2023年9月28日，国家网信办发布《规范和促进数据跨境流动规定（征求意见稿）》（下称“《跨境流动新规（征求意见稿）》”）。这份征求意见稿篇幅短小，但内容非常重要，它拟对当前已落地的数据跨境合规监管机制进行实质性调整——如果这份新规的内容能够通过和实施，那么部分目前落入数据跨境合规专项机制监管的数据出境活动将免于开展数据出境安全评估、个人信息出境标准合同订立和/或通过个人信息保护认证（每一项均为“数据出境合规专项机制”，统称“三大数据出境合规专项机制”），或可降级适用相对更为简单的数据出境合规专项机制。相信《跨境流动新规（征求意见稿）》的正式实施将助力很多具有跨国业务需求和全球运营布局的企业降低数据跨境传输合规压力与成本，更好地平衡业务发展目标和数据安全管理需求。

本次《跨境流动新规（征求意见稿）》的出台，与2023年8月国务院发布的《国务院关于进一步优化外商投资环境加大吸引外商投资力度的意见》（“《吸引外资24条意见》”）中的内容一脉相承。《吸引外资24条意见》中的第14条意见专门提出要探索便利化的数据跨境流通安全管理机制，建立绿色通道，试点探索形成可自由流动的一般数据清单。随着本次《跨境流动新规（征求意见稿）》的出台，数据跨境传输绿色通道初见雏形。我们也期待第14条内容的进一步落地。

另一方面，《跨境流动新规（征求意见稿）》内容简短，其部分内容在实践中将如何落实，也有许多实务问题亟待解答。在本文中，我们将首先将新规内容总结为6大亮点，然后将结合近年来我们协助企业办理数据跨境传输合规工作的切身经验，提出若干有待澄清和明确的实操问题以供探讨，最后为企业提出合规建议。

亮点1. 重申和明确若干数据出境活动无需适用数据出境合规专项机制要求

在现有数据出境合规体系中，三大数据出境合规专项机制仅适用于符合特定条件的数据出境活动，但在实践中，企业对于三大机制的适用范围始终存在一些疑问，也因此时常导致过度合规、进而影响数据正常跨境流动的情况。对此，《跨境流动新规（征求意见稿）》的前3条，首先明确了三种数据出境活动不应落入数据出境合规专项机制适用范围内。这三种活动在新规颁布前后，均不适用数据出境合规专项机制，本次新规只是对现有规则的适用进行释明。具体如下：

(1) 国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境，不包含个人信息或者重要数据的，不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

(2) 未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。

(3) 不是在境内收集产生的个人信息向境外提供，不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

亮点2：若干目前需履行数据出境合规专项合规义务的数据出境活动将不再适用相关数据出境合规专项机制要求

《跨境流动新规（征求意见稿）》第4条和第5条对当前的数据出境合规专项机制的适用范围做出实质性调整，明确提出4类目前需履行数据出境合规专项机制的数据出境活动，在新规落地后将无需再适用相关数据出境合规专项机制要求。这是本次新规影响范围最大的亮点，生效后将惠及大量数据出境场景简单且出境个人信息量级较小的企业。具体而言，

（一）、《跨境流动新规（征求意见稿）》第4条提出以下三类个人信息出境活动无需履行数据出境三大合规机制的3个场景。可以看出，新规的立法者认可这三个场景下个人信息出境的必要性，并拟通过克减相关专项合规要求来促进这几个场景下的数据跨境流动，从而促进相关商贸、经营或应急活动的开展：

(1) 为订立、履行个人作为一方当事人的合同所必需，如跨境购物、跨境汇款、机票酒店预订、签证办理等，必须向境外提供个人信息的；　

(2) 按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理，必须向境外提供内部员工个人信息的；　　

(3) 紧急情况下为保护自然人的生命健康和财产安全等，必须向境外提供个人信息的。

（二）、《跨境流动新规（征求意见稿）》第5条，从个人信息出境影响的角度，针对小规模个人信息出境活动所需履行的数据合规专项机制要求进行了克减。具体而言，预计一年内向境外提供不满1万人个人信息的，无需履行数据出境合规专项机制下义务。

需注意的是，尽管落入上述4类情形的数据出境活动，在新规落地后将无需再履行相关数据出境合规专项机制义务，根据《个人信息保护法》（“个保法”）的要求，这些场景中的个人信息处理者仍需满足告知同意及个人信息保护影响评估等个保法规定的个人信息出境基础合规要求。

亮点3：低于一定量级的个人信息出境活动所对应的数据出境合规专项机制将降级适用

《跨境流动新规（征求意见稿）》第6条指出，预计一年内向境外提供1万人以上、不满100万人个人信息的，如落实了个人信息出境标准合同机制且完成备案或通过个人信息保护认证，则无需再申报数据出境安全评估。

在本次新规出台之前，前述个人信息出境活动可能需申报数据出境安全评估，而在新规落实后，这类企业只需降格履行个人信息出境标准合同机制或个人信息保护认证机制即可。新规落地后，相关企业的合规压力及合规成本将得到显著降低。

亮点4：鼓励自贸区制定数据出境“负面清单”

尽管《跨境流动新规（征求意见稿）》第7条指出自由贸易试验区可制定“负面清单”，该负面清单报经省级网络安全和信息化委员会批准后，应报国家网信部门备案。负面清单一旦制定完成，则自由贸易试验区内的企业将负面清单范围的数据传输出境，无需履行数据跨境合规专项机制。由此可见，自贸区的数据跨境合规监管机制，相对于其他地区，将拥有更大的数据出境灵活度。

亮点5：重申涉及关键信息基础设施、敏感信息等数据安全重点监管领域的数据出境活动需依法依规开展

尽管新规前7条对符合特定条件的数据跨境传输活动所需适用的数据出境合规专项机制要求进行了一定程度上的简化和放松，新规第8条再次重申，国家机关和关键信息基础设施运营者向境外提供个人信息和重要数据的，以及境内向境外提供涉及党政军和涉密单位敏感信息、敏感个人信息的，均需依法依规执行。可以看出，新规出台后，监管机关将有的放矢，“外松内紧”，对于涉及数据安全重点监管领域的数据出境活动，仍将严格监管。

亮点6：明确数据处理者及监管部门均应加强数据出境动态管理和监测

《跨境流动新规（征求意见稿）》从数据处理者和监管部门两个角度，提出要对数据出境活动进行监督和监管，并在发生数据出境安全事件或者发现数据出境安全风险增大时立即采取措施。这说明在对符合特定条件的数据出境活动的事前监管有所“松绑”的同时，监管部门的数据出境合规监管思路，将从当前的主要依赖于事前监管，转向事前、事中、事后均衡、动态着力。这一监管如能得到有效贯彻，相信将能更好地在促进数据流动和维护数据安全、保护中国个人信息主体权益之间找到平衡。

如上文所说，相信《跨境流动新规（征求意见稿）》的落地将更好地在促进数据流动和维护数据安全、保护中国个人信息主体权益之间找到平衡。另一方面，新规内容在实操层面也存在不少有待澄清的问题。我们在此抛砖引玉，结合自身经验以及近期收集的企业反馈，提出一些有待澄清和落实的实操问题，仅供探讨。

实操问题一：新规第4条规定的无需再适用数据出境合规专项机制的情形之一，“依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理”，应当怎么理解？

一些企业从文义角度出发，对这条规定存在疑问，尤其是，如果没有订立集体合同，是否可根据此条，就人力资源管理场景的个人信息出境不履行数据出境合规专项机制？首先，本条的措辞与个保法第13条第二款，可免于履行告知同意要求的措辞相同，因而在适用方面，应可借鉴个保法第13条第二款的实操经验。其次，尽管有此条规定，也不能一概认为在人力资源管理场景中出境的所有个人信息都可免于履行数据出境合规专项机制要求，可落入本条范围的个人信息范围仍应遵从个保法规定的最小必要原则。一般而言，企业收集与订立和履行劳动合同直接相关的个人信息大概率能够落入这一范围，但收集婚育情况、是否为乙肝携带者等信息则大概率不属于这一范围。

实操问题二：就新规第5条规定的适用而言，境内有多家子企业的集团公司的出境所涉个人信息主体数量应以单个法律实体为单位进行计算，还是应以集团为单位进行合并计算？

新规第5条规定，预计一年内向境外提供不满1万人个人信息的，无需履行数据出境合规专项机制。实践中，很多企业有多家子公司，每家子公司的出境个人信息数量并不多，但合并后超过每年一万人的数量。如果第5条适用时可以单个法律实体为单位计算数量，而不要求以集团为单位就统一的个人信息出境场景合并申报，那么将有大量企业可适用这一条规定。这是否符合这条的立法原意，有待监管部门澄清或在实践中明晰相关要求。

实操问题三：就新规第5条的适用而言，计算预计一年内向境外提供的个人信息数量时，是否应当包含落入新规第4条所列情形的人数？

举例来说，如果一个企业出境人数为一万二千人，但其中有五千人是员工，出境场景符合新规第4条规定的人力资源管理可豁免数据出境合规专项机制要求的情形，余下七千人是其他类型个人信息，这种情况是否仍需办理相关数据出境合规专项机制？我们的理解是需要，但也有待实践确认。

实操问题四：新规生效后，已申报相关数据出境合规专项机制、但可根据新规第4-6条规定免于履行或降级履行相关专项机制的企业，应当如何衔接？

目前，已有大量企业根据现行数据出境合规相关法律法规办理了数据出境安全评估、个人信息出境标准合同备案等机制，且有很多企业的相关程序仍未办结。新规生效后，已申报相关数据出境合规专项机制、但尚未办结的企业，应当如何处理当前程序，是否可以撤回申请？已办结相关机制并获取合规凭证的企业，新规生效对其是否有任何影响？这些问题均有待实践验证。

综上所述，《跨境流动新规（征求意见稿）》释放了数据跨境流动监管机制进一步优化的积极信号，相关企业应密切追踪法律法规变化，同时仍需谨慎处理数据跨境传输需求所伴随的合规风险及要求。

特别地，即便部分企业的数据跨境传输合规要求在新规施行后将得到简化，企业仍需落实个保法等相关法律法规规定的其他法定数据出境合规义务，包括但不限于：

·在个人信息出境活动前获得个人信息主体单独同意的要求；

·按照《个人信息保护法》的要求开展个人信息保护影响评估；

·采取加密传输等有效的跨境传输安全保护措施；

·尽量规范与境外数据接收方签订合同中的数据保护条款，明确双方的责任和义务。

我们将持续跟踪新规的立法进程和落地实践，分享相关经验，帮助企业适时调整其数据跨境合规体系，高效管理数据跨境传输风险，为跨境业务的顺利开展保驾护航。

来源：科技与竞争法律评论