北大&人大专家解读：促进和规范数据跨境流动的重要规定

数据跨境流动是指数据处理者向境外提供个人信息等数据。一般将数据跨境流动理解为“数据从一法域被转移至另一法域的行为”或“跨境对存储在计算机中的机器可读数据进行处理”。数据跨境流动主要包括两种情形：（1）数据跨境的传输、转移行为；（2）尽管数据尚未跨境，但能够被境外的主体进行访问处理。

《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》都对数据跨境流动作出了规定，国家网信办为落实上述法律的相关规定，于2022年7月7日公布了《数据出境安全评估办法》，于2023年2月22日公布了《个人信息出境标准合同办法》。

这些是处理数据跨境流动的重要部门规章。国家网信办近日公布了《促进和规范数据跨境流动规定》（以下简称《规定》），旨在对数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的施行进行调整，保障数据安全，保护个人信息权益，促进数据依法有序自由流动。

专家解读

张新宝　中国人民大学网络信息法中心主任，中国法学会网络信息法学研究会副会长

新出台的《规定》有以下主要内容：

符合规定情形的重要数据出境需要经过安全评估。数据跨境流动管理的基础是区别重要数据和非重要数据。依据《规定》，重要数据的跨境流动需要经过安全评估，数据处理者应当按照相关规定识别、申报重要数据。但是，未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。

不包含个人信息或者重要数据的出境豁免。依据《规定》，国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供，如果不包含个人信息或者重要数据，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供的，如果处理过程中没有引入境内个人信息或者重要数据，也免予申报数据出境安全评估、订立个人信息出境标准合同以及通过个人信息保护认证。

部分个人信息出境豁免。《规定》规定，为订立或者履行个人作为一方当事人的合同确需向境外提供个人信息、按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理确需向境外提供员工个人信息、紧急情况下为保护自然人的生命健康和财产安全确需向境外提供个人信息、关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人非敏感个人信息，只要不包含重要数据，免予申报数据出境安全评估、订立个人信息出境标准合同以及通过个人信息保护认证。

自贸区特别立法权与负面清单制度。《规定》指出，自由贸易试验区在国家数据分类分级保护制度框架下可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单，即负面清单，经省级网络安全和信息化委员会批准后报国家网信部门、国家数据管理部门备案。自贸区内数据处理者向境外提供负面清单之外的数据可以免予数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

细化数据出境安全评估和个人信息出境标准合同及认证制度。《规定》对需要进行数据出境安全评估的情形作出了明确规定：（1）关键信息基础设施运营者向境外提供个人信息或者重要数据；（2）关键信息基础设施运营者以外的数据处理者向境外提供重要数据，或者自当年1月1日起累计向境外提供100万人以上非敏感个人信息或1万人以上敏感个人信息。通过数据出境安全评估的结果有效期为3年，满期后可以申请延长。

关键信息基础设施运营者以外的数据处理者，自当年1月1日起累计向境外提供10万人以上不满100万人非敏感个人信息或者不满1万人敏感个人信息的，应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。

《规定》还以专门条文重申了数据处理者向境外提供个人信息和数据的法律义务，强调各地网信部门的监管职责。

《规定》的公布与实施，体现了优化营商环境、方便数据（个人信息）处理者经营活动的指导思想，对于非重要数据和特定个人信息的出境规定了方便快捷的路径，对重要数据和敏感个人信息提供了更加精确的保护，有利于实现发展与安全的平衡，更好地保障数据安全，保护个人信息权益，促进数据依法有序自由流动。

王锡锌　北京大学宪法与行政法研究中心主任、教授，中国法学会网络与信息法学研究会副会长

《规定》对推动跨境数字贸易高质量发展的作用，主要体现在以下四个方面。

第一，立足数字贸易实践特征，细化数据跨境传输制度的适用范围。在监管实践中，部分企业对自身数据跨境传输业务的法律性质认知不够准确，难以准确地确认应当适用何种数据跨境传输流动机制。为了在法律实施层面解决数据跨境流动机制的适用标准模糊问题，《规定》将无需适用数据出境安全评估、个人信息出境标准合同、个人信息保护认证的情形予以列举。

例如，“订立、履行个人作为一方当事人的合同”主要涉及跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等活动，这些活动的共同性表现为，个人跨境活动需要高频次、无障碍地进行个人信息跨境传输。

又如，“实施跨境人力资源管理”的必要性的判断标准是依法制定的劳动规章制度和依法签订的集体合同，此种条款表述在保障跨境企业或跨境业务所必需的员工个人信息能够正常出入境的基础上，有效避免了部分企业不当扩大跨境人力资源管理之必要的实际范围，导致非必要的个人信息以不安全的方式出境。还如，“紧急情况”是指为了保护自然人生命健康和财产安全等目的，数据出境具有迫切性。

第二，明确商业活动场景需求，推动数据跨境传输制度的有序实施。自我国确立以数据出境安全评估、个人信息出境标准合同以及个人信息保护认证为中心的数据跨境传输体系后，监管机构也在持续推动这些制度的具体实施。如全国首个数据合规出境案例，首都医科大学附属北京友谊医院与荷兰阿姆斯特丹大学医学中心合作研究项目为医疗健康数据出境安全管理、国际医疗科研合作提供了实践指引。

再如，我国汽车领域首个全系统盘点、全业务申报、全场景获批的数据出境安全评估案例，北京现代汽车有限公司数据出境安全评估项目为汽车领域数据出境活动展示了标准化的业务合规方式。在这种场景导向的数据跨境传输治理理念下，《规定》也侧重针对特定场景的业务需求，在不包含个人信息或者重要数据的前提下，允许国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中产生的数据出境活动不适用数据出境安全评估、个人信息标准合同和个人信息保护认证机制。

此种豁免情形无疑为中国企业出海开展跨境业务提供了极大便利，因为经济全球化的发展趋势下，客服、物流、云存储、数据分析等常见跨境贸易活动会频繁生成和传输相关业务数据。这些业务数据的出境不会直接导致国家安全等问题，《规定》将之豁免，有效消除了此类问题背后的监管不确定因素。

第三，预留监管制度解释空间，促进数据跨境传输制度的多元创新。数据跨境传输制度是我国各类自贸港、自贸区乃至粤港澳大湾区等经济改革地区探索新型跨境数字贸易活动的重要依托和安全保障。《中国（上海）自由贸易试验区临港新片区国际数据产业专项规划（2023—2025 年）》中明确提出，要优化数据跨境流动操作规则、推进数据跨境流动安全评估、完善数据跨境流动公共服务管理平台功能等多项具体措施。

为了充分保障“先试先行”治理模式的落地，《规定》专门就自贸区的数据跨境流动制度增设了“灵活变通的空间”，即通过数据清单的形式在现有数据跨境传输机制上予以“微调”。该数据清单机制可以被理解为“充分授权”“法定程序”“便捷流动”三类治理要素的有机整合。

“充分授权”是指《规定》授权自贸区自行制定适合本地区经济贸易活动的数据出境监管机制；“法定程序”是指《规定》明确限定了从地方到中央的批准备案流程，真正实现“合法范围内的充分创新”；“便捷流动”是指《规定》允许数据清单之外的其他数据跨境传输活动不必继续适用数据出境安全评估、个人信息出境标准合同、个人信息保护认证等具体制度，而是以符合商事效率的方式直接与跨境数字贸易活动一并完成。自贸区属于“境内关外”区域，在工商登记、外商投资、人才引进等领域均存在政策优惠，《规定》所设置的数据清单能够让自贸区在兼顾安全管理的基础上，更多地偏向探索具有自贸区经济特色的数据跨境流动体制机制。

第四，回应企业数据出境合规担忧，降低数据跨境传输制度的合规难度。《规定》的一大亮点是提升了现行数据跨境传输制度的操作性，降低了中小企业数据出境的业务合规难度。《规定》并没有对数据处理者所持有的数据总量作出监管门槛的设定，而是更加侧重对数据环境风险水平的评估。因此，《规定》将风险关注的重心调整至数据出境的规模和类型。

例如，在向境外提供非敏感个人信息的出境活动中，设置了“自当年1月1日起累计向境外提供不满10万人个人信息的”“自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息的”以及“自当年1月1日起累计向境外提供100万人以上个人信息的”三类数据出境数量门槛，分别对应“完全豁免”“豁免适用数据出境安全评估”“强制申报数据出境安全评估”三类业务合规要求。对于明确不具备危害国家安全、个人信息权利等的数据出境活动，例如跨境传输的数据数量稀少，则无需专门申报数据出境安全评估等监管流程。

有理由相信，《规定》的公布和实施，对于进一步促进安全、有序、高效的数据跨境，对于进一步促进跨境数字贸易活动，对于提升我国参与国际数字治理新格局的竞争和合作能力，都将发挥重要作用。

《促进和规范数据跨境流动规定》原文

内容综合：

网信中国、中国网信杂志

-  THE END  -

因文章部分文字及图片涉及到引用，如有侵权，请及时联系17316577586，我们将删除内容以保证您的权益。