信息化觀察網(wǎng)

本文來自微信公眾號“工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟”，作者/李文婷、楊曉偉、張譽馨。

國家互聯(lián)網(wǎng)信息辦公室3月22日發(fā)布《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》（以下簡稱《規(guī)定》），進一步完善我國數(shù)據(jù)出境制度、優(yōu)化數(shù)據(jù)出境制度適用范圍，對于指導企業(yè)便利開展數(shù)據(jù)出境活動、促進數(shù)據(jù)依法有序自由流動、賦能我國數(shù)字經(jīng)貿(mào)發(fā)展具有重要意義。本文著眼于企業(yè)數(shù)據(jù)出境合規(guī)實務，對《規(guī)定》進行解讀，以期為企業(yè)數(shù)據(jù)出境合規(guī)工作提供借鑒與參考。

序

為落實《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》等法律法規(guī)，我國陸續(xù)出臺《數(shù)據(jù)出境安全評估辦法》《個人信息出境標準合同辦法》等部門規(guī)章，構建我國數(shù)據(jù)出境安全管理框架?！兑?guī)定》基于我國數(shù)據(jù)跨境管理實踐經(jīng)驗，統(tǒng)籌發(fā)展與安全，適度優(yōu)化調(diào)整了數(shù)據(jù)出境安全評估、個人信息出境標準合同及個人信息出境保護認證等三大機制的適用范圍，便利數(shù)據(jù)跨境流動，降低企業(yè)合規(guī)成本。同時，《規(guī)定》加強與《數(shù)據(jù)出境安全評估辦法》和《個人信息出境標準合同辦法》的銜接，明確后兩者相關內(nèi)容與《規(guī)定》不一致的，依照《規(guī)定》執(zhí)行。

一、

《規(guī)定》的內(nèi)容

（一）

明確免予適用數(shù)據(jù)出境三大機制的

條件

2022年12月國家出臺《中共中央國務院關于構建數(shù)據(jù)基礎制度更好發(fā)揮數(shù)據(jù)要素作用的意見》，提出針對跨境電商、跨境支付、供應鏈管理、服務外包等典型應用場景，探索安全規(guī)范的數(shù)據(jù)跨境流動方式。本次《規(guī)定》落實相關要求，明確了免予申報數(shù)據(jù)出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證的六種數(shù)據(jù)出境活動。具體包括：一是國際貿(mào)易、跨境運輸、學術合作、跨國生產(chǎn)制造和市場營銷等活動中收集和產(chǎn)生的數(shù)據(jù)向境外提供，不包含個人信息或者重要數(shù)據(jù)的。二是在境外收集和產(chǎn)生的個人信息傳輸至境內(nèi)處理后向境外提供，處理過程中沒有引入境內(nèi)個人信息或者重要數(shù)據(jù)的。三是為訂立、履行個人作為一方當事人的合同，如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等，確需向境外提供個人信息的。四是按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施跨境人力資源管理，確需向境外提供員工個人信息的。五是緊急情況下為保護自然人的生命健康和財產(chǎn)安全，確需向境外提供個人信息的。六是關鍵信息基礎設施運營者以外的數(shù)據(jù)處理者自當年1月1日起累計向境外提供不滿10萬人個人信息（不含敏感個人信息）的。其中，第三種至第六種條件所稱向境外提供的個人信息，不包括被相關部門、地區(qū)告知或者公開發(fā)布為重要數(shù)據(jù)的個人信息。

（二）

優(yōu)化數(shù)據(jù)出境制度的適用門檻

相較《數(shù)據(jù)出境安全評估辦法》第四條的內(nèi)容，《規(guī)定》取消了“處理100萬人以上個人信息”這一要求；同時將“自上年1月1日起累計向境外提供10萬人個人信息”調(diào)整為“自當年1月1日起累計向境外提供100萬人以上個人信息”，從數(shù)量和累計周期兩個維度收緊了定量標準，大幅提高了數(shù)據(jù)出境安全評估的適用閾值。同理，《規(guī)定》也優(yōu)化了個人信息出境標準合同及個人信息保護認證的適用范圍，極大程度提升了我國數(shù)據(jù)出境制度的審慎性、包容性和科學性。

值得注意的是，《規(guī)定》回應了企業(yè)數(shù)據(jù)跨境實務中重要數(shù)據(jù)認定這一合規(guī)難題，明確未被相關部門、地區(qū)告知或者公開發(fā)布為重要數(shù)據(jù)的，企業(yè)不需要作為重要數(shù)據(jù)申報數(shù)據(jù)出境安全評估。

相較《數(shù)據(jù)出境安全評估辦法》第十四條，《規(guī)定》將數(shù)據(jù)出境安全評估結果有效期延長至三年。此外，在《規(guī)定》發(fā)布之際，中央網(wǎng)信辦同時發(fā)布《數(shù)據(jù)出境安全評估申報指南（第二版）》和《個人信息出境標準合同備案指南（第二版）》，對企業(yè)需要提交的相關材料進行了優(yōu)化簡化，以進一步方便企業(yè)開展數(shù)據(jù)出境安全評估申報工作和個人信息出境標準合同備案工作。

（三）

設立自由貿(mào)易試驗區(qū)負面清單制度

《規(guī)定》明確自由貿(mào)易試驗區(qū)（以下簡稱“自貿(mào)區(qū)”）可以自行制定數(shù)據(jù)跨境流通中的負面清單，負面清單外的企業(yè)數(shù)據(jù)無需申報數(shù)據(jù)出境安全評估、訂立個人信息出境標準合同或通過個人信息保護認證，給予了自貿(mào)區(qū)積極探索數(shù)據(jù)跨境流動便利機制的制度空間。

《規(guī)定》在給予自貿(mào)區(qū)充分自由度的同時，明確要求結合國家數(shù)據(jù)分類分級保護制度制定負面清單，充分考慮數(shù)據(jù)的重要性、敏感性；并要求負面清單在經(jīng)省級網(wǎng)絡安全和信息化委員會批準后，除了報國家網(wǎng)信部門備案之外，還需報國家數(shù)據(jù)管理部門備案。

二、

《規(guī)定》的影響與意義

（一）

對外釋放促進數(shù)據(jù)跨境安全自由

流動的積極態(tài)度

對比征求意見稿，《規(guī)定》正式版本在名稱中將“促進”二字調(diào)至“規(guī)范”二字之前，顯示出了國家促進數(shù)據(jù)跨境自由流動的積極態(tài)度。在內(nèi)容上，《規(guī)定》優(yōu)化數(shù)據(jù)出境制度，明確了相關制度的豁免與適用情形，一方面表明了國家對數(shù)據(jù)跨境流動活動的高度重視，另一方面也進一步表明了國家打通數(shù)據(jù)流通堵點、推動數(shù)據(jù)價值釋放、提升對外開放水平的導向與決心。

（二）

指導社會各界形成“數(shù)據(jù)有序自由

流動”共識

此前，《數(shù)據(jù)出境安全評估辦法》等部門規(guī)章與相關指南的出臺為數(shù)據(jù)跨境流動實踐活動提供了實施指引，但在數(shù)據(jù)出境實務中，企業(yè)仍面臨重要數(shù)據(jù)如何識別、過境數(shù)據(jù)及個人主動提供個人信息是否適用數(shù)據(jù)出境管理制度等難點問題，《規(guī)定》的出臺明確回應了社會普遍關切的實務難題，降低了數(shù)據(jù)出境活動的不確定性和復雜性，有利于引導社會各界形成共識，提升我國整體數(shù)據(jù)出境合規(guī)水平。

（三）

便利企業(yè)開展國際貿(mào)易活動與數(shù)據(jù)

出境活動

《規(guī)定》針對數(shù)據(jù)跨境流動實踐中不同場景、不同主體的差異化需求，充分考慮數(shù)據(jù)出境的規(guī)模、性質(zhì)、目的、區(qū)域等因素，為企業(yè)提供了更為清晰、更為靈活、更為便利的數(shù)據(jù)出境路徑，在減輕企業(yè)數(shù)據(jù)出境合規(guī)壓力的同時，也降低了企業(yè)數(shù)據(jù)出境合規(guī)成本。同時，中央網(wǎng)信辦開通了專門的網(wǎng)站https://sjcj.cac.gov.cn，提高了申報、備案程序的數(shù)字化、信息化程度，便利了企業(yè)數(shù)據(jù)出境安全評估申報與個人信息出境標準合同備案工作。

（四）

提升我國對外開放水平以賦能國際

數(shù)字貿(mào)易合作

2023年8月，國務院印發(fā)了《關于進一步優(yōu)化外商投資環(huán)境加大吸引外商投資力度的意見》，提出“探索便利化的數(shù)據(jù)跨境流動安全管理機制”，《規(guī)定》呼應前述要求，在為外資和中資企業(yè)減負的同時，也為自貿(mào)區(qū)內(nèi)負面清單制度的先行先試留下了政策空間。目前我國已有21個自由貿(mào)易試驗區(qū)，《規(guī)定》的出臺有利于依托自貿(mào)區(qū)的開放優(yōu)勢，進一步優(yōu)化貿(mào)易投資環(huán)境，提升我國對外開放水平。此外，隨著我國“一帶一路”倡議的深化推進，“數(shù)字絲綢之路”的建設發(fā)展，《規(guī)定》的出臺也有利于我國與CPTPP、DEPA等國際數(shù)字經(jīng)貿(mào)協(xié)定的對接，推動我國深度開展數(shù)字經(jīng)貿(mào)國際合作。

結語

《規(guī)定》的出臺對數(shù)據(jù)出境活動形成利好，但其仍明確要求“應當遵守法律、法規(guī)的規(guī)定，履行數(shù)據(jù)安全保護義務，采取技術措施和其他必要措施，保障數(shù)據(jù)出境安全”，因此企業(yè)的數(shù)據(jù)出境合規(guī)意識仍不可就此放松。

具體而言，企業(yè)依然應當重視日常數(shù)據(jù)安全管理與合規(guī)建設工作，不僅要做好數(shù)據(jù)出境前的企業(yè)整體數(shù)據(jù)合規(guī)建設，也要做好事中事后的數(shù)據(jù)出境持續(xù)合規(guī)，避免發(fā)生數(shù)據(jù)出境安全事件或者增加數(shù)據(jù)出境安全風險。

此外，針對具體的數(shù)據(jù)出境合規(guī)工作，企業(yè)應摸清涉及跨境的業(yè)務場景，做好出境數(shù)據(jù)資產(chǎn)盤點，并密切關注所屬行業(yè)相關部門、地區(qū)關于“重要數(shù)據(jù)”的認定通知或發(fā)布公告，以判斷是否適用或者具體適用的數(shù)據(jù)出境路徑，同時積極履行告知、取得個人單獨同意、進行個人信息保護影響評估等合規(guī)義務。

（國家工業(yè)信息安全發(fā)展研究中心李文婷楊曉偉張譽馨）