合规前沿 ｜ 企业跨境数据出境合规减负——《促进和规范数据跨境流动规定》分析与解读（下）

合规前沿 ｜ 企业跨境数据出境合规减负——《促进和规范数据跨境流动规定》分析与解读（上）

2024年3月22日国家互联网信息办公室发布了备受期待的《促进和规范数据跨境流动规定》（以下简称“《数据出境新规》”）。上篇已对数据出境新规的主要内容予以解读。本文拟通过梳理《数据跨境新规》的关键要点，包括重要数据出境监管及改变、自贸区数据出境负面清单制度，为跨国企业理解与适用《数据跨境新规》并制定数据出境合规管理计划提供建议。

一、重要数据出境监管及改变

对于重要数据的出境，我国法律现行规则明确只有安全评估这一条通路。

《数据出境安全评估办法》对重要数据进行了定义，即“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”。但是从实践的角度看，企业本身难以把握重要数据的界定标准，很容易造成遗漏申报，进而导致违法违规的可能性，增加了企业向境外提供重要数据的合规难度及成本。

《数据出境新规》第二条自《征求意见稿》开始就改善了重要数据难以界定的问题，企业只需关注拟向境外提供的数据是否被相关部门、地区告知或者公开发布为重要数据，未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。虽然《数据出境新规》第二条相比于《征求意见稿》增加了一个前置性的条件——“数据处理者应当按照相关规定识别、申报重要数据”，但仍然减少了重要数据识别的不确定性，为企业的重要数据出境提供了便利，毕竟相关部门、地区需要抓紧出台各自行业和区域的重要数据识别“相关规定”。

目前，部分行业及地区已公布了相应的重要数据的标准或目录，例如天津自贸区发布的《中国（天津）自由贸易试验区企业数据分类分级标准规范》以及汽车行业的《汽车数据安全管理若干规定（试行）》都涉及了重要数据的识别。对于所属行业或地区不存在重要数据识别、申报规定的企业，可以参考2024年3月21日发布的国家标准《数据安全技术数据分类分级规则》（GB/T 43697-2024），其中，附录G规定了重要数据识别指南。

《数据出境新规》第七条则延续了《数据出境安全评估办法》对于重要数据出境的规定，明确不管何种类型的数据处理者向境外提供重要数据均应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估，不适用任何《数据出境新规》规定的豁免情形。

二、自贸区数据出境负面清单制度

《数据出境新规》的最后一大亮点则是引入了自贸区数据出境负面清单制度。自由贸易试验区在国家数据分类分级保护制度框架下，可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（即负面清单），经省级网络安全和信息化委员会批准后，报国家网信部门、国家数据管理部门备案。需要注意的是自贸区的负面清单制度仍然在国家数据分级保护制度的框架之下，故对于重要数据不存在豁免的情形。

如《中国（上海）自由贸易试验区临港新片区数据跨境流动分类分级管理办法（试行）》第八条规定：“按照《数据安全法》要求，跨境数据分级从高到低依次分为核心数据、重要数据、一般数据3个级别，核心数据禁止跨境，重要数据形成重要数据目录，一般数据形成一般数据清单。”第九条规定：“临港新片区管委会负责制定纳入数据出境安全评估管理范围的重要数据目录，并报相关部门备案。同时按照要求制定纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单，报经市委网络安全和信息化委员会批准后，报相关部门备案。”

自由贸易试验区内数据处理者向境外提供负面清单外的数据，可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。但此项豁免仅适用于自由贸易试验区内的数据处理者。如《中国（上海）自由贸易试验区临港新片区数据跨境流动分类分级管理办法（试行）》第三条规定：“本办法适用于在临港新片区范围内登记注册的，或在临港新片区开展数据跨境流动相关活动的企业、事业单位、机构协会和组织等数据处理者。”

据此规定，各个自贸区可以根据实际情况，自主确定与其定位和发展战略、方向相匹配的豁免申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据清单。换言之，国家网信部门此次为各地方提供了监管适配性的授权，以适应各自贸区在其发展方向尤其是数字化领域带来的数据跨境流动需求。

该项举措进一步便利了自贸区内企业的数据出境，降低了相应的合规负担，有利于我国自贸区的发展。

三、新规对企业数据跨境传输合规的影响

《数据出境新规》为企业数据出境合规带来了更高的确定性，在完善对于数据出境监管的同时极大减轻了企业的数据跨境传输合规负担，学界与实务界均将其视为对跨境经贸的促进。企业应当在《数据出境新规》的指引下，综合评估和完善自身数据跨境传输的合规。具体来说可以重点关注以下几个方面：

01 一是新旧规则的衔接问题。

《数据出境新规》施行前已经通过数据出境安全评估的数据出境活动，数据处理者可以根据申报事项继续开展；《数据出境新规》施行前未通过或者部分未通过数据出境安全评估，根据《数据出境新规》免予申报数据出境安全评估的数据出境活动，数据处理者可以依法通过订立个人信息出境标准合同、通过个人信息保护认证等其他途径向境外提供个人信息；《数据出境新规》施行前已经申报数据出境安全评估、提交个人信息出境标准合同备案，根据《数据出境新规》无需开展上述程序的，数据处理者可以按照原程序进行，也可以向所在地省级网信部门撤回申报、备案。

02 二是持续关注重要数据的目录变化，依法识别、申报重要数据。

目前，各行业、地区的重要数据目录制定工作仍在推进过程中。对于所属行业或地区已有重要数据目录的，企业应当依照相应规则对重要数据进行识别、申报，合法合规处理重要数据的跨境传输。对于所属行业或地区尚不存在重要数据目录的，可先参考国家标准《数据安全技术数据分类分级规则》（GB/T 43697-2024）的附录G，同时紧密跟踪重要数据目录制定工作的新动态，履行依法识别、申报重要数据的义务。

03 三是对于个人信息出境应当建立长效的数据出境统计机制，满足个人信息出境合规基本要求。

存在个人信息出境情形的企业应当建立长期的数据出境统计机制，通过定期开展数据盘点等方式以确保能够时刻掌握企业在“当年1月1日起累计向境外提供个人信息涉及人数”的最新情况以满足未来个人信息保护合规审计时针对适用的跨境合规行政手续核查的需求。此外《数据出境新规》第十条延续了《个人信息保护法》项下个人信息出境的基本合规要求，包括履行告知义务、取得个人单独同意，以及进行个人信息保护影响评估等一般性合规义务，而上述义务并不受《数据出境新规》规定的豁免申报情形影响。

《促进和规范数据跨境流动规定》全文：http://www.csrcare.com/Law/LawShow?id=231944

来源： 任务殿数字科技
本文仅作分享，作品版权归原作者及机构所有，如有侵权请联系，我们立即更正/删除