专业解读

2024年3月22日，国家互联网信息办公室正式公布了《促进和规范数据跨境流动规定》（下称《跨境规定》），自公布之日起施行。网信办早在2023年9月28日就释出了该份《跨境规定》的征求意见稿，并在2023年11月28日已由2023年第26次室务会议审议通过，距离正式公布已有近四个月。

在此之前，网信办相继公布了《网络安全审查办法》《数据出境安全评估办法》《关于实施个人信息保护认证的公告》《个人信息出境标准合同办法》等一系列部门规章，几乎都是针对数据跨境流动的规制和约束类文件。而《跨境规定》则是从促进数据跨境流动的角度制定的规范性文件。本文拟对《跨境规定》的相关条文进行梳理后解读如下。

解读一：哪些数据可以豁免申报出境

《跨境规定》在第二、三、六条明确规定了可以免于申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证等法定程序而自由出境的数据类型。据此可概括以下两种类型的数据均可视为出境无忧：

第一种是既不属于重要数据也不包含个人信息的一般数据

《跨境规定》第二条明确规定了重要数据的识别来源，那就是没有被相关部门或地方政府告知属于重要数据，也没有被公开发布为重要数据的，皆可视为属于一般数据（当然核心数据除外）。

《跨境规定》第三条还规定了此类数据的来源场景，即“国际贸易、跨境运输、学术合作、跨国生产制造和市场营销”等活动，那如果不属于这些场景的数据是否会被排除在自由出境的范围以外？笔者认为，既然该条使用了“等活动”这一概括性表述，表明并非是一个穷尽式的规定，也就是说即使不属于上述列举场景中收集和产生的数据，只要符合“不包含个人信息或者重要数据”这一重点，也应当视为可自由出境的数据类型。

第二种是在自贸区制定的负面清单以外的其他数据

《跨境规定》第六条赋予了自由贸易试验区可自行制定数据出境负面清单的权力，只要是在负面清单范围以外的数据同样可以享受自由出境的待遇。但此处需要注意的是，能适用上述条件的主体限于“自由贸易试验区内数据处理者”，那这一数据处理者与自贸区之间的关系尚存在可以讨论的空间，可能还有待网信办或是自贸区进一步厘清。

解读二：哪些个人信息可以豁免申报出境

《跨境规定》在第四、五条明确规定了可以免于申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证等法定程序而自由出境的个人信息类型。据此同样可以概括如下：

第一种是没有包含境内个人信息的境外个人信息

《跨境规定》第四条规定的其实是境外个人信息的过境行为，该部分个人信息只要符合“境外收集产生”和“境内处理没有引入境内个人信息或重要数据”这两个要求，即可视为可自由过境。

第二种是为订立履行跨境合同或劳动合同而必需的个人信息

《跨境规定》第五条规定了个人为履行跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等合同以及依法制定的劳动规章制度和依法签订的集体合同而必须提供的个人信息，均可自由出境。

第三种是紧急情况下为了个人安全而必需的个人信息

《跨境规定》第五条还规定了在紧急情况下为保护自然人的生命健康和财产安全而必需的个人信息，也可自由出境。

第四种是CIIO以外的数据处理者在法定限额以内提供的个人信息

《跨境规定》第五条也规定了关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供在10万人以内的个人信息的，可自由出境。此处需要注意的有两点：一是数据处理者不属于关键信息基础设施运营者(CIIO)、二是个人信息里不包含有敏感个人信息。

当然，上述可豁免申报出境的个人信息里均不得含有被相关部门、地区告知或者公开发布为重要数据的个人信息；而且可豁免的只是申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证等法定程序，但《个人信息保护法》所规定的告知并获得个人信息主体单独同意等法定责任仍需依法落实。

解读三：《跨境规定》与以往规定有哪些变化

《跨境规定》第十三条规定了“2022年7月7日公布的《数据出境安全评估办法》（国家互联网信息办公室令第11号）、2023年2月22日公布的《个人信息出境标准合同办法》（国家互联网信息办公室令第13号）等相关规定与本规定不一致的，适用本规定”。本文归纳有以下几处略有调整：

第一是新增了CIIO向境外提供重要数据需要申报数据出境安全评估的规定

《数据出境安全评估办法》在第四条列举了需要通过所在地省级网信部门向国家网信部门申报数据出境安全评估的四种情形，其中涉及CIIO的只有向境外提供个人信息的情形，给人感觉CIIO向境外提供重要数据几乎属于禁止之列；而《跨境规定》在第七条第（一）项里则补齐了“关键信息基础设施运营者向境外提供重要数据”这一之前未提及之情形。

第二是对数据出境安全评估的有效期进行了调整

《数据出境安全评估办法》第十四条对通过数据出境安全评估的结果有效期规定为“2年”；而《跨境规定》在第九条将上述评估有效期和延长期均调整为“3年”。

第三是对个人信息法定限额的计算时点和限额数量均有调整

《数据出境安全评估办法》第四条对需要申报数据出境安全评估的个人信息法定限额及起算时点规定的是“自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息”；而《跨境规定》在第七条第（二）项里则对此调整为“自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息）或者1万人以上敏感个人信息”。

第四是对个人信息出境标准合同的适用条件进行了更新

《个人信息出境标准合同办法》第四条对适用情形所规定的时间起算点均为“自上年1月1日起”；而《跨境规定》在第八条则将其更新为“自当年1月1日起”，并将法定限额由“累计向境外提供个人信息不满10万人”更新为“累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）”。

解读四：个人信息出境如何适用不同程序

根据《跨境规定》的规定，结合国家互联网信息办公室有关负责人就《跨境规定》相关问题答记者问一文的内容，可将不同数量的个人信息在出境时可适用的不同程序概括如下：

1. 非CIIO自当年1月1日起累计向境外提供不满10万人个人信息且不含敏感个人信息的，可自由出境而无需申报；

2. 非CIIO自当年1月1日起累计向境外提供超过10万人且不满100万人个人信息（不含敏感个人信息）或者提供不满1万人敏感个人信息的，数据处理者可在个人信息出境标准合同和个人信息保护认证中二选一；

3. CIIO及其他数据处理者向境外提供重要数据的，或自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息）或提供1万人以上敏感个人信息的，应当申报数据出境安全评估。

解读五：数据出境该如何定义

网信办在同日发布的《数据出境安全评估申报指南（第二版）》里对于数据出境的表现形式也进行了更新，规定以下行为均属于数据出境：

“（一）数据处理者将在境内运营中收集和产生的数据传输至境外；

（二）数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；

（三）符合《个人信息保护法》第三条第二款情形，在境外处理境内自然人个人信息等其他数据处理活动。”

其中第（三）项属于新增条款，是对《个保法》第三条第二款的首次确认。

解读六：重要数据和CIIO该如何认定

我国《数据安全法》对重要数据进行了规定；《网络安全法》《关键信息基础设施安全保护条例》对关键信息基础设施及其运营者（CIIO）也进行了规定。但对于两者该如何认定，根据国家互联网信息办公室有关负责人就《跨境规定》相关问题答记者问一文的内容，可理解为以政府的认定和通知为准，没有收到通知的就不是重要数据或不是CIIO，不用自行猜测。

本次《跨境规定》的出台明确放宽了数据跨境流动的基本条件、有效降低了企业合规的运行成本、同时也充分释放了数据要素的价值，为我国数字经济高质量发展提供了有力的法律保障。

作者简介

邓勇
道可特律师事务所高级合伙人

业务领域：知识产权、反不正当竞争、数据合规、信息安全、电子商务

邮箱：dengyong@dtlawyers.com.cn