作者：宇文沛、胡运思

3月22日，国家互联网信息办公室正式发布《促进和规范数据跨境流动规定》（以下简称“跨境新规”），对我国现行的数据出境合规监管框架进行了重大调整。相较于此前已经出台的《个人信息出境标准合同办法》和《数据出境安全评估办法》，“跨境新规”整体呈放宽趋势，对数据跨境的各类具体场景提供了较为明确的指引。加之，上海自贸区和临港新片区陆续发布了关于数据跨境流动管理新规并公布将在智能网联汽车车辆远程诊断、公募基金市场投研信息、跨国公司集团管理、生物医药临床试验和研发等20个场景的跨境流动分级分类的首批清单目录。相信随着跨境数据流动新规、指引的完善，将进一步便捷相关产业开展跨国业务，减轻合规成本及负担。

本文基于“跨境新规”基本条款内容，总结相关重点产业数据跨境实务问题并进行初步解读，以期为企业数据跨境工作提供有效参考。

01“跨境新规”主要“新”在哪里？对于目前的数据出境法律监管框架有哪些实际的改变及影响？

明确列举豁免数据出境前置程序情形。在数据过境、个人信息数据未达量情况及特定场景（履行合同必须、人力资源管理、紧急情况确需）的情况下，豁免数据出境前置程序（详细豁免场景请参考Q2答复）。

对于本身处理超过一百万人个人信息的企业具有较大利好，在此前的监管框架中，处理超过一百万人个人信息的企业即便出境少量个人信息，也要进行数据安全评估流程。但在本次“跨境新规”中，并未再提及该情形。可以推测，该“跨境新规”系对于本身处理超过一百万人个人信息企业的合规减负。在实务中，符合此类减负门槛的企业数量较多，减负覆盖面较广。

明确适用数据范围，一般数据不再监管。“跨境新规”规定，最新跨境监管数据的范围为“个人信息”及“重要数据”，明确表示了在特定行业场景中，企业一般数据跨境流动，不需要进行任何前置审批及备案。

*“重要数据”是指，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据。

重要数据明确判断标准。在实务当中，一般企业很难自行判断是否属于“重要数据”的范围内，“跨境新规”再次明确，只要未被相关部门、地区告知或公开发布出境数据为重要数据，那么出境数据就不是重要数据。该判断标准与实务中判断企业是否掌握重要数据的标准统一。

关键信息基础设施运营者 （CIIO）有望减负。根据以往数据跨境监管合规思路，CIIO为重点监管对象，数据跨境监管要求较高。但根据“跨境新规”第七条第二款，CIIO可以与普通企业一样，优先适用数据跨境前置审批流程的豁免，实际给CIIO企业减负不少。

02 何种情形下企业数据跨境不需要履行前置审批手续？

03 数据出境前置审批程序豁免，是否意味着企业个人信息出境无需获得个人信息主体同意？

不是。在过境数据与场景豁免情形下，获得个人信息主体明示同意并非必须条件；但在数量豁免和自贸区非负面清单数据情形下，企业仍需取得个人信息主体的明示同意。

04 何种情形下企业数据跨境需要申报数据出境安全评估？

达量个人信息及敏感个人信息。自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息）或者1万人以上敏感个人信息的；

重要数据跨境。 

05 通过数据出境安全评估的有效期有多长？

“跨境新规”打破了《数据出境安全评估办法》对于数据出境安全评估有效期为2年且不可延展之规定，“跨境新规”将通过数据出境安全评估的有效期延长至3年，并可延长评估结果有效期3年。

06 个人信息、敏感个人信息是什么？该如何判定？

本次跨境新规强调了敏感个人信息及个人信息不同达量要求，那么这两个概念如何界定？

根据《个人信息保护法》，个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

敏感个人信息，是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

实务中，一般参考《GB/T 35273-2020 信息安全技术 个人信息安全规范》判断敏感个人信息的具体范围。

07 企业应如何选择数据跨境的路径？

依照“跨境新规”，企业可根据以下选择合适的数据跨境路径：

08 自由贸易试验区数据可以自由跨境吗？

自贸区可以制定区内数据跨境负面清单，只有清单内列举的数据跨境才需要做前置审批手续，负面清单外数据则可以自由跨境。

目前，上海临港已基本编制完成智能网联汽车车辆远程诊断、公募基金市场投研信息、跨国公司集团管理、生物医药临床试验和研发等20个场景的跨境流动分级分类的首批清单目录，在完成论证后将于近期对外发布。

09 《数据出境安全评估申报指南（第二版）》和《个人信息出境标准合同备案指南（第二版）》有什么新规定吗？

国家互联网信息办公室在“跨境新规”发布的同日，发布了《数据出境安全评估申报指南（第二版）》（以下简称“出境安全评估指南（第二版）”）和《个人信息出境标准合同备案指南（第二版）》（以下简称“标准合同备案指南（第二版）”）。新发布的《出境安全评估指南（第二版）》和《标准合同备案指南（第二版）》根据“跨境新规”，对于应当申报数据出境安全评估和进行标准合同备案的情形进行了相应调整。同时，两篇指南都明确简化了申报和备案方式，需要出境安全评估申报和标准合同备案的企业可以通过在线系统提交申报材料。

此外，两篇指南明确将符合《个人信息保护法》第三条第二款情形，在境外处理境内自然人个人信息等其他数据处理活动纳入数据出境行为的定义中。

我们后续也将就新发布的两篇指南对于企业数据出境活动的重要影响予以进一步解读。

结语

距离此前征求意见稿已过近半年时间，各方期待已久的《促进和规范数据跨境流动规定》终于尘埃落定，该跨境新规大幅度降低了企业数据跨境的合规成本。从严格的事前监管逐渐转变为事中、事后监管，可以在保障国家数据安全的前提下，有效促进数据的自由流动。企业需结合自身需求，合理判断是否需要履行数据跨境前置程序，选择出最契合的数据跨境路径。