德勤解读《促进和规范数据跨境流动规定》

在全球经济的数字化大潮中，数据的跨境流动至关重要——承载信息，加速创新；但为了确保国家安全、社会稳定，保护公众利益及促进国内的经济发展，众多国家地区都在探索通过立法来恰当地限制数据的跨境流动。2017年全球有35个国家制定了数据本地化及跨境控制的要求，2023年已经有62个国家地区实施了此类限制，包括一直基于其长臂管辖能力鼓励数据自由流动的美国最近也发布了14117号行政令以限制敏感信息的跨境流动。

中国政府自网络安全法、数字安全法和个人信息保护法生效以来，通过各种法规和细则的试行，不断探索和实践在数据跨境领域的管控模式。在今年“两会”之后，中国发展高层论坛之前，中国政府出台了数据跨境管控的新规——《促进和规范数据跨境流动规定》。这是基于过去一年数据跨境管控的实际推行效果，结合各方的反馈意见，并落实国家推进高水平对外开放的方针政策，在去年《规范和促进数据跨境流动规定（征求意见稿）》基础上与时俱进的新举措。

新规重点解读

首先，从新规的名字由“规范与促进”改成了“促进与规范”就能看出国家对于跨境数据管理持开放积极的态度。

正式豁免了境外数据入境再出境、个人作为一方的国际合同、跨境人事管理、紧急救助4个场景，这消除了对各种常规国际事务中个人信息跨境的阻碍，方便跨国公司进行全球统一人事管理。

对于个人信息（非敏感个人信息），对比之前生效的法规和征求意见稿，新规进一步放宽了限制，每年10万人以下个人信息（不包含敏感个人信息）跨境也被豁免了（征求意见稿是1万人以下）。这极大减轻了不用处理大量个人信息的企业的负担。

对于敏感个人信息，与国际上加大保护的趋势一致。新规除了正式豁免的4个场景以外，没有数量上的豁免，这与原来生效的法规一致，而原征求意见稿的豁免数量是少于1万。在放开对非敏感个人信息控制的同时，保持对敏感个人信息的要求，是符合国际惯例的，也符合个人信息保护法要求谨慎收集处理敏感个人信息的精神。

对于重要数据，国家已经正式出台了《数据分类分级要求》，其中附录G明确了重要数据识别指南，各行业主管和地方政府也在陆续出台或更新本行业本地区的重要数据目录，对于已经有了重要数据目录的行业和地区，企业就必须按照新规第二条进行识别和申报了。

然后，新规正式赋予了各自贸区政府先试先行的权利，通过设立可及时调整更新的负面清单，为区内企业创造更加便利的数据跨境管理环境。

同时，更新的数据出境安全评估申报指南（第二版）和个人信息出境标准合同备案指南（第二版）都简化了申报和备案需要提交的资料，并提供了数据出境申报系统 (https://sjcj.cac.gov.cn)，除关键信息基础设施的运营者（CIIO）及其他不适合使用数据出境申报系统的企业都可以通过线上申报或备案，提供了更便利的申报和备案环境。

综上所述，新规在守住重要数据和敏感个人信息底线的前提下，大大放宽了对非敏感个人信息跨境的管控，豁免了很多常见国际事务场景中的个人信息跨境传输，符合国家推进高水平对外开放、更大力度吸引和利用外资的精神。

最后，为了便于理解新规，将其从个人信息、敏感个人信息和重要数据3个角度进行了总结，方便读者根据自己企业的类型、数据类型及数量找到对应需要的合规途径。

附：《促进和规范数据跨境流动规定》（全文）

国家互联网+信息办公室令

第16号

《促进和规范数据跨境流动规定》已经2023年11月28日国家互联网+信息办公室2023年第26次室务会议审议通过，现予公布，自公布之日起施行。

国家互联网信息办公室主任　庄荣文

2024年3月22日

第一条 为了保障数据安全，保护个人信息权益，促进数据依法有序自由流动，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规，对于数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的施行，制定本规定。

第二条 数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。

第三条 国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供，不包含个人信息或者重要数据的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

第四条 数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供，处理过程中没有引入境内个人信息或者重要数据的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

第五条 数据处理者向境外提供个人信息，符合下列条件之一的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证：

（一）为订立、履行个人作为一方当事人的合同，如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等，确需向境外提供个人信息的；

（二）按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的；

（三）紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息的；

（四）关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）的。

前款所称向境外提供的个人信息，不包括重要数据。

第六条 自由贸易试验区在国家数据分类分级保护制度框架下，可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（以下简称负面清单），经省级网络安全和信息化委员会批准后，报国家网信部门、国家数据管理部门备案。

自由贸易试验区内数据处理者向境外提供负面清单外的数据，可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

第七条 数据处理者向境外提供数据，符合下列条件之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：

（一）关键信息基础设施运营者向境外提供个人信息或者重要数据；

（二）关键信息基础设施运营者以外的数据处理者向境外提供重要数据，或者自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息）或者1万人以上敏感个人信息。

属于本规定第三条、第四条、第五条、第六条规定情形的，从其规定。

第八条 关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息的，应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。

属于本规定第三条、第四条、第五条、第六条规定情形的，从其规定。

第九条 通过数据出境安全评估的结果有效期为3年，自评估结果出具之日起计算。有效期届满，需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的，数据处理者可以在有效期届满前60个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请。经国家网信部门批准，可以延长评估结果有效期3年。

第十条 数据处理者向境外提供个人信息的，应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。

第十一条 数据处理者向境外提供数据的，应当遵守法律、法规的规定，履行数据安全保护义务，采取技术措施和其他必要措施，保障数据出境安全。发生或者可能发生数据安全事件的，应当采取补救措施，及时向省级以上网信部门和其他有关主管部门报告。

第十二条 各地网信部门应当加强对数据处理者数据出境活动的指导监督，健全完善数据出境安全评估制度，优化评估流程；强化事前事中事后全链条全领域监管，发现数据出境活动存在较大风险或者发生数据安全事件的，要求数据处理者进行整改，消除隐患；对拒不改正或者造成严重后果的，依法追究法律责任。

第十三条 2022年7月7日公布的《数据出境安全评估办法》（国家互联网信息办公室令第11号）、2023年2月22日公布的《个人信息出境标准合同办法》（国家互联网信息办公室令第13号）等相关规定与本规定不一致的，适用本规定。

第十四条 本规定自公布之日起施行。