2023年9月28日，國(guó)家互聯(lián)網(wǎng)信息辦公室（“網(wǎng)信辦"）發(fā)布《規(guī)范和促進(jìn)數(shù)據(jù)跨境流動(dòng)規(guī)定（征求意見(jiàn)稿）》（“《征求意見(jiàn)稿》"），向社會(huì)公開(kāi)征求意見(jiàn)?！墩髑笠庖?jiàn)稿》回應(yīng)了實(shí)踐中各類企業(yè)的合規(guī)困惑，并通過(guò)正面列明豁免清單的形式，降低了部分企業(yè)數(shù)據(jù)出境過(guò)程中需履行的合規(guī)成本。本文結(jié)合實(shí)踐經(jīng)驗(yàn)，對(duì)《征求意見(jiàn)稿》條文進(jìn)行逐條速評(píng)。

根據(jù)目前中國(guó)數(shù)據(jù)出境合規(guī)的監(jiān)管框架，企業(yè)出境數(shù)據(jù)時(shí)，應(yīng)結(jié)合自身的主體類型、出境數(shù)據(jù)的類型綜合判斷認(rèn)定，是否需要額外：（i）申報(bào)并通過(guò)數(shù)據(jù)出境安全評(píng)估，（ii）訂立個(gè)人信息保護(hù)標(biāo)準(zhǔn)合同，或（iii）通過(guò)個(gè)人信息安全保護(hù)認(rèn)證（以下合稱為“出境前置程序"）。具體而言：

?

1. 如果企業(yè)擬出境的數(shù)據(jù)為重要數(shù)據(jù)的，應(yīng)當(dāng)申報(bào)并通過(guò)網(wǎng)信辦的數(shù)據(jù)出境安全評(píng)估。

?

2. 如果企業(yè)擬出境的數(shù)據(jù)為個(gè)人信息的，則滿足以下任一條件，便應(yīng)當(dāng)申報(bào)并通過(guò)網(wǎng)信辦的數(shù)據(jù)出境安全評(píng)估：（i）企業(yè)被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的；（ii）處理100萬(wàn)人以上個(gè)人信息的；（iii）自上年1月1日起累計(jì)向境外提供10萬(wàn)人個(gè)人信息的；或（iv）自上年1月1日起累計(jì)向境外提供1萬(wàn)人敏感個(gè)人信息的。

?

3. 若擬出境的數(shù)據(jù)為個(gè)人信息，且未滿足上述任一情形的，則可以選擇（i）訂立并備案?jìng)€(gè)人信息保護(hù)標(biāo)準(zhǔn)合同，或（ii）通過(guò)個(gè)人信息安全保護(hù)認(rèn)證后出境個(gè)人信息。

速評(píng)：《征求意見(jiàn)稿》從正面釋明，企業(yè)日常業(yè)務(wù)活動(dòng)中非個(gè)人信息、非重要數(shù)據(jù)的普通數(shù)據(jù)出境，無(wú)需完成數(shù)據(jù)出境前置程序。本條看似只是重申原本在實(shí)踐中已達(dá)成一致的理解，但筆者理解，此條值得細(xì)品的是：

?

1. 開(kāi)篇第一句，本《征求意見(jiàn)稿》的出臺(tái)是為了針對(duì)“《數(shù)據(jù)出境安全評(píng)估辦法》、《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》的施行"，而并未援引《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律。

?

2. 本條還格外強(qiáng)調(diào)，適用范圍是“國(guó)際貿(mào)易、學(xué)術(shù)合作、跨國(guó)生產(chǎn)制造和市場(chǎng)營(yíng)銷等活動(dòng)中產(chǎn)生的數(shù)據(jù)出境"。

?

對(duì)于《數(shù)據(jù)安全法》第36條[1]中規(guī)定的境外訴訟、境外執(zhí)法等非日常業(yè)務(wù)活動(dòng)所產(chǎn)生的普通數(shù)據(jù)出境，（i）是否需要通過(guò)網(wǎng)信部門(mén)的審批，以及（ii）如需通過(guò)，是否適用網(wǎng)信部門(mén)目前數(shù)據(jù)出境安全評(píng)估的審批流程的問(wèn)題，本條中的措辭似乎還表明了：“保留適用出境安全評(píng)估的可能性，暫不在本《征求意見(jiàn)稿》中回應(yīng)"的態(tài)度。

速評(píng)：本條直接解決了實(shí)務(wù)中各類企業(yè)可能存在的困惑：“如何認(rèn)定重要數(shù)據(jù)？我們持有的數(shù)據(jù)是否屬于重要數(shù)據(jù)？"。

?

《數(shù)據(jù)安全法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見(jiàn)稿）》中都提出，要求本地區(qū)、相關(guān)部門(mén)以及相關(guān)行業(yè)、領(lǐng)域制定重要數(shù)據(jù)目錄。然而目前，大多數(shù)行業(yè)的重要數(shù)據(jù)目錄仍處于擬訂中甚至空白的階段。這給企業(yè)的合規(guī)工作帶來(lái)了不小的困惑。

?

網(wǎng)信辦在本條中，給出了明確的官方指引：企業(yè)如果（i）未被告知，且（ii）相關(guān)部門(mén)或者地區(qū)未公開(kāi)發(fā)布為重要數(shù)據(jù)的，可以先不必主動(dòng)履行數(shù)據(jù)出境安全評(píng)估的申報(bào)義務(wù)。

速評(píng)：入境個(gè)人信息再出境的，豁免數(shù)據(jù)出境前置程序。

?

典型的數(shù)據(jù)入境再出境的場(chǎng)景例如：跨境貿(mào)易公司在進(jìn)口貨物時(shí)，境外發(fā)貨方可能會(huì)先將發(fā)貨方、境外物流公司、航空公司聯(lián)系人的個(gè)人信息提供給境內(nèi)收貨方。境內(nèi)收貨方在聯(lián)系人列表中補(bǔ)全進(jìn)口方，境內(nèi)物流公司、收貨方聯(lián)系人的個(gè)人信息后，組成完整的貨運(yùn)鏈對(duì)接人員，并將境內(nèi)外所有對(duì)接人員的聯(lián)系方式匯總后再向境外提供。

?

《征求意見(jiàn)稿》明確，對(duì)于不在境內(nèi)收集產(chǎn)生的個(gè)人信息（即，上述舉例中境外發(fā)貨方、物流公司、航空公司聯(lián)系人的個(gè)人信息），不再需要完成數(shù)據(jù)出境前置程序。

速評(píng)：本條羅列了三類可以豁免數(shù)據(jù)出境前置程序的情形。實(shí)踐中，紛繁復(fù)雜的數(shù)據(jù)出境場(chǎng)景較多，是否能夠適用本條，還需根據(jù)實(shí)際情況進(jìn)行個(gè)案分析。

速評(píng)：本條明確預(yù)計(jì)一年內(nèi)出境個(gè)人信息數(shù)量少于1萬(wàn)人的，可以豁免數(shù)據(jù)出境前置程序。

?

對(duì)于絕大多數(shù)企業(yè)來(lái)說(shuō)，雖然可能經(jīng)營(yíng)中會(huì)涉及到個(gè)人信息的出境，但是出境的數(shù)量通常并不大。例如，跨國(guó)公司日常經(jīng)營(yíng)中采集的供應(yīng)商、客戶公司的法定代表人或聯(lián)系人的個(gè)人信息以及員工的個(gè)人信息往往都需要存儲(chǔ)在總部統(tǒng)一采購(gòu)的海外系統(tǒng)中，涉及到數(shù)據(jù)出境。考慮到這類出境的個(gè)人信息數(shù)量、規(guī)模一般不大，敏感程度往往亦較低，或許不需要做嚴(yán)格的監(jiān)管。因此，《征求意見(jiàn)稿》第五條不再一刀切地要求所有企業(yè)完成數(shù)據(jù)出境前置程序。

?

但需要提醒企業(yè)的是，豁免數(shù)據(jù)出境前置程序不代表豁免企業(yè)應(yīng)當(dāng)履行的個(gè)人信息保護(hù)義務(wù)：

?

1. 個(gè)人信息處理者需履行的“告知－同意"義務(wù)，仍然應(yīng)當(dāng)依法履行；以及

?

2.《個(gè)人信息保護(hù)法》第55條要求個(gè)人信息出境前，個(gè)人信息處理者需進(jìn)行個(gè)人信息保護(hù)影響評(píng)估的義務(wù)，同樣未被豁免。

?

因此，對(duì)于已開(kāi)展部分?jǐn)?shù)據(jù)出境合規(guī)工作的企業(yè)來(lái)說(shuō)，我們?nèi)越ㄗh企業(yè)繼續(xù)開(kāi)展內(nèi)部摸排和個(gè)人信息保護(hù)影響評(píng)估工作，查漏補(bǔ)缺。同時(shí)，個(gè)人信息保護(hù)影響評(píng)估報(bào)告還應(yīng)當(dāng)留檔備查。

?

此外，對(duì)于企業(yè)在預(yù)計(jì)過(guò)程中，是否要將《征求意見(jiàn)稿》第四條豁免的個(gè)人信息計(jì)算在內(nèi)，尚有待網(wǎng)信辦明確。

速評(píng)：本條明確，對(duì)于預(yù)計(jì)一年內(nèi)出境個(gè)人信息數(shù)量在1萬(wàn)人以上的，以100萬(wàn)人為節(jié)點(diǎn)，判斷是否需要申報(bào)數(shù)據(jù)出境安全評(píng)估。但對(duì)于新舊規(guī)定之間如何銜接，仍有待網(wǎng)信辦在正式稿出臺(tái)時(shí)予以澄清。

?

1. 假設(shè)某企業(yè)自上年1月1日起累計(jì)向境外提供了1萬(wàn)人以上敏感個(gè)人信息，按照原有規(guī)定應(yīng)當(dāng)申報(bào)數(shù)據(jù)出境安全評(píng)估；但同時(shí)，該企業(yè)預(yù)計(jì)未來(lái)1年內(nèi)向境外提供個(gè)人信息的數(shù)量不會(huì)超過(guò)100萬(wàn)人，按照《征求意見(jiàn)稿》可以不申報(bào)數(shù)據(jù)出境安全評(píng)估。是否以新規(guī)為準(zhǔn)，可以不再申報(bào)數(shù)據(jù)出境安全評(píng)估？

?

2. 假設(shè)某企業(yè)自上年1月1日起累計(jì)向境外提供了10萬(wàn)人個(gè)人信息，按照原有規(guī)定應(yīng)當(dāng)申報(bào)數(shù)據(jù)出境安全評(píng)估；但同時(shí)，該企業(yè)預(yù)計(jì)未來(lái)1年內(nèi)向境外提供個(gè)人信息的數(shù)量不會(huì)超過(guò)100萬(wàn)人，按照《征求意見(jiàn)稿》可以不申報(bào)數(shù)據(jù)出境安全評(píng)估。同樣，是否以新規(guī)為準(zhǔn)，可以不再申報(bào)數(shù)據(jù)出境安全評(píng)估？

?

3. 假設(shè)某企業(yè)屬于處理100萬(wàn)人以上個(gè)人信息的個(gè)人信息處理者，按照原有規(guī)定，即便其只出境1個(gè)自然人的個(gè)人信息，仍應(yīng)當(dāng)申報(bào)數(shù)據(jù)出境安全評(píng)估。但根據(jù)《征求意見(jiàn)稿》，由于該企業(yè)預(yù)計(jì)未來(lái)1年內(nèi)向境外提供個(gè)人信息的數(shù)量少于100萬(wàn)人（假設(shè)僅出境1個(gè)自然人的個(gè)人信息），則可以不申報(bào)數(shù)據(jù)出境安全評(píng)估。

?

雖然《征求意見(jiàn)稿》第11條表示，“《數(shù)據(jù)出境安全評(píng)估辦法》、《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》等相關(guān)規(guī)定與本規(guī)定不一致的，按照本規(guī)定執(zhí)行"。但在數(shù)量問(wèn)題上是否完全不用考慮上一年度1月1日起的累計(jì)出境數(shù)量（或目前已經(jīng)處理的100萬(wàn)人的數(shù)量）而完全以預(yù)計(jì)的數(shù)量為準(zhǔn)，我們期待網(wǎng)信辦在正式稿出臺(tái)時(shí)給出更為明確的指引。

速評(píng)：本條為自貿(mào)區(qū)建立了先行先試的數(shù)據(jù)跨境流通專有通道。本條以自貿(mào)區(qū)內(nèi)數(shù)據(jù)（包括重要數(shù)據(jù)、個(gè)人信息）自由跨境流通為原則，在原則外制定需要完成數(shù)據(jù)出境前置程序的清單，促進(jìn)自貿(mào)區(qū)內(nèi)企業(yè)的數(shù)據(jù)跨境流通。

?

實(shí)踐中，仍有以下問(wèn)題有待進(jìn)一步明確：

?

1. 有哪些適格的自由貿(mào)易試驗(yàn)區(qū)可以制定相關(guān)負(fù)面清單？

?

2. 企業(yè)注冊(cè)登記在自貿(mào)區(qū)內(nèi)，但數(shù)據(jù)處理活動(dòng)發(fā)生在自貿(mào)區(qū)外的其它地方，其數(shù)據(jù)出境是否仍然能夠適用本條？

?

3. 企業(yè)注冊(cè)登記在自貿(mào)區(qū)外，但發(fā)生數(shù)據(jù)處理活動(dòng)的服務(wù)器位于自貿(mào)區(qū)內(nèi)，其數(shù)據(jù)出境是否仍然能夠適用本條？

?

自貿(mào)區(qū)的負(fù)面清單政策為企業(yè)數(shù)據(jù)跨境流通開(kāi)啟一扇方便之門(mén)，在執(zhí)行成熟完善后，不排除進(jìn)一步擴(kuò)展至全國(guó)。因此，負(fù)面清單的具體內(nèi)容以及后續(xù)具體如何適用、如何落地，有著重要的前瞻意義，我們期待網(wǎng)信辦與各自貿(mào)區(qū)的細(xì)則正式出臺(tái)。

速評(píng)：《網(wǎng)絡(luò)安全法》第37條規(guī)定，“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定的辦法進(jìn)行安全評(píng)估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。"

?

本次《征求意見(jiàn)稿》即便未來(lái)正式出臺(tái)，從法律層級(jí)上來(lái)說(shuō)，也不屬于“法律、行政法規(guī)"，故《征求意見(jiàn)稿》前述條文中對(duì)于數(shù)據(jù)出境前置程序的豁免，將不適用于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者向境外提供個(gè)人信息或重要數(shù)據(jù)的情形。

速評(píng)：雖然本次《征求意見(jiàn)稿》釋明了許多豁免情形，將部分風(fēng)險(xiǎn)較低的數(shù)據(jù)出境場(chǎng)景自評(píng)估工作交由企業(yè)自主決策，但并不意味著同時(shí)豁免企業(yè)事前數(shù)據(jù)安全保護(hù)義務(wù)及安全事件發(fā)生時(shí)的報(bào)告義務(wù)。

速評(píng)：相比《數(shù)據(jù)出境安全評(píng)估辦法》、《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》中，違反規(guī)定將依據(jù)《中華人民共和國(guó)個(gè)人信息保護(hù)法》等法律法規(guī)處理的罰則，《征求意見(jiàn)稿》本條的措辭相對(duì)緩和，給予了數(shù)據(jù)處理者接受監(jiān)督、及時(shí)整改、消除隱患的機(jī)會(huì)。

縱覽《征求意見(jiàn)稿》全文，切實(shí)回應(yīng)了數(shù)據(jù)出境合規(guī)過(guò)程中各類企業(yè)的困惑，減輕了企業(yè)開(kāi)展跨境業(yè)務(wù)過(guò)程中不必要的合規(guī)負(fù)擔(dān)，并為自貿(mào)區(qū)內(nèi)負(fù)面清單制度的先行先試留下了政策空間。我們期待正式稿的出臺(tái)落地，以更好協(xié)助企業(yè)完成數(shù)據(jù)出境的合規(guī)。