《促进和规范数据跨境流动规定》与 新监管形势下企业数据出境合规的应对和挑战（一）

一、背景

2024年3月22日，在翘首等待了近半年后，数据出境企业终于迎来了国家互联网信息办公室（"网信办"）发布的《促进和规范数据跨境流动规定》（"《规定》"）。《规定》发布同时，网信办也发布了关于《规定》的答记者问（"《答记者问》"），对《规定》内容进行补充说明。同日，网信办还发布了《数据出境安全评估申报指南（第二版）》《个人信息出境标准合同备案指南（第二版）》来推进《规定》的配套实施。

《规定》终于靴子落地，对数据出境企业而言是重大利好。总体而言，《规定》放宽了对企业数据出境的限制、为企业提供多个豁免条件、提高了履行数据出境合规程序的出境个人信息的数量门槛，从而降低了企业的合规难度。二份新版指南也顺势简化了相关要求，对企业而言更有可操作性。《规定》及上述系列文件的的发布也标志着我国数据出境监管进入到一个新的阶段。

本文将对《规定》、《答记者问》的重要内容进行总结分析，对一些存疑问题进行探讨，并希望为数据出境企业提供建议和应对思路。

后续我们将另行撰文对《数据出境安全评估申报指南（第二版）》《个人信息出境标准合同备案指南（第二版）》的重要变化、企业如何应对进行分析。

二、《规定》发布前企业面临的数据出境合规程序要求

在《规定》正式发布之前，向境外提供个人信息和重要数据的企业均应当按照《网络安全法》、《数据安全法》和《个人信息保护法》的要求，采取以下三种合规程序（"合规程序"）之一：

（一）通过国家网信部门组织的安全评估（"安全评估"）；

（二）按照国家网信部门制定的标准合同（"标准合同"）与境外接收方订立合同，约定双方的权利和义务；

（三）按照国家网信部门的规定经专业机构进行个人信息保护认证（"认证"）。

针对上述合规程序网信办先后发布了多个实施办法和指引，但总的来说企业的合规义务较为繁重、合规成本较高。

三、《规定》对企业适用合规程序的重大调整

此次《规定》对上述合规程序的适用条件进行了大幅度调整，较大减少了企业的合规负担。《规定》和《答记者问》也对安全评估的有效期限、出境个人信息数量的计算方式、重要数据的判断规则等事项作出了一些次要改动或进一步澄清。

（一）《规定》对合规程序的若干重大调整

需要注意的是，《规定》对于出境重要数据的合规程序适用和监管要求并未做出改变。

（二）豁免履行合规程序的情形

对于个人信息出境，《规定》列出若干个企业无需履行任何合规程序（安全评估、标准合同及认证）的豁免情形。这些情形因为其自身的合理性、正当性、紧迫性、或低敏感性而得到豁免，相关企业也摆脱了繁重的合规义务。

（三）触发不同合规程序的条件的变化

在网信办原有规定中，合规程序的触发条件包括企业的身份、企业自身处理的全部数据（无论是否出境）的数量、出境数据的种类、数量和敏感性等多个因素，而《规定》则对相关触发条件予以简化，特别是删除了企业自身处理的全部个人信息数量（无论是否出境）这一因素（"处理100万人以上个人信息的数据处理者向境外提供个人信息"），并对触发合规程序的出境个人信息数量予以提高，从而使得需要履行合规程序的企业大幅减少。《规定》下的触发合规程序的新条件如下：

四、《规定》与网信办原来规定的衔接

考虑到在实践中很多企业已开始、或已完成原有规定下的合规程序，而《规定》为企业提供了更"优惠"的合规待遇，如按"新人新办法、老人老办法"的方式予以处理，将导致这些企业在事实上无法享受《规定》提供的合规优惠，因此网信办有必要就新旧规定如何衔接问题加以明确。对此，网信办在《答记者问》说明：

• 《规定》施行前已经通过数据出境安全评估的数据出境活动，数据处理者可以根据申报事项继续开展。
• 《规定》施行前未通过或者部分未通过数据出境安全评估，根据《规定》免予申报数据出境安全评估的数据出境活动，数据处理者可以依法通过订立个人信息出境标准合同、通过个人信息保护认证等其他途径向境外提供个人信息。
• 《规定》施行前已经申报数据出境安全评估、提交个人信息出境标准合同备案，根据《规定》无需开展上述程序的，数据处理者可以按照原程序进行，也可以向所在地省级网信部门撤回申报、备案。

五、《规定》未完全解决的一些问题

《规定》虽然大幅降低了企业合规负担，但可能是由于篇幅原因，《规定》的一些内容仍较为原则，缺乏更详细的指引。对于一些企业较为关心的问题，《规定》也未能都予以回应，企业后续还需继续观察相关监管实践并结合自身情况进行具体分析。下面我们总结《规定》中的一些尚未完全明确的问题：

（一）出境个人信息数量的计算问题

根据我们此前协助企业开展安全评估工作的经验，在计算出境个人信息数量的问题上，除计算周期内新出境的个人信息外，有些时候网信办还要求企业将"已出境"或"持续出境"（通常为计算周期前已出境且境外接收方仍未删除）的个人信息纳入计算范围内。本次《规定》虽然将个人信息出境数量的统计周期改为"自当年1月1日起累计向境外提供"的个人信息数量，但并未说明该数量是否还应包括当年1月1日以前已出境、且境外接收方仍在继续处理的个人信息数量。

考虑到《规定》发布前，出境个人信息数量统计的起算时间点为"上年1月1日"，那时网信办关于统计周期前已出境个人信息的统计要求可能是由于该起算时间点的设置和各方理解不一致造成的。同时，考虑到《规定》对起算时间点已进行调整，以及《规定》总体放宽数据出境限制的精神，未来可能不再存在此类问题，但谨慎起见，我们仍建议企业在实践中遇到此类问题时再进一步与网信办沟通咨询。

（二）什么是豁免情形下的"确需"个人信息出境？

《规定》第五条第一款第一项至第三项所规定的豁免情形中，均将 "确需"向境外提供个人信息作为豁免的条件之一，但是对于哪些场景下，或者为了哪些目的，出境哪些个人信息主体的哪些个人信息，才可被视为"确需"，《规定》并未做出进一步的解释或者举例说明，需要企业自行判断。

对于"确需"的要求，对于已经在开展相关合规工作的数据出境企业而言并不陌生，其实际上与安全评估、标准合同备案程序中网信办要求提供的个人信息出境"必要性说明"殊途同归。根据我们此前开展相关项目的经验，实践中企业基于自身业务需要、行业习惯和普遍实践做出的必要性判断与网信办的看法有时可能会存在较大差异。

尽管如此，但考虑到《规定》总体放宽数据出境的精神，网信办对于"确需"或"必要性说明"的判断也很可能会发生变化，企业在实践中遇到难以判断个人信息出境活动是否属于"确需"的时候，也可以选择向网信办进行咨询。

（三）境外来源个人信息豁免的适用问题

《规定》第四条规定： "数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供，处理过程中没有引入境内个人信息或者重要数据的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。 "

首先，关于"数据处理者在境外收集和产生的个人信息"的限定是否意味着境内的数据处理者只有在直接收集境外自然人个人信息的情况下（例如境内数据处理者直接向境外自然人提供服务）才可以享受此项豁免？对于境内数据处理者间接收集境外自然人个人信息的情况（例如境内处理者根据某境外数据处理者委托而接收其提供的境外个人信息，为其提供数据分析服务并出境个人信息），境内数据处理者是否也可以享受本项豁免？

其次，对于中国境外的数据处理者而言，是否也可以直接享受本项豁免，而无需通过任命境内的机构来代其履行相关合规程序？

最后，"在境外收集和产生的个人信息"是否仅指"位于境外的自然人的个人信息"？对于来源于中国境外、但位于境内的自然人的个人信息，境内数据处理者是否也可以享受此豁免？例如，国际物流企业是否可依据本条来豁免境外发件人填写的境内自然人的个人信息？

上述疑问仍有待网信办的后续解释和说明。

（四）合同必要豁免的适用问题

《规定》第五条规定：数据处理者 "为订立、履行个人作为一方当事人的合同，如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等，确需向境外提供个人信息的 "，"免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证 "。

在实践中较为常见合同签订与数据出境所涉及的公司主体不同的情况，即与个人签订合同的数据处理者A自身并不会将个人信息直接出境，但由于该项合同包含服务的性质决定了数据处理者A需要将个人信息提供给数据处理者或受托处理者B，由数据处理者或受托处理者B将个人信息出境。在这种情况下，数据处理者或受托处理者B是否可直接根据本条豁免而无需履行任何合规程序？

我们倾向于认为在这种情况下，如该项业务确实包含了个人信息必须出境的"必要性"，则数据处理者或受托处理者B也应该得到本项豁免，其原因在于：分工合作是现代社会发展的必然结果，企业使用合作伙伴和供应商来履行与个人的合同再正常不过；如不允许数据处理者或受托处理者B得到豁免，实际上将鼓励数据处理者A"全程"管理和履行与个人的合同，而不使用任何合作伙伴或供应商，这显然与现代商业逻辑背道而驰。而就同一项数据跨境流动而言，仅豁免了数据处理者A的合规义务，但不豁免数据处理者或受托处理者B的合规义务，也不具有合理性。

（五）员工信息出境豁免的适用问题

《规定》第五条规定：数据处理者"按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的"，"免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证"。

在"员工"范围这一问题上，首先需要注意的是"员工"并不是一个严格的法律用语（中国法律下通常使用"劳动者"这一表述）。本条所指的"员工"范围除了签署正式劳动合同的劳动者以外，是否也还包括企业其他用工形式下的聘用人员（临时工、劳务派遣人员、实习生、总部派遣至中国的外籍人员等），具有不确定性，仍有待网信办予以明确。但考虑到《规定》放宽数据出境限制的总体精神，我们倾向于认为出境上述人员的个人信息也应得到本项豁免。

企业还需要注意的是，本项豁免仅针对员工的个人信息出境，而不包含应聘者的个人信息出境。由于应聘者并不具有"员工"身份，还未开始受到企业劳动规章制度和集体合同的约束，应无法享受本项豁免。

此外，很多企业也涉及将员工配偶、被抚养人、紧急联系人等非员工人员信息传输出境的情况，出境这些人员的个人信息显然无法享受本条豁免。但考虑到企业收集并出境这些人员信息往往是由于使用同一个境外系统来处理员工信息及员工本人提供的其他人的信息，且企业收集这类人员信息通常具有正当性（例如日常联系、企业福利发放、紧急联系等），如能有条件也豁免这类人员信息的出境，似乎更为合理。

（六）其他未受豁免的场景

遗憾的是，《规定》第五条中的豁免情形仅覆盖了《个人信息保护法》第十三条下不需要个人信息主体同意情形的一部分，而没有提及：

"（三）为履行法定职责或者法定义务所必需；

（四）为应对突发公共卫生事件所必需；

（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；

（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；

（七）法律、行政法规规定的其他情形。 "

我们理解，《规定》未豁免上述情形下的个人信息出境行为，可能是网信办考虑到一旦豁免可能会导致企业滥用。但任何豁免场景在实践中都有被滥用的可能性，不宜以此为由就不豁免上述场景。此外，这些其他场景均有一定的限制性条件，如企业确实滥用也将面临合规审计、监管调查和处罚等法律风险。

根据我们此前协助数据出境企业开展数据出境安全评估和标准合同备案项目的经验，实践中不乏一些确有必要、且对个人权益、国家安全和公共利益影响较小的此类活动，特别是关于对公开个人信息的合理出境不乏实例：

举例1：某外企从公开渠道收集中国公司高管的个人信息（中国公司官网披露的信息），提供给境外总部，用于了解该高管背景、准备国际商务洽谈。

举例2：某外企从公开渠道收集中国公司高管的被处罚信息（企业公示系统信息），提供给境外，用于评估投资该企业的风险。

对于其他情形的合理出境行为（例如履行法律义务、新闻报道、应对公共卫生事件），虽不是所有企业均会遇到，但这类情形往往具有一定的时间紧迫性，要求这类个人信息出境行为均履行繁琐的合规程序，在实践中可能并不现实。

（七）《规定》与《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》如何衔接？

《规定》明确提到 "根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规，对于数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的施行，制定本规定 "，"2022年 7月7日公布的《数据出境安全评估办法》（国家互联网信息办公室令第 11号）、2023年 2月22日公布的《个人信息出境标准合同办法》（国家互联网信息办公室令第 13号）等相关规定与本规定不一致的，适用本规定 "。这些说明解决了《规定》与《数据出境安全评估办法》、《个人信息出境标准合同办法》的衔接问题。

但需要注意的是，《规定》未提及如何与《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》（"《大湾区指引》"）如何衔接。《大湾区指引》并非基于上述规定制定，也并不从属于上述规定。《大湾区指引》系主管部门为落实《中华人民共和国国家互联网信息办公室与香港特别行政区政府创新科技及工业局　关于促进粤港澳大湾区数据跨境流动的合作备忘录》所采取的合作措施，理论上更接近于《个人信息保护法》第三十八条所规定的"（四）法律、行政法规或者国家网信部门规定的其他条件"。

根据《大湾区指引》，大湾区内境内的个人信息处理者向香港接收方传输个人信息，可以与香港接收方签订大湾区版《标准合同》，并应在《标准合同》生效之日起10个工作日内向广东省互联网信息办公室履行备案程序。对大湾区内境内企业而言，在《规定》发布后，其是否仍可依据《大湾区指引》和大湾区《标准合同》出境个人信息？以及在使用大湾区《标准合同》时，是否可以不在其中再对《规定》所豁免的个人信息出境场景进行说明？对此问题还有赖于网信办的澄清。

此外，《大湾区指引》的本意在于为大湾区内部的跨境个人信息流动创设更为便利的合规机制，在《规定》已在总体上对境内企业个人信息出境的监管进行了一定程度上的"松绑"后，我们也期待看到未来主管部门对《大湾区指引》进行调整，为大湾区内的个人信息有序流动提供进一步便利。

六、结语

《规定》终于靴子落地，对数据出境企业而言是重大利好。总体而言，《规定》放宽了对企业数据出境的限制、为企业提供多个豁免条件、提高了履行数据出境义务的出境个人信息的数量门槛，从而降低了企业的合规难度。二份新版指南也顺势简化了相关要求，对企业而言更有可操作性。《规定》及上述系列文件的的发布也标志着我国数据出境监管进入到一个新的阶段。

《规定》中的一些内容仍较为原则性，缺乏更详细的指引。一些企业较为关注的个别问题，《规定》也未能全部予以回应。但无论如何，瑕不掩瑜，《规定》仍不失为一份顺应中国经济发展新形势的重要文件，而对于其中的问题，我们也期待网信办在具体工作中予以澄清和明确。

在下一篇文章中，我们将对《数据出境安全评估申报指南（第二版）》《个人信息出境标准合同备案指南（第二版）》的重要变化、企业如何应对进行分析。