解读《规范和促进数据跨境流动规定》（征求意见稿）

近日，国家互联网信息办公室发布了《规范和促进数据跨境流动规定》（征求意见稿）（以下简称《规定》）。此稿与《数据出境安全评估办法》、《个人信息出境标准合同办法》相比均有较大变化。

总体来看，《规定》制定的背景或是因为在规范数据跨境传输的相关法律及规范性文件出台后，各行各业因不同的业态及场景，大都需按国家法律及规范性文件要求申请数据出境安全审查与评估，而基于监管的严谨性，审查与评估需经一定时间方能完成。

国家监管部门在宣导《数据出境安全评估办法》并持续开展审查与评估近一年的过程中，综合考虑各行业、各领域的反馈意见后，在聚焦关键领域、促进国际交流与经济往来的原则下尝试对现行条文进行一次修正与更新，以便更好地适配中国国情。笔者认为如果《规定》按此版本最终发布施行，将大大降低企业在数据出境场景中的合规成本，有利于吸引外资并促进整体经济的发展及营商环境的优化。

笔者通过比对《规定》与现已发布施行的法律、部门规章，尝试梳理《规定》的关键要点，以分析相关影响。

制定“豁免清单”

● 解读

此《规定》重要内容是制定了“豁免清单”，属于清单内所列举的情况将不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证（下称“评估、合同与认证体系”）。而在此前，《个人信息保护法》第三十八条将个人信息出境纳入评估、合同与认证体系。《数据出境安全评估办法》将个人信息限缩至特定类型、范围，同时增加了重要数据出境的情形和一个“兜底条款”，作为评估、合同与认证体系的适用情形。

“重要数据”出境部分条文解读

● 解读

一、此部分条文一方面将国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据纳入“豁免清单”，对于跨国交流、跨国集团的数据出境提供了便利条件。此处需指出的是，《数据出境安全评估办法》第二条规定了其仅适用于重要数据和个人信息的出境，对不属于前述两项的其它数据出境并未作出细致规定；

二、此部分条文另一方面确定了对于“重要数据”的认定环节，即由“相关部门、地区告知或者公开发布为重要数据”，从而明确了“重要数据”的认定主体，弥补了《数据出境安全评估办法》第十九条中对重要数据的定义偏宽泛，较难指导实践的弊端。

“个人信息”出境部分条文解读

● 解读

一、《规定》将非境内收集、订立、履行合同所必需、跨国人力资源管理、公共利益四个方面纳入“豁免清单”。

二、《规定》将“不满一万人”的条件从“自上年1月1日起累计”改为“预计1年内”。此处是否影响监管要求，从要求企业提供历史证明材料改为企业出具承诺书即可？同时，如实际企业在当年向境外提供超过一万人的个人信息，该如何处理？此处暂未有详细规定。

三、《规定》不再在个人信息内单独划分敏感个人信息。

四、现行法条对于累计向境外提供个人信息规定了两个档级，“不满十万人”与“十万人”，其中“不满十万人”适用“标准合同”，“十万人”适用“安全评估”；《规定》将其改为“不满一万人”与“一万到一百万人”两个区间，其中“不满一万人”纳入“豁免清单”，“一万到一百万人”适用“标准合同”及“个人信息保护认证”。

五、现行法条对于处理一定量级的个人信息的数据处理者的数据出境基于处理个人信息的量级分别作了规定，但《规定》中删除了此部分内容。

六、《规定》将自贸区负面清单外的数据出境纳入“豁免清单”。《规定》条文为“自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（以下简称负面清单），报经省级网络安全和信息化委员会批准后，报国家网信部门备案。负面清单外数据出境，可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。”

涉“关键信息基础设施运营者”

部分条文解读

● 解读

现行法条规定只要被认定为关键信息基础设施运营者，即需就其数据出境申报安全评估。根据《规定》的相关条文表述，关键信息基础设施运营者如向境外提供个人信息和重要数据，需依照有关法律、行政法规、部门规章规定执行。此处《规定》与现行法条相比，限缩了关键信息基础设施运营者需开展数据出境安全评估的情形，至于关键信息基础设施运营者如向境外提供非个人信息、非重要数据的情况应如何处理，《规定》并未明确。

数据安全保护部分条文解读

● 解读

《规定》对于此部分内容仅为概括性规定，与现行法条并未存在冲突。

政府监督部分条文解读

● 解读

《规定》对于此部分内容仅为概括性规定，与现行法条并未存在冲突。

总结

综上，《规定》的一大亮点为增加了“豁免清单”。此举预计将促进数据跨境流通，也让国家行政监管更为聚焦。根据《规定》，需要开展“评估、合同与认证”的情形限缩至三类，即“关键信息基础设施运营者”“重要数据”以及“处理一百万人以上的个人信息”且个人信息种类不属于前述第三点第一项所述内容。如此来看，基于目前全国大部分地区暂未制定重要数据目录，关键信息基础设施运营者数量也较为有限的现状，适用“评估、合同与认证”的情形将大为减少，企业跨境数据流通的合规成本有望进一步降低，这也充分展示了国家监管方式已转向精细化与精准化，有利于进一步优化营商环境。

划重点

站在数据交易以及广州数据交易所的角度，我们的关注点总结如下：

一、数据流通交易：

《规定》有利于促进合规数据产品的跨境流通交易，也为外资/港澳企业加入数据流通交易生态圈提供了进一步的友好便利条件。

二、数据流通交易合规审查：

（一）企业在诸多场景豁免了合规举证义务：

1、湾区外贸企业在国际贸易、内外资制造业企业在跨国生产制造、其他企业在跨境市场营销活动场景中（不包含个人信息或者重要数据的）；

2、湾区跨境电商企业在跨境零售、跨境汇款、跨境物流等正当性、日常性数据出境场景中。

3、涉及个人信息的场景：湾区跨境企业基于人力资源管理需求而必须向境外提供内部员工信息时。

（二）交易所在开展合规审查时：

1、重要数据：按《规定》文义表述，只要未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。《规定》如施行，无疑一定程度上为“重要数据”的判定提供了规范性文件依据。

2、公共数据：（涉公共数据的）数据产品能否纳入数据跨境流通交易范畴仍需监管部门制定重要数据目录，交易所也将持续关注监管动态。

三、其他：

（一）学校：

（不包含个人信息或者重要数据的）学术合作活动中产生数据出境的场景也在本次《规定》所列“豁免清单”中：便利内地与湾区学校以及国外学校之间的学术交流合作。

（二）自由贸易试验区：

《规定》探索式的“授权”赋予了自由贸易试验区基于监管必要性判断自行制定“负面清单”，并承担由此引发的决策责任。交易所也将密切关注各自由贸易试验区是否会出台个性化的制度安排。

供稿：广州数据交易所法务合规部

撰稿：孙薇

- The End -

相关阅读