DEXC+智库专栏丨 2.0来了！《数据跨境新规》的五个“变”与“不变”

作者：

王艺，深圳数据交易所认证DEXCO、植德律师事务所合伙人

陈文昊，深圳数据交易所认证DEXCO、植德律师事务所合伙人

DEXC+是深圳数据交易所在全国首创的动态合规（Data Exchange Compliance +）服务体系的简称，旗下有DEXC+智库、DEXCO（数据交易合规师，即Data Exchange Compliance Officer，点击查看详情）、DEXCA (数据交易合规评估法律服务机构库，即Data Exchange Compliance Association，点击查看详情）等子品牌。其中，DEXC+智库将紧密围绕国家数字经济高质量发展战略需求，组织实务界、学术界与产业界的专家力量，深入研究、广泛对话，为国家制定相关法律法规和政策提供科学、可行的参考意见，积极引领行业创新方向，推动数据要素市场发展。

2023年9月28日，国家网信办发布国家互联网信息办公室关于《规范和促进数据跨境流动规定（征求意见稿）》（简称“《数据跨境新规（征）》”），并对外公开征求意见，并将于2023年10月15日截止意见征求。《数据跨境新规（征）》的发布，对拟开展数据出境合规的企业，影响重大。我们结合对数据出境的合规实务，结合《数据出境安全评估办法》《个人信息出境标准合同办法》等法律法规，进行如下解读。

NEWS

《数据跨境新规（征）》出台的背景说明

PART/1

《数据跨境新规（征）》的出台，可能与实务中存在的一些问题有密切关系。我们认为，可能有如下原因：

第一，触发安全评估场景的必要性存在一些争议。数据出境场景触发安全评估的情形较多，有些场景走安全评估路径的必要性不大，例如境内存量超过100万个人信息，但是少量员工个人信息的出境场景，是否有必要走安全评估，存在争议。是否应该区分高低风险目录，而非一刀切只看数据量。例如员工个人信息出境场景，跨境电商的场景等。再如，一些数据出境的字段必要性，如何把控，涉及行业较多，存在一些争议。

第二，周期可能较长。安全评估的周期较长，不利于数据高效流转。实务中存在一个数据出境案例完成安全评估的流程可能自启动之日起长达10个月。

第三，相关数据法概念还有待厘清。对于相关数据法概念仍然无法准确判断，导致不敢出境。例如企业内部哪些数据属于重要数据，如何判断等。再如数据处理者与数据受托人的定义该如何区分，一些技术供应商可能与大量境外企业合作服务境内企业，但是如何确定申报主体，存在难题。

第四，数据统计难、数据预测难。对于存量数据的统计问题，存在诸多难点。例如境内现存个人信息统计较难，例如企业邮箱内的各类个人信息统计，或者已经出境的个人信息如何统计。再如，对于未来2年的数据出境数量，如何预测，如果业务发展中，突然激增，可能面临重新走安全评估的问题，影响业务发展。

2023年3月，全国政协的相关委员，也有相关议案提到上述观点[1]。

NEWS

《数据跨境新规（征）》的五个“变”

PART/2

（一）“一变”：从“1万、10万、100万”到“1万、100万”，从“上一年度、累计存量”到“预计一年内”

1、企业判断数据出境的逻辑有大的调整。过往的判断公式要推翻，重构。

2、不谈个人敏感信息，重点谈个人信息。

3、不谈上一年度和累计存量，而是重点关注预计未来一年内的出境数量。

4、预计一年内向境外提供1万人以下（注：不含1万人）个人信息，豁免三条出境监管路径。而之前需要走备案或者认证。目前不用了。

5、预计一年内向境外提供1万人以上（注：含1万人）到不满100万人个人信息，走SCC备案或者认证。而之前1万敏感，10万个人信息，缩短到1万个人信息作为起算点，上限卡到100万。

6、预计一年内（是否包括这句话，从段落来看，应该是包括）向境外提供100万人个人信息（注：含100万人），走安全评估数据出境路径。不再看企业存量是否有100万个人信息，只看未来1年内出去的量是否累计达到100万个人信息。企业的历史出境情况不看了，出去多少都不看。但是这一条并非当然适用数据出境安全评估路径，还需要结合下面的“二变”与“三变”考虑，可能存在豁免情形。

（二）“二变”：员工个人信息出境更加宽松，有利于跨国企业交换信息

员工个人信息出境在实务中，对于跨国企业、企业出海非常常见。这一次调整，对跨国企业、企业出海则非常友好。如果符合“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理，必须向境外提供内部员工个人信息的；”，则企业不需要走三条数据出境监管路径。但是这里面需要注意，就是何为“必须”。这一判断，仍然需要结合监管的口径判断。建议企业内部要做好论证。必要时，可以和监管沟通，和外部数据出境专家律师团队进行论证，内部做好留痕记录。

（三）“三变”：十大重点场景豁免机制进一步释明，降低数据出境门槛

（四）“四变”：“重要数据”的判断规则更为简洁，但仍然不应简单化

企业应注意在判断其所出境数据是否构成重要数据时，需要注意：

1、未被相关部门告知——安全！不是重要数据！

2、未被相关地区告知——安全！不是重要数据！

3、未被公开发布为重要数据——安全！不是重要数据！

但是，我们认为企业仍然不能完全被动等待，仍然要主动结合所在行业法律法规、公开案例和未生效的重要数据识别指南（两个版本）进行自评估。这也是《数据安全法》第二十七条对数据处理者的要求[2]。

（五）“五变”：自贸区的负面清单制，成为数据出境监管机制新亮点

《数据跨境新规（征）》的最大亮点，则是赋予自贸区负面清单机制，即只要不是这个清单的数据，则可以自由进出。但是该清单需要报省级网络安全和信息化委员会批准，报国家网信部门备案。

未来需要关注的是：1、不同自贸区（目前全国至少有18个[3]），其负面清单的差异化；2、负面清单需要解决的是，具体行业、具体场景下存在争议的数据，是否在自贸区可以出境的问题。该认定，赋予自贸区更多自主权，同时也要面临更多责任；3、自贸区应结合所在区域的特点，进一步挖掘数据出境场景，促进我国数据出境高效流转，发挥积极作用。

NEWS

《数据跨境新规（征）》的五个“不变”

PART/3

（一）“一不变”：立法原则和目的不变

《数据跨境新规（征）》仍然强调“保障国家数据安全，保护个人信息权益，进一步规范和促进数据依法有序自由流动”。而从这次修订来看，是进一步加强了“有序自由流动”这一立法目的。

（二）“二不变”：《个人信息保护法》《数据安全法》等法律法规对个人信息处理的规则要求不变

《数据跨境新规（征）》中明确了，

五、“…但是，基于个人同意向境外提供个人信息的，应当取得个人信息主体同意。”

六、“…但是，基于个人同意向境外提供个人信息的，应当取得个人信息主体同意。”

九、“…数据处理者向境外提供重要数据和个人信息，应当遵守法律、行政法规的规定，履行数据安全保护义务，保障数据出境安全；发生数据出境安全事件或者发现数据出境安全风险增大的，应当采取补救措施，及时向网信部门报告。”

除了上述要求，仍然要关注《个人信息保护法》的个人信息安全影响评估，相关隐私政策告知等要求，不可忽略。

（三）“三不变”：CIIO、特殊的敏感信息，仍然是重点监管

虽然《数据跨境新规（征）》不再对个人敏感信息进行数量统计并纳入数据出境路径的判断基数，但是在针对“涉及党政军和涉密单位敏感信息、敏感个人信息的”，仍然需要走专门的法律法规要求的路径，并非豁免，且该规定属于部门规章，也无法豁免更高法律位阶的义务要求。

如果数据处理者是CIIO或者党政军、涉密单位，其对外提供敏感信息、敏感个人信息、个人信息、重要数据等，仍然要考虑走数据出境安全评估机制或者其他符合法律法规要求的路径。

（四）“四不变”：监管措施仍然不变

进一步强化了事中事后监管，具体措施仍然包括了责令停止数据出境活动的措施。

（五）“五不变”：个人信息的类型、统计和预测，安全评估的有效期，以及出境的必要性判断，仍然是企业内部标准合规动作

企业在做盘点时，仍然要关注目前业务和出境数据额类型，以及结合存量（过往历史数据），来预测未来1年的出境情况。这一点在实务中其实已经在操作，只是过去是预测2年，目前改为1年，更为合理。此外，如果企业最终仍然要走数据出境安全评估路径，安全评估结果2年到期后[4]，仍然需要提前规划新的申请。该2年有效期仍然不变。同时，数据出境的字段必要性问题，仍然需要企业重点关注和论证。如果想当然认为必要性足够，仍然在未来事中事后监管中，面临被叫停或者减少出境字段的风险。

NEWS

对企业的若干建议

PART/4

（一）针对实务中的三大类企业，即：

A、已经取得安全评估、备案结果的企业

B、已经提交安全评估或者备案申请的企业

C、正在准备安全评估或者备案申请的企业

我们提出如下建议：

第一，不管企业属于上述ABC哪一种，都需要重新判断自身数据出境路径，并最终以《数据跨境新规（征）》正式稿为准判断最终路径。

第二，2023年12月1日前的原有备案机制的整改截止日，可能会延迟。除非《数据跨境新规（征）》正式稿可以在12月1日之前出台，为此监管可能进一步明确备案机制新的整改截止日。

第三，如果企业属于A情形，结合表1的“三阶梯”完成自查、合规动作，调整路径。主要是阶梯一、二需要判断。

第四，如果企业属于B情形，建议重新判断路径，如果不需要走安全评估或，则可能要调整走备案或者认证，为此需要关注备案的截止整改日，早做准备。因为备案是需要提交PIA报告，安全评估不需要。而且可能涉及申报主体调整，不同省网信办的要求不同，导致无法妥善完成备案。

第五，如果企业属于C情形， 则结合表1的“三阶梯”完成合规动作即可。

（二）具体下一步工作

1、积极拥抱监管新政。

2、内部召开数据出境专题会议，就公司当前情况，需要进一步走的数据出境路径进行预判，并暂缓提交材料。

3、就我国当前数据出境监管政策的调整，重新确定企业的数据出境战略。

NEWS

小结

PART/5

（一）企业应避免走入误区

《数据跨境新规（征）》的出台，让企业数据出境合规成本进一步下降，是监管部门对自身数据出境监管力度的调节，是利益平衡的表现。对此，企业应该避免走入三大误区：

1、错误之一：合规后置，而非前置；

2、错误之二：做过的合规，是无用功；

3、错误之三：数据出境的基本合规动作可以不做了，日常监测也可以不用做了。

（二）数据出境合规仍然是企业合规的必修课

1、 我国《刑法》的10个以上的数据类犯罪刑事法律责任条款仍然有效；

2、 我国《个人信息保护法》2个顶格罚案例已经出现，滴滴80.26亿和知网5000万罚单；

3、 《国家安全法》《保守国家秘密法》《反间谍法（2023年修订）》《人类遗传资源管理条例》《征信业务管理办法》等涉及特殊的数据出境法律法规仍然有效，国家安全、公共利益、个人信息主体权益保护，仍然受到我国上位法的保障；

4、 数据出境仍然是企业数据合规的高风险场景，不可以忽视。

（三）数据出境监管一直在变，但是法律原理不变。未来我们将继续关注：

1、《数据跨境新规（征）》的最终发布稿并进行解读；

2、未来我国各地自贸区的数据出境负面清单情况，以便企业结合不同自贸区选择更合适的出境地点；

3、监管部门在事中、事后的监管力度和具体措施；

4、重要数据的具体界定。尤其是重要数据在不同行业具体认定规则、案例的发布，以便企业更好判断是否需要启动数据出境安全评估工作或者备案工作；

5、上述取得安全评估结果、取得备案结果，以及已经提交安全评估、备案材料后，监管部门反馈的进一步口径；

6、我们还将继续关注全球数据出境监管政策，以便为我国进一步完善数据出境监管规定，提出我们的立法建议。

[1] 全国政协委员、深圳市地方金融监管局局长何杰：建议优化金融数据跨境合规体系》 https://mp.weixin.qq.com/s/9Urb_zvSy1ufhP-H-Wj6iw ，访问日期：2023年9月29日。

[2] 《数据安全法》第二十七条，开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。

[3] 2013年9月27日，国务院批复成立中国（上海）自由贸易试验区。2015年4月20日，扩展中国（上海）自由贸易试验区实施范围。2015年4月20日，国务院批复成立中国（广东）自由贸易试验区、中国（天津）自由贸易试验区、中国（福建）自由贸易试验区。2017年3月31日，国务院批复成立中国（辽宁）自由贸易试验区、中国（浙江）自由贸易试验区、中国（河南）自由贸易试验区、中国（湖北）自由贸易试验区、中国（重庆）自由贸易试验区、中国（四川）自由贸易试验区、中国（陕西）自由贸易试验区。2018年10月16日，国务院批复同意设立中国（海南）自由贸易试验区。2019年8月2日，国务院批复同意设立中国（山东）自由贸易试验区、中国（江苏）自由贸易试验区、中国（广西）自由贸易试验区、中国（河北）自由贸易试验区、中国（云南）自由贸易试验区、中国（黑龙江）自由贸易试验区。2020年6月1日，中共中央、国务院印发了《海南自由贸易港建设总体方案》，并发出通知。2020年9月21日，国务院批复同意设立中国（北京）自由贸易试验区、中国（湖南）自由贸易试验区、中国（安徽）自由贸易试验区，扩展中国（浙江）自由贸易试验区。

[4] 《数据出境安全评估办法》第十四条，通过数据出境安全评估的结果有效期为2年，自评估结果出具之日起计算。在有效期内出现以下情形之一的，数据处理者应当重新申报评估：

（一）向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的，或者延长个人信息和重要数据境外保存期限的；

（二）境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的；

（三）出现影响出境数据安全的其他情形。

有效期届满，需要继续开展数据出境活动的，数据处理者应当在有效期届满60个工作日前重新申报评估。

王艺

深数所认证DEXCO（数据交易合规师）、植德律师事务所合伙人、合规部牵头人

持有CIPP/E、PIPP-DPO等资质，武汉仲裁委员会仲裁员（数据合规方向），专注于数据合规、AIGC合规、金融合规。2023年8月出版《数据出境法学原理与实务》书籍；2022-2023年参与《深圳跨数贸易大数据平台数据管理办法》的起草工作；为金融、医疗、汽车、SaaS、酒店、零售、互联网、先进制造等各类行业提供了数据交易合规、数据出境合规、IPO数据合规、投融资数据合规等法律服务。

陈文昊

深数所认证DEXCO（数据交易合规师）、植德律师事务所合伙人

专注于数据合规、反商业贿赂、公司内部调查、政府监管及争议解决。为酒店、金融、医疗、汽车、零售、互联网、先进制造等各类行业提供了数据出境合规、IPO数据合规、投融资数据合规等法律服务。

转载声明：

欢迎转载，但请务必：（1）注明出处和作者，并转载全文内容（含DEXC+智库专栏介绍等）；（2）未经作者同意，必须保留此段声明；（3）必须在文章中给出原文链接。

END

 往期推荐 ·

深数所动态：

精彩活动：

精彩观点：

联系我们

深圳数据交易所作为深圳交易集团所属企业，积极秉承深圳交易集团恪守“廉洁从业”和“服务质量”两条生命线的理念，将以“锐意进取，开拓创新”的创业精神积极寻求数据治理、数据安全、数据流通等各类合作机会，并审慎探索跨境数据流通交易和监管协调机制，逐步完善数据要素市场化交易服务平台、信息枢纽、登记中心、应用载体等功能建设，欢迎各位合作伙伴和专家学者积极参与数据要素生态圈共建，并提出宝贵建议！

更多业务垂询请发送邮件至marketing@szdex.com

-End-

 欢迎扫码了解我们 

深圳数据交易所

SHENZHEN DATA EXCHANGE