2024年3月22日，國家互聯(lián)網(wǎng)信息辦公室正式公布了《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》（以下簡稱“規(guī)定"），即時(shí)施行?！兑?guī)定》旨在進(jìn)一步促進(jìn)和規(guī)范數(shù)據(jù)跨境流通，同時(shí)確保數(shù)據(jù)安全和保護(hù)個(gè)人信息權(quán)益。《規(guī)定》體現(xiàn)了我國已經(jīng)將數(shù)據(jù)作為驅(qū)動(dòng)經(jīng)濟(jì)運(yùn)行的新質(zhì)生產(chǎn)要素，保障和促進(jìn)數(shù)據(jù)跨境流動(dòng)活動(dòng)的有效性與合規(guī)性。

在現(xiàn)有《數(shù)據(jù)出境安全評(píng)估辦法》與《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》的基礎(chǔ)上，《規(guī)定》對(duì)企業(yè)跨境合規(guī)義務(wù)進(jìn)行了實(shí)質(zhì)上的“減負(fù)"：通過加入跨境合規(guī)義務(wù)的“豁免"情形，并對(duì)原有觸發(fā)安全評(píng)估、標(biāo)準(zhǔn)合同以及認(rèn)證的條件進(jìn)行了精煉與重新界定，大大降低了企業(yè)的合規(guī)成本，為企業(yè)的發(fā)展創(chuàng)造更為友好的營商環(huán)境，為數(shù)據(jù)的跨境流動(dòng)創(chuàng)造更為寬松的監(jiān)管環(huán)境。

本文將解析《規(guī)定》的發(fā)布背景、適用條件以及在新規(guī)框架下企業(yè)應(yīng)如何調(diào)整其合規(guī)策略，旨在為有關(guān)企業(yè)提供清晰的導(dǎo)向與指引，助力其在新的法規(guī)體系下確保數(shù)據(jù)跨境活動(dòng)的合規(guī)性。

?

一圖讀懂《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》

一、《規(guī)定》發(fā)布的背景

近年來，在著力發(fā)展數(shù)字經(jīng)濟(jì)、拓展數(shù)字經(jīng)濟(jì)國際合作的背景下，我國持續(xù)推進(jìn)數(shù)據(jù)跨境流動(dòng)機(jī)制建設(shè)，并積極探索構(gòu)建安全、自由的數(shù)據(jù)跨境流動(dòng)機(jī)制，為符合條件的外商投資企業(yè)建立綠色通道，以促進(jìn)數(shù)據(jù)安全有序自由流動(dòng)，并支持試點(diǎn)探索形成可自由流動(dòng)的一般數(shù)據(jù)清單，建設(shè)服務(wù)平臺(tái)，提供數(shù)據(jù)跨境流動(dòng)合規(guī)服務(wù)。

此次發(fā)布的《規(guī)定》正是我國對(duì)這一政策趨勢的制度性回應(yīng)。在去年九月的《規(guī)范和促進(jìn)數(shù)據(jù)跨境流動(dòng)規(guī)定（征求意見稿）》中，規(guī)范先行，促進(jìn)在后。而正式稿則將兩個(gè)詞對(duì)調(diào)，也與上表中政府積極開放數(shù)據(jù)流動(dòng)利用的初衷相一致。《規(guī)定》進(jìn)一步明確了我國數(shù)據(jù)跨境流動(dòng)的監(jiān)管框架，旨在減少制度性障礙，并積極促進(jìn)投資，特別是跨境投資活動(dòng)。

為助企業(yè)更好地理解《規(guī)定》的發(fā)布背景，我們按照時(shí)間線梳理過去一年多有關(guān)的政策背景如下：

二、新規(guī)適用下的“變"與“不變"

根據(jù)《立法法》第103條的規(guī)定，同一機(jī)關(guān)制定的法律、行政法規(guī)、地方性法規(guī)、自治條例和單行條例、規(guī)章，特別規(guī)定與一般規(guī)定不一致的，適用新的規(guī)定。鑒于《規(guī)定》與《數(shù)據(jù)出境安全評(píng)估辦法》《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》均由國家網(wǎng)信辦發(fā)布，在《規(guī)定》生效之后，如上述法規(guī)之間存在沖突，應(yīng)按照新法優(yōu)于后法的原則，以《規(guī)定》為準(zhǔn)。具體而言，《規(guī)定》下的數(shù)據(jù)出境合規(guī)框架存在如下“變"與“不變"：

1、引入“豁免"情形。依據(jù)《個(gè)人信息保護(hù)法》第38條，涉及個(gè)人信息跨境傳輸?shù)钠髽I(yè)需要完成安全評(píng)估申報(bào)、標(biāo)準(zhǔn)合同備案、認(rèn)證，或符合相關(guān)法律、行政法規(guī)及國家網(wǎng)信部門的其他規(guī)定。針對(duì)此，國家網(wǎng)信辦制定了《數(shù)據(jù)出境安全評(píng)估辦法》和《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》，為滿足不同主體資格（如處理超過100萬個(gè)人信息的實(shí)體）及數(shù)據(jù)屬性（例如，重要數(shù)據(jù)）的企業(yè)設(shè)定了具體的跨境合規(guī)路徑?！兑?guī)定》在此基礎(chǔ)上進(jìn)一步引入了“豁免"機(jī)制，即滿足特定情境的企業(yè)，在跨境傳輸數(shù)據(jù)時(shí)，可免于進(jìn)行安全評(píng)估、標(biāo)準(zhǔn)合同備案或認(rèn)證的程序：

2、數(shù)據(jù)出境合規(guī)路徑適用條件的改變。我們理解，自該規(guī)定正式生效起，那些未落入“豁免"情形下的企業(yè)，將不再遵循《數(shù)據(jù)出境安全評(píng)估辦法》和《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》來確定數(shù)據(jù)出境的合規(guī)路徑。相反，這些企業(yè)應(yīng)當(dāng)根據(jù)《規(guī)定》的要求，并結(jié)合其具體的業(yè)務(wù)狀況，來確認(rèn)其數(shù)據(jù)出境的合規(guī)路徑：

3、安全評(píng)估、標(biāo)準(zhǔn)合同與認(rèn)證的方法論的沿用。值得注意的是，《規(guī)定》所調(diào)整的是安全評(píng)估、標(biāo)準(zhǔn)合同與認(rèn)證的適用條件，并在此基礎(chǔ)上引入了“豁免"機(jī)制，但其并未改變安全評(píng)估、標(biāo)準(zhǔn)合同與認(rèn)證的工作方法論。例如，依照《規(guī)定》仍落入安全評(píng)估和標(biāo)準(zhǔn)合同備案義務(wù)范疇的企業(yè)，應(yīng)當(dāng)按照《數(shù)據(jù)出境安全評(píng)估申報(bào)指南（第二版）》和《個(gè)人信息出境標(biāo)準(zhǔn)合同備案指南（第二版）》（于2024年3月22日發(fā)布）的要求，積極準(zhǔn)備申報(bào)表、風(fēng)險(xiǎn)自評(píng)估報(bào)告與法律文件等必備文件，并重點(diǎn)說明出境場景與出境數(shù)據(jù)字段的必要性。

?

三、合規(guī)義務(wù)

基于我們此前數(shù)據(jù)出境安全評(píng)估以及個(gè)人信息出境標(biāo)準(zhǔn)合同備案的實(shí)操經(jīng)驗(yàn)，我們謹(jǐn)提出以下建議，供企業(yè)參考。

1、非“豁免"企業(yè)盡快履行數(shù)據(jù)出境申報(bào)/備案義務(wù)

此前，《規(guī)定》一直處于征求意見階段，不具備法律效力，因此很多可能落入豁免條件的企業(yè)對(duì)是否申報(bào)出境安全評(píng)估和個(gè)人信息持觀望態(tài)度。鑒于《規(guī)定》自公布之日起即刻實(shí)施，我們建議企業(yè)盡快根據(jù)正式版本的《規(guī)定》再行評(píng)估合規(guī)的數(shù)據(jù)跨境傳輸路徑，并盡快履行相關(guān)義務(wù)。

特別是對(duì)于已經(jīng)獲得國家網(wǎng)信辦數(shù)據(jù)出境安全評(píng)估部分通過結(jié)論的企業(yè)，針對(duì)未通過但卻被《規(guī)定》豁免的部分?jǐn)?shù)據(jù)，鑒于這些數(shù)據(jù)已經(jīng)在網(wǎng)信辦“掛號(hào)"，我們建議這些企業(yè)也不要輕易“不了了之"，可與監(jiān)管進(jìn)行有效溝通，尋求適應(yīng)的解決方案。

2、重視其他合規(guī)義務(wù)與留痕

《規(guī)定》僅是對(duì)數(shù)據(jù)跨境傳輸特定場景下特殊合規(guī)要求的“松綁"，企業(yè)仍需遵守法律、行政法規(guī)的規(guī)定，履行數(shù)據(jù)安全保護(hù)義務(wù)。包括但不限于：

（1）履行告知義務(wù)：《個(gè)人信息保護(hù)法》第39條規(guī)定，個(gè)人信息處理者向中華人民共和國境外提供個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個(gè)人信息的種類以及個(gè)人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項(xiàng)。前述告知事項(xiàng)不因個(gè)人信息處理的合法性基礎(chǔ)或合規(guī)路徑變化而有所減損。因此，就個(gè)人信息跨境傳輸活動(dòng)而言，企業(yè)仍需通過有效途徑觸達(dá)個(gè)人信息主體。

（2）個(gè)人信息保護(hù)影響評(píng)估：《個(gè)人信息保護(hù)法》第55條規(guī)定，向境外提供個(gè)人信息的，個(gè)人信息處理者應(yīng)當(dāng)事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，并對(duì)處理情況進(jìn)行記錄。因此在進(jìn)行個(gè)人信息跨境傳輸前，企業(yè)應(yīng)當(dāng)進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，對(duì)傳輸?shù)膫€(gè)人信息的合法性、正當(dāng)性和必要性，對(duì)個(gè)人權(quán)益的影響及安全風(fēng)險(xiǎn)，以及所采取保護(hù)措施的有效性等重大事宜進(jìn)行評(píng)估，并留存評(píng)估報(bào)告和處理情況記錄至少三年。

（3）確保境外處理者的個(gè)人信息保護(hù)水平：《個(gè)人信息保護(hù)法》第38條第三款規(guī)定，個(gè)人信息處理者應(yīng)當(dāng)采取必要措施，確保境外接收方處理個(gè)人信息的活動(dòng)達(dá)到《個(gè)人信息保護(hù)法》規(guī)定的個(gè)人信息保護(hù)標(biāo)準(zhǔn)?！兑?guī)定》中也對(duì)此項(xiàng)要求作出強(qiáng)調(diào)：數(shù)據(jù)處理者向境外提供數(shù)據(jù)的，應(yīng)當(dāng)遵守法律、法規(guī)的規(guī)定，履行數(shù)據(jù)安全保護(hù)義務(wù)，采取技術(shù)措施和其他必要措施，保障數(shù)據(jù)出境安全。發(fā)生或者可能發(fā)生數(shù)據(jù)安全事件的，應(yīng)當(dāng)采取補(bǔ)救措施，及時(shí)向省級(jí)以上網(wǎng)信部門和其他有關(guān)主管部門報(bào)告。我們建議不負(fù)有申報(bào)或備案義務(wù)的擬出境企業(yè)可以《個(gè)人信息出境標(biāo)準(zhǔn)合同》為模版，推進(jìn)與境外接收方簽署數(shù)據(jù)出境協(xié)議或條款，通過合同方式要求和約束境外接收方的數(shù)據(jù)處理活動(dòng)達(dá)到中國法下的保護(hù)水準(zhǔn)，并明確雙方的權(quán)利義務(wù)。

（4）建立數(shù)據(jù)安全應(yīng)急聯(lián)動(dòng)處置機(jī)制：《規(guī)定》第11、12條對(duì)數(shù)據(jù)安全保護(hù)風(fēng)險(xiǎn)管控作出強(qiáng)調(diào)，其宗旨與《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》一脈相承。因此，企業(yè)應(yīng)當(dāng)建立有效的數(shù)據(jù)安全應(yīng)急聯(lián)動(dòng)處置機(jī)制。特別對(duì)于大型跨國企業(yè)集團(tuán)，由于其數(shù)據(jù)處理活動(dòng)分散在全球各地，有效的全球聯(lián)動(dòng)處理機(jī)制在安全事件發(fā)生時(shí)顯得非常重要。我們建議企業(yè)針對(duì)中國監(jiān)管機(jī)構(gòu)的要求制定本地化的措施，對(duì)數(shù)據(jù)處理活動(dòng)進(jìn)行有效的內(nèi)部監(jiān)督和風(fēng)險(xiǎn)補(bǔ)救。針對(duì)數(shù)據(jù)出境安全事件，應(yīng)當(dāng)特別注意合規(guī)和安全培訓(xùn)以及應(yīng)急處置留痕，如發(fā)生數(shù)據(jù)出境安全事件或者發(fā)現(xiàn)數(shù)據(jù)出境安全風(fēng)險(xiǎn)增大的，建議及時(shí)進(jìn)行評(píng)估并向網(wǎng)信部門報(bào)告。

3、事前確認(rèn)重要數(shù)據(jù)范圍

根據(jù)《規(guī)定》，企業(yè)無需要申報(bào)數(shù)據(jù)出境安全評(píng)估的情況包括“未被相關(guān)部門、地區(qū)告知或者公開發(fā)布為重要數(shù)據(jù)的，數(shù)據(jù)處理者不需要作為重要數(shù)據(jù)申報(bào)數(shù)據(jù)出境安全評(píng)估"。這一規(guī)定從文意上似乎明確了“重要數(shù)據(jù)"消極確認(rèn)的識(shí)別路徑，解決了此前企業(yè)合規(guī)中長久以來對(duì)重要數(shù)據(jù)邊界認(rèn)知不清的問題。

但上述規(guī)定并不能免除企業(yè)的合規(guī)應(yīng)對(duì)義務(wù)。目前很多行業(yè)主管部門已經(jīng)在制定重要數(shù)據(jù)目錄以及擬定有關(guān)范圍的過程中，只是尚未公開發(fā)布。為避免任何誤解或事后補(bǔ)救義務(wù)，我們建議企業(yè)在著手進(jìn)行數(shù)據(jù)跨境傳輸之前，應(yīng)與行業(yè)主管部門溝通確認(rèn)其數(shù)據(jù)是否屬于重要數(shù)據(jù)并進(jìn)行留痕，主動(dòng)了解重要數(shù)據(jù)目錄制定的相關(guān)標(biāo)準(zhǔn)和范圍，并定期跟蹤目錄制定進(jìn)程。不宜僅憑主管部門尚未正式發(fā)布重要數(shù)據(jù)目錄的事實(shí)而判定自己所掌握的數(shù)據(jù)不屬于重要數(shù)據(jù)。

4、涉黨政軍敏感信息的處理與傳輸

雖然正式稿《規(guī)定》中刪除了“向境外提供涉及黨政軍和涉密單位敏感信息、敏感個(gè)人信息的，依照有關(guān)法律、行政法規(guī)、部門規(guī)章規(guī)定執(zhí)行"，我們認(rèn)為，黨政軍數(shù)據(jù)具有極高的敏感性，一旦泄露，可能會(huì)對(duì)國家的安全和利益造成重大影響。

因此，對(duì)于此類數(shù)據(jù)企業(yè)應(yīng)當(dāng)積極識(shí)別，即便其未落入重要數(shù)據(jù)目錄或者負(fù)面清單，也不屬于需要申報(bào)數(shù)據(jù)出境安全評(píng)估、訂立個(gè)人信息出境標(biāo)準(zhǔn)合同、通過個(gè)人信息保護(hù)認(rèn)證的其他場景，我們?nèi)越ㄗh在進(jìn)行嚴(yán)格謹(jǐn)慎的評(píng)估后，再考慮是否進(jìn)行跨境傳輸。

?

四、結(jié)語

《規(guī)定》的發(fā)布凸顯了我國對(duì)于優(yōu)化數(shù)據(jù)管理、促進(jìn)數(shù)據(jù)自由流動(dòng)與經(jīng)濟(jì)增長的堅(jiān)定決心。在持續(xù)保持高水平開放與積極吸引外商投資的雙重背景下，高效且安全的數(shù)據(jù)跨境流通成為經(jīng)濟(jì)發(fā)展的核心動(dòng)力。通過這一規(guī)定，我國不僅進(jìn)一步明確了數(shù)據(jù)安全的標(biāo)準(zhǔn)，同時(shí)也為企業(yè)提供了更為清晰的數(shù)據(jù)跨境流動(dòng)框架，從而進(jìn)一步激發(fā)數(shù)據(jù)要素這一新質(zhì)生產(chǎn)要素，推動(dòng)新質(zhì)生產(chǎn)力的發(fā)展和科技創(chuàng)新?？傮w而言，雖然新規(guī)下企業(yè)數(shù)據(jù)跨境的合規(guī)義務(wù)得以“減負(fù)"，但對(duì)于有關(guān)敏感產(chǎn)業(yè)，特別是金融、醫(yī)療等需要處理大量敏感個(gè)人信息的行業(yè)，有關(guān)企業(yè)仍需結(jié)合自身的業(yè)務(wù)實(shí)際情況，及時(shí)采取相應(yīng)的策略和措施來確保數(shù)據(jù)跨境傳輸?shù)暮戏ê弦?guī)性。