我国数据跨境监管制度出境合规路径判断方法及实施流程介绍

我国的数据跨境流动规则已基本建立。

1.我国数据跨境监管制度

近年来，我国相继出台《网络安全法》《数据安全法》和《个人信息保护法》，对网络安全、数据安全、个人信息保护进行了制度要求，也为数据跨境流动构建了基础框架。虽然理论上数据跨境分为数据出境和数据入境，但我国主要规制数据出境活动，故本次报告主要从数据出境的角度进行切入探讨。总体来看，前述三部法律主要从重要数据和个人信息保护两个维度监管数据出境活动，建立了“数据出境安全评估”、“个人信息保护认证”和“标准合同条款”三大合规路径，具体要求如表 2-1 所示。 其中，《数据安全法》和《个人信息保护法》还明确，向外国司法或者执法机构提供数据，应经主管机关批准。个人信息处理者向境外提供个人信息前应履行相应的义务，包括：基于个人同意向境外提供个人信息的，应当取得个人信息主体同意；数据出境前应当开展个人信息保护影响评估等。

随后，国家互联网信息办公室（以下简称“国家网信办”）陆续发布《数据出境安全评估办法》《个人信息保护认证实施规则》《个人信息出境标准合同办法》（以下分别简称《评估办法》《认证实施规则》《合同办法》）等，进一步明确了“数据出境安全评估”、“个人信息保护认证”和“标准合同条款”的实施细则，我国数据出境监管制度已基本建立。三大合规路径的适用情形如表2-2 所示。

2023 年 9 月 28 日，国家网信办发布《规范和促进数据跨境流动规定（征求意见稿）》（以下简称《规定（征求意见稿）》），向社会公开征求意见，拟对申报数据出境安全评估、订立个人信息出境标准合同等的适用门槛进行调整，这一变化预计将在很大程度上减轻企业的数据出境合规负担，降低数据出境成本，进一步规范和促进数据依法有序自由流动。《规定（征求意见稿）》明确，“《数据出境安全评估办法》、《个人信息出境标准合同办法》等相关规定与本规定不一致的，按照本规定执行”。根据《规定（征求意见稿）》，“数据出境安全评估”、“个人信息保护认证”和“标准合同条款”的适用情形将发生变化，总结如表 2-3 所示。

建议企业对《规定（征求意见稿）》的正式出台保持关注，以便根据《规定（征求意见稿）》的正式发布版本及时调整、确认自身适用的数据出境合规路径。我国现有数据出境相关的法律法规和国家标准情况详见附录。

2.数据出境合规路径判断方法

根据我国现行法律法规政策要求，企业在数据出境时应结合自身的主体类型、出境数据类型和数量等因素，综合判断是否需要申报并通过数据出境安全评估；订立并备案个人信息出境标准合同；或通过个人信息保护认证。具体应当适用何种路径，可参考如下判断方法。

1. 判断出境数据类型  重要数据出境，应当申报数据出境安全评估。 个人信息出境，则需进一步判断数据出境主体的性质、涉及个人信息主体数量。  向境外提供涉及党政军和涉密单位敏感信息、敏感个人信息的，依照有关法律、行政法规、部门规章规定执行。

2. 判断数据出境主体 个人信息出境，如果出境主体属于关键信息基础设施运营者，确因业务需要向境外提供，应当申报数据出境安全评估。如果不属于，则需进一步判断出境所涉及的个人信息主体数量。

3. 判断出境数据数量 若《规定（征求意见稿）》正式出台的版本与本次征求意见稿内容保持一致，那么数据出境数量对应的合规路径的判断方法如下： 预计一年内向境外提供 100 万人以上个人信息的，应当申报数据出境安全评估。  预计一年内向境外提供 1 万人以上、不满100 万人个人信息的，需要进行个人信息出境标准合同备案或个人信息保护认证，但可以不申报数据出境安全评估。 预计一年内向境外提供不满 1 万人个人信息的，属于豁免情形，即不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。 需要说明的是，企业在实际工作中，应以当时的生效规定为准。

4. 判断是否属于豁免情形 《规定（征求意见稿）》列明了不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形，以下情况属于豁免情形。  不包含个人信息或者重要数据：国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境，不包含个人信息或者重要数据的。  个人信息过境：不是在境内收集产生的个人信息向境外提供。 履行合同所必需：为订立、履行个人作为一方当事人的合同所必需，如跨境购物、跨境汇款、机票酒店预订、签证办理等，必须向境外提供个人信息的。  人力资源管理所必须：按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理，必须向境外提供内部员工个人信息的。  紧急情况所必须：紧急情况下为保护自然人的生命健康和财产安全等，必须向境外提供个人信息的。 未列入自贸区负面清单的数据：自贸区可自行制定数据出境“负面清单”，报经省级网络安全和信息化委员会批准后，报

国家网信部门备案后生效。自贸区企业向境外传输“负面清单”之外的数据，无需适用三大数据出境合规路径。上述豁免场景中提及的部分定义仍需被进一步阐释说明，涉及的数据类型和范围也需要被进一步明确。此外，虽然《规定（征求意见稿）》阐述了多类出境豁免情形，但这并不意味着由此豁免了企业数据出境活动的事前数据安全保护义务、管理义务和安全事件发生后的报告义务。因此，企业应关注《规定（征求意见稿）》正式稿的发布情况，对企业自身数据出境涉及的豁免情形进行识别认定，以满足数据出境合规义务要求。 另外，还须注意的是，数据出境安全评估是法律的强制要求。企业一旦达到触发条件，则必须开展安全评估，不存在所谓选择数据出境路径的问题。

3.数据出境合规路径实施流程

3.1 数据出境安全评估

若企业适用数据出境安全评估路径，则需要遵守《评估办法》《评估申报指南》中明确的数据出境安全评估的申报方式及相关流程。其中，企业应按要求提交申报材料，包括统一社会信用代码证件影印件、法定代表人身份证件影印件、经办人身份证件影印件、经办人授权委托书、数据出境安全评估申报书、与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件、数据出境风险自评估报告以及安全评估工作需要的其他材料。提交材料形式包括书面材料和电子版材料。此外，因《评估申报指南》要求提交的材料的语言必须是中文，如果企业准备的材料只有非中文版本，则必须同时提交准确的中文译本。企业还应严格按照《评估申报指南》准备和提交上述各项材料，如提交的材料不够完整，申请可能被退回。根据《评估办法》的要求，数据出境安全评估整体流程期间为57+N 天（5+7+45+N，N 代表补充材料审核时间）；如涉及复评的，则为 72+N（57+N+15）天。具体流程如图2-1 所示。

3.2 个人信息出境标准合同

若企业适用个人信息出境标准合同路径，则需要明确个人信息出境标准合同的签署及备案流程。其中，企业需要重点关注以下义务：首先，根据《个人信息保护法》第五十五条、第五十六条以及《合同办法》第五条规定，企业应当事前针对个人信息出境活动进行个人信息保护影响评估，并对处理情况进行记录，形成个人信息保护影响评估报告并至少保存三年。 其次，企业在签署标准合同后，应遵守《合同办法》第三、六、七条的规定，履行标准合同备案要求，即在标准合同生效后方可开展个人信息出境活动，在标准合同生效之日起10 个工作日内，向所在地省级网信部门提交标准合同和个人信息保护影响评估报告等材料进行备案。省级网信部门在收到材料后，会在15 个工作日内完成材料完备性查验，并通知个人信息处理者备案结果。具体流程如图2-2所示。

3.3 个人信息保护认证

若企业适用个人信息保护认证路径，则需要遵守《关于开展个人信息保护认证工作的公告》及《认证实施规则》中关于个人信息保护认证流程的相关规定。对于跨境数据处理活动的个人信息保护认证的依据则为《信息安全技术 个人信息安全规范》以及《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》。具体的认证模式为“技术验证+现场审核+获证后监督”。其中，技术验证是指由专门技术验证机构按照认证方案实施技术验证，并出具技术验证报告。现场审核是指由认证机构实施现场审核，并出具现场审核报告。认证机构会根据技术验证报告、现场审核报告和其他相关资料信息进行综合评价，并作出认证决定。对符合认证要求的，颁发认证证书；对暂不符合认证要求的，可要求限期整改，整改后仍不符合的，以书面形式通知终止认证。此外，认证机构会在认证有效期内采取适当的方式实施获证后监督，确保获得认证的个人信息处理者持续符合认证要求。 需要注意的是，除上述数据出境合规路径之外，企业的数据跨境传输活动还可能同时会触发其他的审批程序。例如，根据《网络安全审查办法》第二条，企业的数据出境活动影响或者可能影响国家安全的，应按照该办法进行网络安全审查等。