网信办细化「数据跨境流动」规定，逐条速评

根据目前中国数据出境合规的监管框架，企业出境数据时，应结合自身的主体类型、出境数据的类型综合判断认定，是否需要额外（i）申报并通过数据出境安全评估，（ii）订立个人信息保护标准合同，或（iii）通过个人信息安全保护认证（以下合称为“出境前置程序”）。具体而言：

1. 如果企业拟出境的数据为重要数据的，应当申报并通过网信办的数据出境安全评估。

2. 如果企业拟出境的数据为个人信息的，则满足以下任一条件，便应当申报并通过网信办的数据出境安全评估：（i）企业被认定为关键信息基础设施运营者的；（ii）处理100万人以上个人信息的；（iii）自上年1月1日起累计向境外提供10万人个人信息的；或（iv）自上年1月1日起累计向境外提供1万人敏感个人信息的。

3. 若拟出境的数据为个人信息，且未满足上述任一情形的，则可以选择（i）订立并备案个人信息保护标准合同，或（ii）通过个人信息安全保护认证后出境个人信息。

为保障国家数据安全，保护个人信息权益，进一步规范和促进数据依法有序自由流动，依据有关法律，对《数据出境安全评估办法》、《个人信息出境标准合同办法》等数据出境规定的施行，作出以下规定。

一、国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境，不包含个人信息或者重要数据的，不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

【速评】《征求意见稿》从正面释明，企业日常业务活动中非个人信息、非重要数据的普通数据出境，无需完成数据出境前置程序。虽然本条看似只是重申原本在实践中已达成一致的理解，但值得注意的是：

1.  开篇第一句，本《征求意见稿》的出台是为了针对“《数据出境安全评估办法》、《个人信息出境标准合同办法》的施行”，而并未援引《数据安全法》《个人信息保护法》等法律。
2.  此外，本条格外强调，适用范围是“国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境”。

因此，对于《数据安全法》第36条中境外诉讼、境外执法等非日常业务活动所产生的普通数据出境，（i）是否需要通过网信部门的审批，以及（ii）如需通过，是否适用网信部门目前数据出境安全评估的审批流程等问题，本次《征求意见稿》中未予以回应。

二、未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。

【速评】本条直接解决了实务中各大企业的困惑：“如何认定重要数据？我们持有的数据是否属于重要数据？”。

《数据安全法》《网络数据安全管理条例（征求意见稿）》中都提出，要求本地区、本部门以及相关行业、领域制定重要数据目录。然而目前，大多数行业的重要数据目录仍处于拟订中甚至空白的阶段。这给企业的合规工作带来了不小的困惑。

网信办在本条中，给出了明确的官方指引：企业如果（i）未被告知，且（ii）相关部门或者地区未公开发布为重要数据的，可以先不必主动履行数据出境安全评估的申报义务。

三、不是在境内收集产生的个人信息向境外提供，不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

【速评】入境个人信息再出境的，豁免数据出境前置程序。

典型的入境再出境的场景例如：跨境贸易公司在进口货物时，境外发货方可能会先将发货方、境外物流公司、航空公司联系人的个人信息提供给境内收货方。境内收货方在联系人列表中补全进口方，境内物流公司、收货方联系人的个人信息后，组成完整的货运链对接人员，并将境内外所有对接人员的联系方式汇总后再向境外提供。

《征求意见稿》明确，对于不在境内收集产生的个人信息（即，上述举例中境外发货方、物流公司、航空公司联系人的个人信息），不再需要完成数据出境前置程序。

四、符合以下情形之一的，不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证：

（一）为订立、履行个人作为一方当事人的合同所必需，如跨境购物、跨境汇款、机票酒店预订、签证办理等，必须向境外提供个人信息的；

（二）按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理，必须向境外提供内部员工个人信息的；

（三）紧急情况下为保护自然人的生命健康和财产安全等，必须向境外提供个人信息的。

【速评】本条罗列了三类可以豁免数据出境前置程序的情形。实践中，纷繁复杂的出境场景较多。法律上是否能够适用本条，还需根据实际情况进行个案分析。

五、预计一年内向境外提供不满1万人个人信息的，不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。但是，基于个人同意向境外提供个人信息的，应当取得个人信息主体同意。

【速评】本条明确预计一年内出境个人信息数量少于1万人的，可以豁免数据出境前置程序。

对于绝大多数企业来说，虽然会涉及到个人信息的出境，但是出境的数量通常并不大。例如，跨国公司日常经营中采集的供应商、客户公司的法定代表人或联系人的个人信息以及员工的个人信息往往都需要存储在总部统一采购的海外系统中出境。考虑到这类出境的个人信息数量、规模不大，敏感程度往往亦较低，或许不需要做严格的监管。因此，《征求意见稿》第五条不再一刀切地要求所有企业完成数据出境前置程序。

但需要提醒企业的是，豁免数据出境前置程序不代表豁免所有企业应当履行的个人信息保护义务：

1. 个人信息处理者需履行的“告知-同意”义务，仍然应当依法履行；以及
2. 《个人信息保护法》第55条要求个人信息出境前，个人信息处理者需进行个人信息保护影响评估的义务，同样未被豁免。

因此，对于已开展部分出境合规工作的企业来说，我们仍建议企业继续开展内部摸排和个人信息保护影响评估工作，查漏补缺。同时，个人信息保护影响评估报告还应当留档备查。

此外，对于企业在预计过程中，是否要将《征求意见稿》第四条豁免的个人信息计算在内，尚有待网信办明确。

六、预计一年内向境外提供1万人以上、不满100万人个人信息，与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的，可以不申报数据出境安全评估；向境外提供100万人以上个人信息的，应当申报数据出境安全评估。但是，基于个人同意向境外提供个人信息的，应当取得个人信息主体同意。

【速评】本条明确，对于预计一年内出境个人信息数量在1万人以上的，以100万人为节点，判断是否需要申报数据出境安全评估。但对于新旧规定之间如何衔接，仍有待网信办在正式稿出台时予以澄清。

1. 假设某企业自上年1月1日起累计向境外提供了1万人以上敏感个人信息，按照原有规定应当申报数据出境安全评估；但同时，该企业预计未来1年内向境外提供个人信息的数量不会超过100万人，按照《征求意见稿》可以不申报数据出境安全评估。是否以新规为准，可以不再申报数据出境安全评估？
2.  假设某企业自上年1月1日起累计向境外提供了10万人个人信息，按照原有规定应当申报数据出境安全评估；但同时，该企业预计未来1年内向境外提供个人信息的数量不会超过100万人，按照《征求意见稿》可以不申报数据出境安全评估。同样，是否以新规为准，可以不再申报数据出境安全评估？
3. 假设某企业属于处理100万人以上个人信息的个人信息处理者，按照原有规定，即便其只出境1个自然人的个人信息，仍应当申报数据出境安全评估。但根据《征求意见稿》，由于该企业预计未来1年内向境外提供个人信息的数量少于100万人（假设仅出境1个自然人的个人信息），则可以不申报数据出境安全评估。

虽然《征求意见稿》第11条表示，“《数据出境安全评估办法》、《个人信息出境标准合同办法》等相关规定与本规定不一致的，按照本规定执行”。但在数量问题上是否完全不用考虑上一年度1月1日起的累计出境数量（或目前已经处理的100万人的数量）而完全以预计的数量为准，需要网信办在正式稿出台时给出更为明确的指引。

七、自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（以下简称负面清单），报经省级网络安全和信息化委员会批准后，报国家网信部门备案。

负面清单外数据出境，可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

【速评】本条为自贸区建立了先行先试的数据跨境流通专有通道。本条以自贸区内数据（包括重要数据、个人信息）自由跨境流通为原则，在原则外制定需要完成数据出境前置程序的清单，促进自贸区内企业的数据跨境流通。

实践中，仍有以下题有待网信办澄清：

1. 有哪些适格的自由贸易试验区可以制定相关负面清单？
2. 企业注册登记在自贸区内，但数据处理活动发生在自贸区外的其它地方，其数据出境是否仍然能够适用本条？
3. 企业注册登记在自贸区外，但发生数据处理活动的服务器位于自贸区内，其数据出境是否仍然能够适用本条？

自贸区的负面清单政策为企业数据跨境流通开启一扇方便之门，在执行成熟完善后，不排除进一步扩展的全国。因此，负面清单的具体内容以及后续具体如何适用、如何落地，有着重要的前瞻意义。我们期待网信办与各自贸区的细则出台。

八、国家机关和关键信息基础设施运营者向境外提供个人信息和重要数据的，依照有关法律、行政法规、部门规章规定执行。

向境外提供涉及党政军和涉密单位敏感信息、敏感个人信息的，依照有关法律、行政法规、部门规章规定执行。

【速评】《网络安全法》第37条规定，“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”

本次《征求意见稿》即便未来正式出台，从法律层级上来说，也不属于“法律、行政法规”，故《征求意见稿》前述条文中对于数据出境前置程序的豁免，将不适用于关键信息基础设施运营者向境外提供个人信息或重要数据的情形。

九、数据处理者向境外提供重要数据和个人信息，应当遵守法律、行政法规的规定，履行数据安全保护义务，保障数据出境安全；发生数据出境安全事件或者发现数据出境安全风险增大的，应当采取补救措施，及时向网信部门报告。

【速评】虽然本次《征求意见稿》释明了许多豁免情形，将部分风险较低的出境场景自评估工作交由企业自主决策，但并不意味着同时豁免企业事前数据安全保护义务及安全事件发生时的报告义务。

十、各地方网信部门应当加强对数据处理者数据出境活动的指导监督，强化事前事中事后监管，发现数据出境活动存在较大风险或者发生安全事件的，要求数据处理者进行整改消除隐患；对拒不改正或者导致严重后果的，依法责令其停止数据出境活动，保障数据安全。

十一、《数据出境安全评估办法》、《个人信息出境标准合同办法》等相关规定与本规定不一致的，按照本规定执行。

【速评】相比《数据出境安全评估办法》、《个人信息出境标准合同办法》中，违反规定将依据《中华人民共和国个人信息保护法》等法律法规处理的罚则，本条《征求意见稿》的措辞相对缓和，给予了数据处理者接受监督、及时整改、消除隐患的机会。

纵览《征求意见稿》全文，切实回应了数据出境合规过程中各大企业的困惑，减轻了企业开展跨境业务过程中不必要的合规负担，并为自贸区内负面清单制度的先行先试留下了政策空间。我们期待正式稿的出台落地，以更好协助企业完成数据出境的合规。