专业解读

引言：在全球化的背景下，随着科技社会的不断进步以及信息技术的迅猛发展，数据逐渐成为了重要的资源之一。在我国，个人信息被定义为以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息作为数据其中的重要分类，其跨境流动也带来了一系列的挑战和风险。为了保障个人信息安全，保护个人信息权益，促进其依法有序自由流动，同时，为了能够更好促进数据出境安全评估、个人信息出境标准合同、个人信息保护认证（统称“数据出境制度”）等数据出境制度的施行，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规，我国制定了《促进和规范数据跨境流动规定》（以下简称《规定》），并于2024年3月22日开始实施。本文中，我们将主要针对个人信息的跨境流动展开讨论。

一、《规定》中的亮点

首先，需要明确的是，数据处理者将作为个人信息跨境流动申报的主体，需要对个人信息进行识别从而做出正确的判断和处理。根据《规定》，对于数据跨境流动共计设置了三种数据出境制度。

《规定》第三条对于国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供的情况进行了说明，明确指出如果该类数据中包含了个人数据，不在数据出境制度的豁免范围。

《规定》第四条以及第五条中对其他豁免情况进行了详细的规定。第四条规定：数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供，处理过程中没有引入境内个人信息或者重要数据的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。或是，第五条规定了除了重要数据以外的向境外提供个人信息豁免的4种情形：（一）为订立、履行个人作为一方当事人的合同，如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等，确需向境外提供个人信息的；（二）按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的；（三）紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息的；（四）关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）的。

另外，根据第六条规定，在特殊情况下，自由贸易试验区内在国家数据分类分级保护制度框架下，可以自行制定区内需要纳入数据出境制度管理范围的数据清单（简称负面清单），经省级网络安全和信息化委员会批准后，报国家网信部门、国家数据管理部门备案。在负面清单外的数据在数据出境制度管理下豁免。当前，上海与天津自贸区已经分别印发了《中国（上海）自由贸易试验区临港新片区数据跨境流动分类分级管理办法（试行）》以及《中国（天津）自由贸易试验区企业数据分类分级标准规范》。

除此之外，2024年5月，拜耳（中国）有限公司在北京自贸试验区（大兴）数据跨境服务中心完成了其数据出境安全评估，成为我国境内首家外资生物医药行业企业获批数据出境安全评估的案例。当前，大兴自贸区正在积极配合相关主管部门制定“负面清单”，努力在大兴自贸区内为企业提供便捷化的数据合规出境服务。

图解《促进与规范数据跨境流动规定》：

【图】关键信息基础设施运营者（CIIO）

【图示】非关键信息基础设施运营者

二、公开数据

截止至2023年底，从公开渠道可以查询到的数据出境安全评估通过的企业所处行业分布如下：

截止至2023年底，从公开渠道可以查询到的个人信息出境标准合同备案通过企业所处行业分布如下：

三、对企业的建议

1. 提高企业对自身情况的了解

首先，企业需要根据本身从事的行业以及经营范围来判断企业是否属于数据处理者，同时可以参考《关键信息基础设施安全保护条例》的内容判断企业是否属于关键信息基础设施运营者（CIIO）。当前，绝大多数行业的关键信息基础设施运营者的认定规则以及清单并未明确，在这样的情况下，可以求助于当地行业主管部门或者相关专业人士的帮助，对企业本身的定位更加明确。

其次，企业需要自行或者通过专业人士进行判断本企业所收集的个人信息是否属于敏感个人信息，以此来判断企业是否要进行安全评估申报或者标准合同或认证。

2. 企业开展个人信息保护影响评估（PIA）

根据《个人信息保护法》的相关规定，在向境外提供个人信息的情况下，个人信息处理者（企业）应当事前进行PIA评估，该评估报告处理情况记录应当至少保存三年。评估内容包括：

• 个人信息的处理目的、处理方式等是否合法、正当、必要；
• 对个人权益的影响及安全风险；
• 所采取的保护措施是否合法、有效并与风险程度相适应。

建议企业在进行PIA前，组建专业的评估团队、制定评估的计划以及确认评估的范围和对象，最终形成完备的评估报告。

3. 制定企业相关个人信息收集及处理流程

从业务层面来看，首先，企业需要根据业务需求，明确需要收集的个人信息的类型；第二，在收集个人信息时需要遵循目的明确和最小化处理原则；第三，收集信息后，在处理个人信息时，根据《个人信息保护法》相关规定，应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息，同时，处理个人信息应当遵循公开透明原则。在制定了相关的流程后，企业可以确保个人信息的收集及处理流程的合规性。

从企业内部管理来看，《规定》第五条第二款规定，按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的，属于数据出境制度豁免行列。但是，当前来说，大部分企业在劳动规章制度中并未明确包含与个人信息出境相关的内容，因此建议企业在履行公司内部法定流程的情况下制定相关制度文件。

4. 个人信息出境

企业因业务需要，向境外提供个人信息，需要根据不同情况具备通过国家网信部门组织的安全评估、进行个人信息保护认证、制定标准合同三种条件之一。2024年3月22日，国家互联网信息办公室发布并实施了《数据出境安全评估申报指南（第二版）》和《个人信息出境标准合同备案指南（第二版）》，建议企业按照规定开展申报及备案工作，与监管部门进行沟通，以应对潜在的监管检查。

除了企业以外，需要提示的是，根据相关规定，我国境内开展个人信息处理活动的个人信息处理者，在非《规定》豁免的情形下，仍需满足数据出境制度。

在企业认为自身对于个人信息的收集以及管控程序完备的情况下，可以申请进行个人信息保护认证。截止至2024年1月，已经有5家企业获得了首批信息保护认证证书。其认证模式分为技术验证、现场审核以及获证后监督，获得认证书后认证书有效期为3年，到期需延用的，在有效期届满前6个月企业应当提出申请，认证机构采取获证后监督方式对符合要求的企业换发新的证书。提前申请该认证可以为企业在个人信息跨境传输事项中提高工作效率，并且起到了对于企业自身个人信息保护措施方面的检查作用。

结语：最后，我们想要强调的是，无论企业收集的个人信息是否面临出境的情况，在企业收集个人信息时都务必要遵循《个人信息保护法》等相关规定，只有在履行了必要的合规义务情况下，才可以为企业未来的发展奠定稳固的基石。

作者简介

张婷
北京办公室 高级合伙人
道可特国际业务部主任

业务领域：境内外争议解决、海外上市、国际并购与国际工程、境内外并购与资本市场、公司治理、外商在华投资家族办公室业务和国际融资等商事法律业务

邮箱：zhangting@dtlawyers.com.cn

郭毅佳
北京办公室 实习律师

业务领域：境外上市、跨境投融资并购、数据出境业务、公司治理

邮箱：guoyijia@dtlawyers.com.cn