

14. 竞天公诚网络安全与数据合规新规提报（2023-7）

15. 金融业数据合规新解：《中国人民银行业务领域数据安全管理办法（征求意见稿）》
    

16. 网络安全和数据保护领域行政职权划分与执法活动梳理
    

17. Exploring China' Standard Contract
    

18. 金融集团数据共享的来路与困境

19. 个人信息出境标准合同的制度逻辑与实务要点
    

20. Data Protection in 2022
    

21. 新规解读｜国标《信息安全技术 人脸识别数据安全要求》
    

22. 数据出境疑难问答
    

23. 《反电信网络诈骗法》要点梳理和解读
    

24. 新规解读 |《数据出境安全评估申报指南（第一版）》
    

25. 正规平台虚假订单诈骗案件分析及风险防范
    

26. 个人数据跨境流动的未决之路——跨境处理安全认证三大机制比较
    

27. 《数据出境安全评估办法》解读及相关制度衔接讨论
    

28. 数据泄露了，要不要上报？
    

29. 解码“健康码”：国家机关如何合法地处理个人信息？
    

30. 欧盟新版SCCs发布一周年——新版SCCs应用中的十个常见问题
    

31. 变革与挑战——从金融业视角解析《个人信息保护法》

32. An Anatomy of the New Personal Information Protection Law

33. 个人信息保护法：逻辑、重点及建议

34. 深度拆解：直播营销管理办法

35. App个人信息保护规定解读

36. 315后说“人脸”——人脸识别合规难题与对策

37. Cross-border Transfer of Personal Financial Information

38. 关于个人信息保护法草案的七个疑问

39. APP收购攻略

40. APP安全认证实操十问十答

41. 联邦学习能否解决金融数据整合难题？

42. 金融集团数据整合：“信息孤岛”攻坚战

43. 企业如何应对数据泄露

44. 网约车行业数据保护的规则及其特点

45. 网约车与电商法的适用五题

46. 实施已满三月，区块链新规“回头看”

47. App个人信息保护专项治理暴雨将至，你的屋顶会漏吗？

48. 银行业金融数据出境的监管框架与脉络

49. 企业如何开展网络与数据安全事件应急演练？

50. 电信和互联网行业网络安全大检查来临，你准备好了吗？

51. 当资本运作遇到网络安全：尽调该怎么做？

52. 欧盟《隐私与电子通信条例》（e-Privacy Regulation）草案介绍

53. 标准合同条款：欧盟个人数据出境的常规路径之一

54. 放弃or坚持——出海游戏公司如何应对GDPR？

55. 《网络安全等级保护条例（征求意见稿）》与《信息安全等级保护管理办法》的条款比对

56. 从《网络安全等级保护条例（征求意见稿）》看等保1.0到等保2.0的重要变化

57. 银行业金融机构数据治理中的个人信息保护

58. 对“数据共享合法化”的分析与思考系列之三——欧盟B2B数据共享的案例研究

59. 中国企业的GDPR合规挑战

60. 欧盟《统一数据保护条例》（GDPR）适用问答

61. GDPR在看着你吗——GDPR第2条和第3条（适用范围）详解

62. 对“数据共享合法化”的分析与思考系列之二——欧盟B2B数据共享的案例研究

63. 对“数据共享合法化”的分析与思考系列之一：以《关于欧洲企业间数据共享的研究》为起点

64. 网安法第37条背景下的境外证据开示与数据出境问题

65. GDPR之“用户数据可携权”评析（三）——“数据可携权”视角下的数据之争

66. GDPR之“用户数据可携权”评析（二）——“用户数据可携权”实务运用的若干问题