前 言
距离国家网信办于2023年9月28日发布《规范和促进数据跨境流动规定(征求意见稿)》(以下简称“《征求意见稿》”)时隔近半年,2024年3月22日,国家互联网信息办公室(以下简称“国家网信办”)终于正式发布了《促进和规范数据跨境流动规定》(以下简称“《数据跨境流动规定》”)以及相配套的《数据出境安全评估申报指南(第二版)》(以下简称“《申报指南》第二版”)和《个人信息出境标准合同备案指南(第二版)》(以下简称“《备案指南》第二版”)。
与《征求意见稿》的内容相比,本次正式发布的《数据跨境流动规定》并未做方向性的根本调整,但是从标题开始突出了“促进”在前的整体思路,在豁免数据出境手续的场景、出境路径的适用条件等方面,进行了一定的内容细化、补充与明确,由此我国数据出境规则和监管方式将迎来新局面。结合对《数据跨境流动规定》内容的评析,本团队对现行与下一步数据出境规则进行了梳理和分析,以期为广大企业提供帮助,更好地理解新规出台后的数据出境路径和注意点。
一、数据出境路径现状及实施状况
1. 现行的数据出境路径
在《中华人民共和国数据安全法》(以下简称“《数据安全法》”)、《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)及《中华人民共和国网络安全法》三部顶层立法对重要数据和个人信息两类主要数据出境监管对象的出境,及关键信息基础设施运营者(以下简称“CIIO”)的数据出境行为确立了“合法性基础+合法路径”的基本规则后,《数据出境安全评估办法》《个人信息保护认证实施规则》《个人信息出境标准合同办法》等具体监管规则的出台进一步全面、完善了我国数据出境合法路径的制度和实施要求。即在针对重要数据和个人信息的出境活动,应当在具备合法性基础的同时,遵循并履行必要的合法路径的要求。新规出台前,我国的数据出境合法路径包括“国家网信部门组织的安全评估”(以下简称“安全评估”)、“专业机构进行个人信息保护认证”(以下简称“保护认证”)、“按照国家网信部门制定的标准合同与境外接收方订立合同”(以下简称“标准合同”)的三种方式,其中重要数据的出境和CIIO进行的数据出境均需通过“国家网信部门组织的安全评估”方可进行,个人信息则可根据具体情况选择三种路径之一合法出境。就前述三种出境路径,本团队已在《条条大路通罗马?——数据出境新规解析及实务建议》《小荷才露尖尖角——从<个人信息保护认证实施规则>看个人信息保护认证制度的落地与实施》《个人信息出境新规解析:<个人信息出境标准合同办法>》等过往文章中进行过探讨和分析,此处不再赘述。
2. 现行出境路径的实施状况
从三种路径的具体实践情况看,安全评估、标准合同以及保护认证三种路径均已在实践层面不同程度的开展。由于出境路径的实施并非法定公开的事项,已公开披露的内容也存在鱼龙混杂等情况。但是,为了方便了解基本情况,我们仅以各地网信部门已经公开且可公开查询的内容为基础,进行以下图表中的汇总[1]。
仅根据各地区发布的公开消息,可查询的安全评估获批企业仅30余家,通过标准合同备案的企业为11家。保护认证方面,有5家企业首批获颁中国网络安全审查技术与认证中心颁发证书的企业,其中,首张证书(证书编号CCRC-PIP-0001)的项目还获得了澳门特别行政区政府个人资料保护办公室颁发的“个人资料跨境转移许可”。但根据目前确认到的信息,首批颁发的证书中并不涉及跨境处理活动认证。在数据跨境流动方面,保护认证方式将如何落地还有待进一步观察。

图 数据出境三种路径实践情况
二、《数据跨境流动规定》的内容及解读
《数据跨境流动规定》为部门规章,共十四条,与《征求意见稿》相比,增加三条,涉及重要数据申报等内容。整体上,正式发布的版本维持了《征求意见稿》中的架构,明确了其与《数据出境安全评估办法》《个人信息保护认证实施规则》《个人信息出境标准合同办法》等在先法规之间的适用关系,即在先法规与《数据跨境流动规定》不一致的,应当适用后者。
1. 数据出境管理对象范围
在《数据跨境流动规定》出台前,根据《数据安全法》和《个人信息保护法》的规定,重要数据和个人信息两类数据明确需要通过三种出境路径手续方可出境,对于其他类型的数据出境路径手续并未明确。本次《数据跨境流动规定》第3条沿用了《征求意见稿》中的表述,明确了数据跨境管理的对象范围,凡不涉及重要数据、个人信息的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
此外,对于出境行为的认定,《申报指南》第二版和《备案指南》第二版明确规定“符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他个人信息处理活动”属于出境行为,相较第一版中“国家网信办规定的其他个人信息出境行为”更加明确。但总的来说,同此前一样,无论是境内处理者将数据传输到境外,还是境外的组织、个人可以访问、存储、使用等方式处理在境内的数据都属于数据出境行为。
2. 重要数据的出境
新规下,重要数据的出境仍然必须适用安全评估的路径,而且不受场景或数量的影响。但是,虽然与《征求意见稿》相比,《数据跨境流动规定》第2条中增加了“数据处理者应当按照相关规定识别、申报重要数据”的表述,强调了数据处理者识别、申报重要数据的义务要求。《数据跨境流动规定》最终仍然保留了《征求意见稿》中“未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估”的表述,在行业、地区重要数据目录尚不明确的现状下,很大程度降低了企业的困境和合规风险。
3. 个人信息的出境
我们认为本次发布的《数据跨境流动规定》可以理解为是依据《个人信息保护法》第三十八条[2]第一款第(四)项的规定,以国家网信部门规定的形式确立了可以豁免前文中所述三条合法路径之外的补充性合法路径的具体适用条件。具体包括:
(1)特定出境场景下的豁免路径

另外,我们理解满足场景豁免的情况下,将无需考虑以下数据量级判断出境路径的问题。
(2)特定数据处理数量的豁免路径

结合同日发布的国家网信办答记者问的内容,在量级豁免的情况下,出境个人信息涉及人数的计算周期为“当年1月1日起累计至申报数据出境安全评估之日,数量以自然人为单位去重后的统计结果为准”。
特别需要注意的是,与《征求意见稿》相比,最终的《数据跨境流动规定》恢复了关于敏感个人信息的规定,并未在量级层面改变敏感个人信息的出境路径选择规则,适用量级豁免的前提是出境个人信息中不包含敏感个人信息。只要拟出境个人信息中涉及敏感个人信息,除非符合场景豁免的情形,至少需要采用标准合同或保护认证的路径。
4. 自贸区出境数据负面清单的豁免
本次《数据跨境流动规定》中的一大亮点为增设了自贸区出境数据负面清单机制。《数据跨境流动规定》第6条规定,自贸区可结合自身情况划出需要纳入安全评估、标准合同、保护认证管理范围的数据清单作为负面清单。自贸区内的企业出境负面清单之外的数据可以豁免三种路径下的手续,直接出境。
我们观察到粤港澳大湾区以及上海临港自贸区都于此前陆续推出了促进和便利数据流动的有关规定,特定区域内数据流动的新尝试有望不断扩大。
5.监管方式的转变
《数据跨境流动规定》第12条规定,各地网信部门应当“强化事前事中事后全链条全领域监管”。该条规定表明就数据出境管理而言,监管部门由之前的侧重于事前监管,正逐步向全链条监管过渡,这也进一步说明了企业需要对自身拟出境数据的性质进行准确判断,并提升企业自身的数据合规水平。
三、新规下对数据出境实务的影响及建议
1. 数据分级分类工作
虽然《数据跨境流动规定》降低了企业在数据出境环节,申报重要数据出境安全评估的难度。但是,《数据跨境流动规定》仍然强调了数据处理者应当按照有关规定识别、申报重要数据的义务,考虑到数据分级分类工作仍是数据合规的基础、入口问题,企业仍然有必要建立和完善数据分级分类制度,并按照行业、地区主管部门逐步推出的识别标准和要求等,落实重要数据的识别和管理工作。2024年3月21日,《数据安全技术数据分类分级规则》(GB/T 43697-2024)出台,为数据分级分类工作提供了最新依据。特别是根据标准及其附录,对于所处行业、业务及符合重要数据识别因素可能性较大的企业仍然建议主动与主管部门进行确认和沟通,尽快落实重要数据的识别工作。
2.《数据跨境流动规定》发布后的数据出境工作流程建议
随着《数据跨境流动规定》的正式发布,数据出境的合规工作流程也随之发生了变化。结合新规的要求以及实践经验,企业在数据出境时可以参考以下的路径选择流程:

图 企业数据出境路径的选择流程
对于上述新规出台后的出境路径选择流程,建议企业重点关注自身的数据出境场景能否适用场景豁免,确认内部相关制度等是否符合法律法规对适用豁免场景的描述及条件。同时注意结合《信息安全技术个人信息安全规范》(GB/T 35273-2020)等内容,在日常工作中开展对敏感个人信息的识别和梳理工作,以选择适当的出境路径。
3. 建议与提示
如前所述,《数据跨境流动规定》带来的监管态势变化对企业自身的个人信息保护合规工作提出了强化要求,个人信息保护合规义务的履行可能是未来数据出境监管中的重点考察内容。就此情况,我们建议企业注意以下方面:
(1)个人信息出境手续放宽并不豁免企业在出境场景下取得合法性依据的义务
新规下要特别注意豁免路径与豁免合法性基础的区别。简单而言,豁免路径仅是豁免在相关主管部门的前置手续要求,而并未豁免《个人信息保护法》规定的处理个人信息需要取得合法性基础的义务。这一点在《数据跨境流动规定》第10条再次进行了明确和强调[3]。因此,企业在开展数据出境业务之前,应当评估出境场景适用何种个人信息处理合法性基础。在此基础上,确保自身符合《个人信息保护法》关于适用各类不同合法性基础的相关要求。
(2)个人信息出境手续放宽并不豁免企业进行个人信息保护影响评估的义务
同样,个人信息出境前仍需进行个人信息保护影响评估,是《个人信息保护法》第55条规定的法定义务,《数据跨境流动规定》第10条同样强调了该项法定义务。企业在自行评估或者委托第三方专业机构进行个人信息保护影响评估时,需要严格按照相关法律法规中的评估内容和流程要求,结合企业的具体业务场景,开展综合性的评估工作。
(3)豁免个人信息出境路径的情形下依然需要与境外接收方约定相关权利义务
《个人信息保护法》第38条规定了出境个人信息的个人信息处理者“应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准”。结合《数据跨境流动规定》第11条[4],应当理解为企业即便在新规出台后可以通过场景豁免或量级豁免免除在监管部门处进行申报或备案的手续,无需签订由网信部门发布的标准合同,企业依然应当与境外接收方通过签订协议、备忘录等形式,保证境外接收方知晓并承诺满足“个人信息保护标准”。
(4)个人信息保护合规审计工作的重要性进一步增加
如前所述,新规出台后,监管方式由之前的事前监管向全链条监管过渡,可以预见在适当放宽部分前置监管要求的同时,监管部门有可能会对出境企业是否履行了作为个人信息处理者的法定义务进行更加严格的事中事后的检查或执法活动。2023年8月3日,国家网信办发布了《个人信息保护合规审计管理办法(征求意见稿)》,内容涵盖个人信息保护合规审计工作的流程、对象和评估标准。这既是对《个人信息保护法》第54条[5]规定合规审计制度和法定义务的实际实施细则的落实,也是监管部门落实事中事后监管的有效抓手。
四、结语
《数据跨境流动规定》与《征求意见稿》相比,将题目中“促进”置于“规范”之前,体现了主管部门促进数据有序流动的意图和决心。正式稿中的规定回应了之前数据出境法律监管中的一些模糊问题,不仅为数据出境相关制度在具体运用上提供了明确的指导,也为保护个人隐私、维护国家安全和促进数据经济发展搭建了坚实的桥梁。随着当今互联网技术的不断演进和全球数据流动的日益增长,我们必须确保数据跨境流动的合法性、安全性和可持续性。数据跨境流动将为各行各业带来更多机遇与发展,推动数字经济的蓬勃发展,《数据跨境流动规定》在一定程度上为企业数据出境减轻了合规成本、提供了更多的灵活性,配套指南第二版的发布也一定程度简化了评估报告等的内容和要求,但是在数据类别的识别、合法正当必要原则符合性等的认定、对应识别的风险所应当采取的安全措施等实践问题上,也对企业数据出境合规的专业性提出了新的挑战,企业需在对相关政策走向进行持续关注的同时,履行数据出境合规要求,保护相关主体权益的同时,降低自身的合规风险。
注释
[1] 据我们了解,至少实际通过安全评估的企业的数量大大超过以下公开内容的统计。
[2] 《个人信息保护法》第38条第1款:个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(四)法律、行政法规或者国家网信部门规定的其他条件。
[3] 《促进和规范数据跨境流动规定》第10条:数据处理者向境外提供个人信息的,应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。
[4] 《促进和规范数据跨境流动规定》第11条:数据处理者向境外提供数据的,应当遵守法律、法规的规定,履行数据安全保护义务,采取技术措施和其他必要措施,保障数据出境安全。发生或者可能发生数据安全事件的,应当采取补救措施,及时向省级以上网信部门和其他有关主管部门报告。
[5] 《个人信息保护法》第54条:个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
距离国家网信办于2023年9月28日发布《规范和促进数据跨境流动规定(征求意见稿)》(以下简称“《征求意见稿》”)时隔近半年,2024年3月22日,国家互联网信息办公室(以下简称“国家网信办”)终于正式发布了《促进和规范数据跨境流动规定》(以下简称“《数据跨境流动规定》”)以及相配套的《数据出境安全评估申报指南(第二版)》(以下简称“《申报指南》第二版”)和《个人信息出境标准合同备案指南(第二版)》(以下简称“《备案指南》第二版”)。
与《征求意见稿》的内容相比,本次正式发布的《数据跨境流动规定》并未做方向性的根本调整,但是从标题开始突出了“促进”在前的整体思路,在豁免数据出境手续的场景、出境路径的适用条件等方面,进行了一定的内容细化、补充与明确,由此我国数据出境规则和监管方式将迎来新局面。结合对《数据跨境流动规定》内容的评析,本团队对现行与下一步数据出境规则进行了梳理和分析,以期为广大企业提供帮助,更好地理解新规出台后的数据出境路径和注意点。
一、数据出境路径现状及实施状况
1. 现行的数据出境路径
在《中华人民共和国数据安全法》(以下简称“《数据安全法》”)、《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)及《中华人民共和国网络安全法》三部顶层立法对重要数据和个人信息两类主要数据出境监管对象的出境,及关键信息基础设施运营者(以下简称“CIIO”)的数据出境行为确立了“合法性基础+合法路径”的基本规则后,《数据出境安全评估办法》《个人信息保护认证实施规则》《个人信息出境标准合同办法》等具体监管规则的出台进一步全面、完善了我国数据出境合法路径的制度和实施要求。即在针对重要数据和个人信息的出境活动,应当在具备合法性基础的同时,遵循并履行必要的合法路径的要求。新规出台前,我国的数据出境合法路径包括“国家网信部门组织的安全评估”(以下简称“安全评估”)、“专业机构进行个人信息保护认证”(以下简称“保护认证”)、“按照国家网信部门制定的标准合同与境外接收方订立合同”(以下简称“标准合同”)的三种方式,其中重要数据的出境和CIIO进行的数据出境均需通过“国家网信部门组织的安全评估”方可进行,个人信息则可根据具体情况选择三种路径之一合法出境。就前述三种出境路径,本团队已在《条条大路通罗马?——数据出境新规解析及实务建议》《小荷才露尖尖角——从<个人信息保护认证实施规则>看个人信息保护认证制度的落地与实施》《个人信息出境新规解析:<个人信息出境标准合同办法>》等过往文章中进行过探讨和分析,此处不再赘述。
2. 现行出境路径的实施状况
从三种路径的具体实践情况看,安全评估、标准合同以及保护认证三种路径均已在实践层面不同程度的开展。由于出境路径的实施并非法定公开的事项,已公开披露的内容也存在鱼龙混杂等情况。但是,为了方便了解基本情况,我们仅以各地网信部门已经公开且可公开查询的内容为基础,进行以下图表中的汇总[1]。
仅根据各地区发布的公开消息,可查询的安全评估获批企业仅30余家,通过标准合同备案的企业为11家。保护认证方面,有5家企业首批获颁中国网络安全审查技术与认证中心颁发证书的企业,其中,首张证书(证书编号CCRC-PIP-0001)的项目还获得了澳门特别行政区政府个人资料保护办公室颁发的“个人资料跨境转移许可”。但根据目前确认到的信息,首批颁发的证书中并不涉及跨境处理活动认证。在数据跨境流动方面,保护认证方式将如何落地还有待进一步观察。

图 数据出境三种路径实践情况
二、《数据跨境流动规定》的内容及解读
《数据跨境流动规定》为部门规章,共十四条,与《征求意见稿》相比,增加三条,涉及重要数据申报等内容。整体上,正式发布的版本维持了《征求意见稿》中的架构,明确了其与《数据出境安全评估办法》《个人信息保护认证实施规则》《个人信息出境标准合同办法》等在先法规之间的适用关系,即在先法规与《数据跨境流动规定》不一致的,应当适用后者。
1. 数据出境管理对象范围
在《数据跨境流动规定》出台前,根据《数据安全法》和《个人信息保护法》的规定,重要数据和个人信息两类数据明确需要通过三种出境路径手续方可出境,对于其他类型的数据出境路径手续并未明确。本次《数据跨境流动规定》第3条沿用了《征求意见稿》中的表述,明确了数据跨境管理的对象范围,凡不涉及重要数据、个人信息的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
此外,对于出境行为的认定,《申报指南》第二版和《备案指南》第二版明确规定“符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他个人信息处理活动”属于出境行为,相较第一版中“国家网信办规定的其他个人信息出境行为”更加明确。但总的来说,同此前一样,无论是境内处理者将数据传输到境外,还是境外的组织、个人可以访问、存储、使用等方式处理在境内的数据都属于数据出境行为。
2. 重要数据的出境
新规下,重要数据的出境仍然必须适用安全评估的路径,而且不受场景或数量的影响。但是,虽然与《征求意见稿》相比,《数据跨境流动规定》第2条中增加了“数据处理者应当按照相关规定识别、申报重要数据”的表述,强调了数据处理者识别、申报重要数据的义务要求。《数据跨境流动规定》最终仍然保留了《征求意见稿》中“未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估”的表述,在行业、地区重要数据目录尚不明确的现状下,很大程度降低了企业的困境和合规风险。
3. 个人信息的出境
我们认为本次发布的《数据跨境流动规定》可以理解为是依据《个人信息保护法》第三十八条[2]第一款第(四)项的规定,以国家网信部门规定的形式确立了可以豁免前文中所述三条合法路径之外的补充性合法路径的具体适用条件。具体包括:
(1)特定出境场景下的豁免路径

另外,我们理解满足场景豁免的情况下,将无需考虑以下数据量级判断出境路径的问题。
(2)特定数据处理数量的豁免路径

结合同日发布的国家网信办答记者问的内容,在量级豁免的情况下,出境个人信息涉及人数的计算周期为“当年1月1日起累计至申报数据出境安全评估之日,数量以自然人为单位去重后的统计结果为准”。
特别需要注意的是,与《征求意见稿》相比,最终的《数据跨境流动规定》恢复了关于敏感个人信息的规定,并未在量级层面改变敏感个人信息的出境路径选择规则,适用量级豁免的前提是出境个人信息中不包含敏感个人信息。只要拟出境个人信息中涉及敏感个人信息,除非符合场景豁免的情形,至少需要采用标准合同或保护认证的路径。
4. 自贸区出境数据负面清单的豁免
本次《数据跨境流动规定》中的一大亮点为增设了自贸区出境数据负面清单机制。《数据跨境流动规定》第6条规定,自贸区可结合自身情况划出需要纳入安全评估、标准合同、保护认证管理范围的数据清单作为负面清单。自贸区内的企业出境负面清单之外的数据可以豁免三种路径下的手续,直接出境。
我们观察到粤港澳大湾区以及上海临港自贸区都于此前陆续推出了促进和便利数据流动的有关规定,特定区域内数据流动的新尝试有望不断扩大。
5.监管方式的转变
《数据跨境流动规定》第12条规定,各地网信部门应当“强化事前事中事后全链条全领域监管”。该条规定表明就数据出境管理而言,监管部门由之前的侧重于事前监管,正逐步向全链条监管过渡,这也进一步说明了企业需要对自身拟出境数据的性质进行准确判断,并提升企业自身的数据合规水平。
三、新规下对数据出境实务的影响及建议
1. 数据分级分类工作
虽然《数据跨境流动规定》降低了企业在数据出境环节,申报重要数据出境安全评估的难度。但是,《数据跨境流动规定》仍然强调了数据处理者应当按照有关规定识别、申报重要数据的义务,考虑到数据分级分类工作仍是数据合规的基础、入口问题,企业仍然有必要建立和完善数据分级分类制度,并按照行业、地区主管部门逐步推出的识别标准和要求等,落实重要数据的识别和管理工作。2024年3月21日,《数据安全技术数据分类分级规则》(GB/T 43697-2024)出台,为数据分级分类工作提供了最新依据。特别是根据标准及其附录,对于所处行业、业务及符合重要数据识别因素可能性较大的企业仍然建议主动与主管部门进行确认和沟通,尽快落实重要数据的识别工作。
2.《数据跨境流动规定》发布后的数据出境工作流程建议
随着《数据跨境流动规定》的正式发布,数据出境的合规工作流程也随之发生了变化。结合新规的要求以及实践经验,企业在数据出境时可以参考以下的路径选择流程:

图 企业数据出境路径的选择流程
对于上述新规出台后的出境路径选择流程,建议企业重点关注自身的数据出境场景能否适用场景豁免,确认内部相关制度等是否符合法律法规对适用豁免场景的描述及条件。同时注意结合《信息安全技术个人信息安全规范》(GB/T 35273-2020)等内容,在日常工作中开展对敏感个人信息的识别和梳理工作,以选择适当的出境路径。
3. 建议与提示
如前所述,《数据跨境流动规定》带来的监管态势变化对企业自身的个人信息保护合规工作提出了强化要求,个人信息保护合规义务的履行可能是未来数据出境监管中的重点考察内容。就此情况,我们建议企业注意以下方面:
(1)个人信息出境手续放宽并不豁免企业在出境场景下取得合法性依据的义务
新规下要特别注意豁免路径与豁免合法性基础的区别。简单而言,豁免路径仅是豁免在相关主管部门的前置手续要求,而并未豁免《个人信息保护法》规定的处理个人信息需要取得合法性基础的义务。这一点在《数据跨境流动规定》第10条再次进行了明确和强调[3]。因此,企业在开展数据出境业务之前,应当评估出境场景适用何种个人信息处理合法性基础。在此基础上,确保自身符合《个人信息保护法》关于适用各类不同合法性基础的相关要求。
(2)个人信息出境手续放宽并不豁免企业进行个人信息保护影响评估的义务
同样,个人信息出境前仍需进行个人信息保护影响评估,是《个人信息保护法》第55条规定的法定义务,《数据跨境流动规定》第10条同样强调了该项法定义务。企业在自行评估或者委托第三方专业机构进行个人信息保护影响评估时,需要严格按照相关法律法规中的评估内容和流程要求,结合企业的具体业务场景,开展综合性的评估工作。
(3)豁免个人信息出境路径的情形下依然需要与境外接收方约定相关权利义务
《个人信息保护法》第38条规定了出境个人信息的个人信息处理者“应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准”。结合《数据跨境流动规定》第11条[4],应当理解为企业即便在新规出台后可以通过场景豁免或量级豁免免除在监管部门处进行申报或备案的手续,无需签订由网信部门发布的标准合同,企业依然应当与境外接收方通过签订协议、备忘录等形式,保证境外接收方知晓并承诺满足“个人信息保护标准”。
(4)个人信息保护合规审计工作的重要性进一步增加
如前所述,新规出台后,监管方式由之前的事前监管向全链条监管过渡,可以预见在适当放宽部分前置监管要求的同时,监管部门有可能会对出境企业是否履行了作为个人信息处理者的法定义务进行更加严格的事中事后的检查或执法活动。2023年8月3日,国家网信办发布了《个人信息保护合规审计管理办法(征求意见稿)》,内容涵盖个人信息保护合规审计工作的流程、对象和评估标准。这既是对《个人信息保护法》第54条[5]规定合规审计制度和法定义务的实际实施细则的落实,也是监管部门落实事中事后监管的有效抓手。
四、结语
《数据跨境流动规定》与《征求意见稿》相比,将题目中“促进”置于“规范”之前,体现了主管部门促进数据有序流动的意图和决心。正式稿中的规定回应了之前数据出境法律监管中的一些模糊问题,不仅为数据出境相关制度在具体运用上提供了明确的指导,也为保护个人隐私、维护国家安全和促进数据经济发展搭建了坚实的桥梁。随着当今互联网技术的不断演进和全球数据流动的日益增长,我们必须确保数据跨境流动的合法性、安全性和可持续性。数据跨境流动将为各行各业带来更多机遇与发展,推动数字经济的蓬勃发展,《数据跨境流动规定》在一定程度上为企业数据出境减轻了合规成本、提供了更多的灵活性,配套指南第二版的发布也一定程度简化了评估报告等的内容和要求,但是在数据类别的识别、合法正当必要原则符合性等的认定、对应识别的风险所应当采取的安全措施等实践问题上,也对企业数据出境合规的专业性提出了新的挑战,企业需在对相关政策走向进行持续关注的同时,履行数据出境合规要求,保护相关主体权益的同时,降低自身的合规风险。
注释
[1] 据我们了解,至少实际通过安全评估的企业的数量大大超过以下公开内容的统计。
[2] 《个人信息保护法》第38条第1款:个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(四)法律、行政法规或者国家网信部门规定的其他条件。
[3] 《促进和规范数据跨境流动规定》第10条:数据处理者向境外提供个人信息的,应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。
[4] 《促进和规范数据跨境流动规定》第11条:数据处理者向境外提供数据的,应当遵守法律、法规的规定,履行数据安全保护义务,采取技术措施和其他必要措施,保障数据出境安全。发生或者可能发生数据安全事件的,应当采取补救措施,及时向省级以上网信部门和其他有关主管部门报告。
[5] 《个人信息保护法》第54条:个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
