正 策 动 态

申报指南（第二版）第一条在申报指南（第一版）的基础上对“数据出境”的标准进行更新，即：

在实践中，存在中华人民共和国境外企业直接向境内自然人收集个人信息进行处理的情况。根据《跨境流动规定》及《个人信息保护法》第三条第二款规定，在中华人民共和国境外，分析、评估境内自然人的行为的，现已适用《个人信息保护法》及《跨境流动规定》进行规制。如有涉及该类型数据跨境流动的企业，应尽快开展自查工作，保障数据跨境的合规性。

重要数据的识别

《跨境流动规定》对《跨境流动规定（征求意见稿）》约定的“重要数据”进行了修改，即：

《跨境流动规定》第二条一方面要求数据处理者主动“按照相关规定识别、申报重要数据”，一方面在重要数据识别层面采用被动原则，即将“相关部门、地区告知或公开发布”作为判断拟跨境传输数据是否构成“重要数据”的单一标准减轻了企业的合规负担。

针对多数行业主管部门尚未根据《数据安全法》第二十一条的规定，颁布重要数据及核心数据目录这一情况，自《跨境流动规定（征求意见稿）》发布至《跨境流动规定》实施，各地区、行业主管部门及标准化管理委员会颁布较为明确的文件指导企业进行数据识别：2024年3月15日国家市场监督管理总局、国家标准化管理委员会发布的《数据安全技术 数据分类分级规则》（GB/T43697-2024）中的附录G及附录H对一般数据及重要数据的识别提出了更明确的判断标准；2024年3月22日自然资源部印发的《自然资源领域数据安全管理办法》第十条结合自然资源领域数据特点，对自然领域资源重要数据的判断提出特殊标准。

本团队认为，为便利数据处理者识别重要及核心数据，各地区、行业主管部门将在近期加快制定重要数据及核心数据目录。

免予申报安全评估、订立标准合同、通过个人信息保护认证的场景

《跨境流动规定》第三条至第五条对实质性豁免了多个常见跨境场景及小规模非敏感个人信息的申报安全评估、订立标准合同、通过个人信息保护认证义务（以下简称“申报义务”），大大降低了中小企业的数据合规负担，具体如下：

（一）一般商业场景下的数据申报义务豁免

在实践中，除个人信息和重要数据外，数据处理者还存在其他数据跨境传输的场景，针对数据处理者不明确其他数据跨境传输是否也需要遵守申报义务的情况，《跨境流动规定》通过概念明确及举例说明的情况进行了豁免，即原则上来说，只要数据跨境过程中不包含个人信息和重要数据的，均无需承担申报义务。

需要注意的是，针对所罗列的典型场景，数据处理者在进行数据跨境传输过程中，可能存在个人信息和重要数据混杂的情况（例如学术合作的过程中学术内容包括重要数据、市场营销活动中可能向境外提供个人信息）。因此，涉及前述场景的数据处理者应对自身数据跨境活动进行自查，并积极关注重要数据及核心数据目录的颁布。

（二）过境个人信息申报义务豁免

《跨境流动规定》明确，境外收集和产生的个人信息在未引入境内个人信息或者重要数据的情况下，该部分个人信息出境无需承担申报义务。

需要注意的是，该条款没有提及数据处理者在境外收集和产生的个人信息的豁免情况，境外收集和产生的重要数据即使仅过境的，仍需遵守申报义务。如数据处理者在处理境内收集和产生的个人信息的同时，处理境外收集和产生的个人信息，应对前述数据采取分离措施，避免因数据混合而产生的过高合规义务。

（三）特殊场景下数据申报义务豁免

相较于《跨境流动规定（征求意见稿）》，《跨境流动规定》在豁免场景上未做过多修改。需注意的是，《跨境流动规定》删除了《跨境流动规定（征求意见稿）》豁免数据申报义务仅限于向境外提供内部员工个人信息的表述，使得数据处理者在向境外提供外包人员、实习生信息时亦无需遵守数据申报义务，减少以外资企业为代表的数据处理者的合规负担。

从限制范围出发，《跨境流动规定》将“必须向境外提供个人信息”调整为“确需向境外提供个人信息”，给予数据处理者在选择个人信息出境时更大的自由度。

（四）小规模非敏感个人信息申报义务豁免

相较于《跨境流动规定（征求意见稿）》，《跨境流动规定》将计算时间从“预计一年”调整为“从当年1月1日起”，明确的起算时间及仅计算实际提供个人信息数量更便于企业评估其是否应当遵守数据申报义务；豁免数从“不满1万人个人信息”提升为“不满10万人个人信息（不含敏感个人信息）”，在减少数据处理者合规负担的同时，明确任何敏感个人信息的跨境均应遵守数据申报义务。

虽然《个人信息保护法》第三十八条、第三十九条已约定向境外提供个人信息的合规义务，《跨境流动规定》第十条仍对前述合规义务进行重复阐述。因此，本团队建议，即使是免于申报义务的数据处理者，也应参照《个人信息保护法》完成合规义务，避免风险。

（五）自由贸易试验区的特殊安排

自由贸易试验区“负面清单制度”是促进我国数据跨境流动的重大利好制度。相较于《跨境流动规定（征求意见稿）》，《跨境流动规定》明确负面清单的制定应遵守国家数据分类分级保护制度框架，并增加国家数据管理部门作为备案部门。

虽然我国暂未出台国家数据分类分级保护制度框架，本团队认为，该框架性制度给予各自由贸易试验区较大自由度，各自由贸易试验区存在根据本试验区数据相关产业给予相对宽松数据出境政策的可能性：例如，根据《中国（上海）自由贸易试验区临港新片区数据跨境流动分类分级管理办法（试行）》第七条，上海计划围绕汽车、金融、航运、生物医药等重点领域以及临港新片区相关行业的发展要求，对跨境数据进行分类管理。

因此，本团队建议设立在自由贸易试验区或计划为数据出境事宜在自由贸易试验区设立企业的数据处理者密切关注各自由贸易试验区的支柱产业及负面清单建设情况（需注意，负面清单出台前，自由贸易试验区内的数据出境活动按照国家数据出境安全管理有关规定执行），最大程度减少企业合规负担。

豁免情况外数据出境方式的选择

根据《跨境流动规定》第七条及第八条，自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息的，应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证；自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息）或者1万人以上敏感个人信息，应通过所在地省级网信部门向国家网信部门申报并通过数据出境安全评估。

针对个人信息数据量计算方式，《跨境流动规定》答记者问第十一问对个人信息数据量的计算给出了答案：计算周期为当年1月1日起至申报数据出境安全评估之日（本团队认为，订立个人信息出境标准合同的计算周期亦应参照该标准），并以自然人为单位进行去重（即如果一个人有多条个人信息的，只计为一条）。

针对“按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的”情形下，数据处理者向境外提供10万人以上乃至100万人以上个人信息的情况，《跨境流动规定》答记者问第十一问认为：

如果数据处理者存在适用《跨境流动规定》第三条、第四条、第五条第一款第一至三项和第六条规定情形的，不计入累计数量。

即，如果数据处理者适用前文所述除“小规模非敏感个人信息申报义务豁免”以外的豁免情况的，无论出境多少条个人信息，其均豁免于申报义务。

数据出境安全评估结果有效期的延长

相较于《数据出境安全评估办法》约定的二年有效期，《跨境流动规定》第九条针对有效期给予了极大的放宽：数据出境安全评估结果的有效期延长为三年，在有效期届满前未发生需要重新申报情形的，经国家网信部门批准可以再延长有效期三年。

即，对于企业的数据出境活动在有效期届满前未发生需要重新申报情形的，企业数据出境安全评估结果有效期最长延长至六年。

对数据处理者的建议