本文系根据作者在2024年3月27日中英资本市场工作组第八次会议上主旨演讲内容中的数据跨境部分整理,数据出境的三种路径系新增。
2024年3月22日,国家网信办在2023年9月28日开始征求意见稿半年后,发布了《促进和规范数据跨境流动规定》(以下称“新规”)。新规对个人信息跨境流动的监管做了大量豁免,极大地减轻了相关企业的合规成本。相较于此前已经出台的《个人信息出境标准合同办法》和《数据出境安全评估办法》,整体呈放宽趋势,对数据跨境的各类具体场景提供了较为明确的指引,具体如下:明确未被相关部门、地区告知或者公开发布为重要数据的,不需要作为重要数据申报数据出境安全评估 ;明确免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件;放宽了申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件;提出自由贸易试验区负面清单制度;优化了申报程序规定,延长数据出境安全评估结果有效期。鉴于就数据出境新规已经有较多解读,本文主要就金融领域的数据出境尚存在的问题做一个简要分析。
一、新规后金融机构数据出境路径图示与思维导图


(注:绿色为无前置评估/无需受到跨境监管;橙色为需进行个人信息保护认证或标准合同备案;蓝色为需经安全评估)
二、新规后金融机构数据出境依然存在的难点问题
毋庸置疑,在新规后,金融领域之前在数据出境问题上遇到的难题多数已经解决,现实意义巨大。但是依然存在一些问题,有些问题与其他行业有共性,有些问题则是个性化。
(一)金融机构数据出境共性化的遗留问题
1.敏感个人信息的判断标准有待明确。根据新规第八条,关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。即除豁免场景外,敏感个人信息出境即使一条,也要通过标准合同或个人信息保护认证方式,而个人敏感信息的范围根据35273国标很大,如下表所示:
2.重要数据的范围问题。新规第二条规定,数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。但是目前大多数行业的重要数据目录尚未公布,包括银行和证券行业。实践中,在金融行业,虽然金融机构未被告知重要数据目录,理论上可以将数据作为一般数据出境,但是由于金融数据的敏感性,显然不可能如此操作,同时金融行业监管基于业务监管角度也有单独的视角和口径,导致实操中金融机构对何种数据可以出境依然问题很多。2024年3月15日国标委批准发布的国家标准GB/T 43697-2024《数据安全技术数据分类分级规则》,原《重要数据识别指南》为现标准的附录G。建议金融监管机构尽快制定和公布重要数据目录,同时鉴于可操作性是目前被诟病较多的问题,未来各部门的重要数据识别规范应当是尽可能详细的,不能过于原则。
3.关键信息基础设施的问题。对于外资金融机构,目前笔者理解应达不到被认定为关键信息基础设施的标准,故外资金融机构主要的问题还是在于以下的个性化问题;而对于内资金融机构,绝大多数的数据出境问题已经被解决,反而是一些规模较大的银行、证券公司被认定为关键信息基础设施,需要按照《数据安全法》《网络安全法》《个人信息保护法》等的规定履行数据出境合规义务,这对此类金融机构具有很大的影响。
法规名称 | 法律规定 |
《数据安全法》 | 第三十一条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定。 |
第三十七条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。 | |
《个人信息保护法》 | 第四十条关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。 |
4.各地自由贸易试验区数据的负面清单的制定有待斟酌和讨论。新规第六条规定,自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
在新规前,2024年2月5日及2月8日,《中国(天津)自由贸易试验区企业数据分类分级标准规范》及《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》相继印发,指引相关辖区内数据处理者的数据分类分级工作,以促进数据依法依规、安全有序流动。据报道,临港新片区在智能网联汽车车辆远程诊断、公募基金市场投研信息、跨国公司集团管理、生物医药临床试验和研发等20个场景的跨境流动分级分类的首批清单目录已基本编制完成,在完成论证后将于近期对外发布。
但是在新规后,可能之前很多自贸区原来拟放宽的问题都已经被新规所豁免,原本拟定的负面清单或正面清单或面临重新根据新规审视必要性和范围的问题。预计各地自贸区包上海临港新片区将根据新规编制自贸区清单并逐步公布。总体上,政策洼地对于特定领域营商环境、数据出境在法律法规操作细节不明确背景下先行试点具有重要意义,但是也要注意出现之前自贸区建设中政策突然放宽导致入驻自贸区企业成本无谓增加的情况。
(二)金融机构数据出境个性化的遗留问题
1.跨国金融机构和其外金融监管部门往往有数据统一处理的要求,因此全球数据的境外处理就成为必然要求,而如果数据不能出境就无法统一处理;而目前数据出境,在金融领域受限于重要数据的标准尚不清晰,金融机构在实际落地时如何评估,避免潜在风险尚存有较多障碍;
2.数据出境安全评估、个人信息出境标准合同、认证等方式在金融领域落地需要金融细分领域的监管规则出台,否则具体实施困难。正如前面重要数据问题分析中所述,金融是强监管领域,有自身的金融行业监管视角,很多数据类型是否构成行业敏感性,甚至达到重要数据范畴难以确定明确的标准并加以公布,相应的,金融机构也仍然存在操作困难的问题;
3.以机构客户为主的金融机构如果涉及机构客户的个人信息出境问题的,如何取得个人的同意?此种情况下的个人信息的数量未必很大,但是个人授权同意依法是必需取得的,即使不涉及个人敏感信息或数量不满10万人的,而金融机构较难直接触达具体的个人获得授权同意。对于此种情况,金融机构尤其是外资,会趋严判断,合规成本较高;
4.数据出境后的管理风险问题。对金融行业数据的出境安全问题,网信办新规只管到数据从境内到境外的合规,但是数据出境后在境外是否会再被传输到其他主体,这其中的金融领域数据的特殊性是金融监管部门或有顾虑的问题,担心此类数据可能产生金融安全问题;
5.一些金融机构出于合规目的可能会自己制定数据出境的白名单规则,但是实际操作非常复杂。外资金融机构往往会根据监管的指导制定数据出境的白名单,名单一般都比较复杂,在执行过程中就很难把握尺度,且需要所有员工都要非常了解白名单;
6.信息出境的合法性、正当性和必要性标准问题。《数据出境安全评估办法》第八条规定“数据出境的目的、范围、方式等的合法性、正当性、必要性”是数据出境安全评估重点评估事项之一;新规第五条也规定了合同履行“确需”、人力资源管理“确需”、人身财产“确需”三种“确需”向境外提供的豁免情形。截止目前,暂无法律法规或国家标准对数据出境行为合法性、正当性、必要性及确需向境外提供的内涵进行解释,亦无相关评判标准。对于金融机构来说,需综合考虑合规成本、业务要求、风险程度、法律规定等多个角度,综合评估论述数据出境的必要性,以获得监管部门的认可,但是证明“确需”则较难把握清晰尺度;
7.新规规定出于跨国人力资源管理目的,员工敏感个人信息出境可以豁免,但是跨国金融机构管理中可能要求收集员工近亲属的敏感个人信息(如身份信息、14岁以下未成年人信息、个人财产信息等)。从合理性上,是否可以将豁免放宽至员工近亲属。
附:现行法律法规下数据出境的三种路径
目前我国境内企业个人信息和重要数据的出境受到重点监管。数据跨境流动安全管理制度,底层逻辑上是只规范个人信息和重要数据(国家秘密信息、核心数据不在讨论之列)。如果不含个人信息、重要数据,就不在数据跨境流动安全管理制度的监管范围内,即无论何种数据出境场景和原因,企业无需去申报数据出境安全评估、订立标准合同、通过认证。
对于重要数据出境,《数据安全法》第31条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。2022年7月7日《数据出境安全评估办法》全面和系统地提出了我国数据出境“安检”的具体要求。其第2条明确,在出境数据涉及重要数据的情况下,安全评估是强制性的,包括关键信息基础设施的运行者和其他数据处理者。因此,目前重要数据只能通过安全评估出境。但需注意重要数据的目录在多数行业尚未公布和确定。
对于个人信息出境,根据《个人信息保护法》第39条的规定,个人信息处理者向境外提供个人信息的,需告知个人信息主体境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。同时需遵守《个人信息保护法》第38条及第55条的规定,达到一定标准的个人信息出境可以通过标准合同、安全评估、个人信息保护认证三种方式出境,并进行个人信息出境的个人信息保护影响评估。
对于涉及重要数据和个人信息出境的情况,有三种数据出境路径,具体要求与流程简要分析如下:
(一)通过国家网信部门组织的安全评估
2024年3月22日,国家互联网信息办公室发布《数据出境安全评估申报指南(第二版)》,对申报数据出境安全评估、备案个人信息出境标准合同的方式、流程和材料等具体要求作出了说明,对数据处理者需要提交的相关材料进行了优化简化。
1.具体要求
事项 | 具体要求 |
适用范围 | (一)关键信息基础设施运营者向境外提供个人信息或者重要数据; (二)关键信息基础设施运营者以外的数据处理者向境外提供重要数据; (三)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。 属于《促进和规范数据跨境流动规定》第三条(不含个人信息或重要数据)、第四条(来数加工)、第五条(豁免场景)、第六条(自由贸易试验区)规定情形的,从其规定。 |
数据出境行为 | (一)数据处理者将在境内运营中收集和产生的数据传输至境外; (二)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出; (三)符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他数据处理活动。 |
数据出境风险自评估事项 | (一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性; (二)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险; (三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全; (四)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等; (五)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等是否充分约定了数据安全保护责任义务; (六)其他可能影响数据出境安全的事项。 |
数据出境安全评估重点评估事项 | (一)数据出境的目的、范围、方式等的合法性、正当性、必要性; (二)境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求; (三)出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险; (四)数据安全和个人信息权益是否能够得到充分有效保障; (五)数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务; (六)遵守中国法律、行政法规、部门规章情况; (七)国家网信部门认为需要评估的其他事项。 |
与境外接收方订立的法律文件中的内容 | (一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等; (二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施; (三)对于境外接收方将出境数据再转移给其他组织、个人的约束性要求; (四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施; (五)违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式; (六)出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。 |
2.具体流程
具体流程如下图:

(二)经专业机构进行个人信息保护认证
该路径是《个人信息保护法》第38条规定的个人信息跨境提供的合规方式之一。2022年11月4日,国家市场监督管理总局、国家互联网信息办公室发布“关于实施个人信息安全保护认证的公告”(2022年第37号),决定实施个人信息保护认证,鼓励个人信息处理者通过认证方式提升个人信息保护能力,由经批准的从事个人信息保护认证工作的认证机构按照《个人信息保护认证实施规则》实施认证。2022年12月16日,全国信息安全标准化技术委员会(现已更名为“全国网络安全标准化技术委员会”)秘书处发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》(以下称“《认证规范》”),规定了跨境处理个人信息应遵循的基本原则、个人信息处理者和境外接收方在个人信息跨境处理活动的个人信息保护、个人信息主体权益保障等方面内容。
根据《认证规范》,个人信息保护认证应当具备以下条件,详见下表:
事项 | 具体要求 |
认证主体 | 1.申请认证的个人信息处理者应取得合法的法人资格,正常经营且具有良好的信誉、商誉; 2.跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动可由境内一方申请认证,并承担法律责任; 3.《中华人民共和国个人信息保护法》第三条第二款规定的境外个人信息处理者,可由其在境内设置的专门机构或指定代表申请认证,并承担法律责任。 |
适用情形 | 仅针对个人信息 |
基本原则 | (1)合法、正当、必要和诚信原则; (2)公开、透明原则; (3)信息质量保障原则; (4)同等保护原则; (5)责任明确原则; (6)自愿认证原则。 |
基本要求 | 1.具有法律约束力的文件; 2.具有相应的组织管理(个人信息保护负责人&个人信息保护机构); 3.境内外各方应约定并遵守个人信息跨境处理规则; 4.开展个人信息保护影响评估。 |
个人信息主体权益保障要求 | 1.个人信息主体权利 2.个人信息处理者和境外接收方的责任义务 |
(三)与境外接收方订立标准合同
2023年2月24日,国家互联网信息办公室发布了《个人信息出境标准合同办法》,落实了《个人信息保护法》关于个人信息出境规则中标准合同制度的举措,与《数据出境安全评估办法》《个人信息保护认证实施规则》共同组成了我国个人信息出境的完整监管体系。
根据《个人信息出境标准合同办法》第四条的规定,向境外提供个人信息的主体,需要同时满足四个条件(2024年3月2日《个人信息出境标准合同备案指南(第二版)》出台后,相关条件已变更,具体要求详见下“1.具体要求”),才能采取订立《个人信息出境标准合同办法》的方式进行个人信息出境活动。否则需按照《数据出境安全评估办法》的要求通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
1.具体要求
依据2024年3月2日网信办发布的《个人信息出境标准合同备案指南(第二版)》,个人信息出境标准合同备案应当具备以下条件,详见下表:
事项 | 具体要求 |
适用范围 | 个人信息处理者通过订立标准合同的方式向境外提供个人信息,同时符合下列情形的应当向所在地省级网信部门备案: (一)关键信息基础设施运营者以外的数据处理者; (二)自当年1月1日起,累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)的; (三)自当年1月1日起,累计向境外提供不满1万人敏感个人信息的。 属于《促进和规范数据跨境流动规定》第三条、第四条、第五条、第六条规定情形的,从其规定。 个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。 |
适用情形 | 仅针对个人信息 |
备案方式 | 个人信息处理者应当在标准合同生效之日起10个工作日内,通过数据出境申报系统备案,系统网址为https://sjcj.cac.gov.cn。 |
2.具体流程

