本文共字，预计阅读时间。

2023年9月28日，国家互联网信息办公室发布了《规范和促进数据跨境流动规定（征求意见稿）》（以下简称《规定》），公开向社会大众征求意见。该《规定》是对《数据处境安全评估办法》、《个人信息处境标准合同办法》等数据出境规定的进一步细化与明确，目的是为了加强对跨境数据流动的监管，保护个人信息和国家安全，促进数据的合理流动和利用。

作为“21世纪的石油”，数据开发利用与治理已经成为社会各个领域都在关注的重点问题。此前，飒姐团队结合办案经验给大家介绍过不少关于数据治理的问题。今天，飒姐团队就为大家梳理这份《规定》的主要内容。《规定》的内容并不多，一共十一条，但包含了对数据跨境监管政策的重大调整，体现了在确保数据有序跨境流动的同时，降低相关企业合规负担的监管倾向。根据内容的不同，可以把《规定》的条文分为以下四个部分。

01 四种“豁免”数据

通常而言，数据出境流动前，需要完成以下三项前置程序：申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。而《规定》的前四条则以“豁免清单”的形式明确了不需要走这三项流程的四种数据类型：

1.国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境，不包含个人信息或者重要数据的；

2.未被相关部门、地区告知或者公开发布为重要数据的；

3.不是在境内收集产生的个人信息向境外提供；

4.符合以下情形之一的：

（1）为订立、履行个人作为一方当事人的合同所必需，如跨境购物、跨境汇款、机票酒店预订、签证办理等，必须向境外提供个人信息的；

（2）按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理，必须向境外提供内部员工个人信息的；

（3）紧急情况下为保护自然人的生命健康和财产安全等，必须向境外提供个人信息的。

也就是说，上述列举的数据类型在出境流动时，无需通过出境前置程序，而不在以上列举的四种类型中的数据，在跨境流动时，则需要完成出境前的三项前置程序。以”豁免清单“的形式对数据进行规范类型化，尽可能全面、科学地囊括各类出境流动的数据类型，这显然体现了我国在数据跨境流通上面的努力，同时也在一定程度上解决了诸多企业关于其行为是否属于需进行审批的数据出境行为的困惑。

02 两种“半豁免”数据

《规定》第五、六条延续前四条的内容，也是对满足一定条件的数据进行管理“豁免”的规定。然而，第五、六条提到的数据类型并不能得到三项出境前置程序的“全豁免”，而是分以下情形受到“半豁免”：

1. 预计一年内向境外提供不满1万人个人信息的，不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。但是，基于个人同意向境外提供个人信息的，应当取得个人信息主体同意。

2. 预计一年内向境外提供1万人以上、不满100万人个人信息，与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的，可以不申报数据出境安全评估；向境外提供100万人以上个人信息的，应当申报数据出境安全评估。但是，基于个人同意向境外提供个人信息的，应当取得个人信息主体同意。

也就是说，上述两项从“量”的角度对数据进行类型化，以向境外提供个人信息数据的数量为标准，赋予其对前置程序不同程度的“豁免”程度。这也与目前相关的法律法规相呼应。

03 四类主体

《规定》的第七、八、九条列举了对于四类不同主体下数据跨境流动的不同要求，分别是自由贸易试验区、国家机关和关键信息基础设施运营者、数据处理者以及地方网信部门。

对于自由贸易试验区，《规定》则赋予其自行制定数据“负面清单”的权利，“负面清单”制定后需报经省级网络安全和信息化委员会批准后，报国家网信部门备案。所谓的自贸区数据“负面清单”，是指自贸区认为需要完成出境前置程序，即需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据，而“负面清单”外的数据，即与《规定》前四项列举的数据类型一样，能够得到管理的“全豁免”。

对于国家机关和关键信息基础设施运营者，其向境外提供个人信息和重要数据时，尤其是“敏感信息”和“敏感个人信息”时，需依照有关法律、行政法规、部门规章规定执行。

对于数据处理者，在遵守法律、行政法规向境外提供重要数据和个人信息的同时，还要履行数据安全保护义务。《规定》要求，发生数据出境安全事件或者发现数据出境安全风险增大的，数据处理者应当采取补救措施，及时向网信部门报告。

对于地方网信部门，《规定》明确了其监管职能，要求加强对数据处理者数据处境活动的指导监督。在发现数据出境活动存在较大风险或者发生安全事件的，网信部门应要求数据处理者进行整改消除隐患；对拒不改正或者导致严重后果的，应依法责令其停止数据出境活动，保障数据安全。

《规定》的最后一条内容是，当出现《数据出境安全评估办法》、《个人信息出境标准合同办法》等相关规定与本规定不一致的情形时，按照本规定执行。这条规定无疑明晰了《规定》在数据出境流动领域中的法律地位与效力。

04 写在最后

随着数据作为社会生产要素地位的不断提升，其出境流动已是不可避免的发展趋势，因而对其进一步明确与细化的治理也逐渐提上日程。毫无疑问，本次公布的《规定》从数据客体、主体两方面出发，提供了一个清晰的监管框架。在数据客体方面，《规定》以“申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”为出境前置程序，通过“豁免清单”的形式较为全面地囊括剩下需要受到监管的出境数据类型。在数据主体方面，《规定》单列了四类主体，其中的对自贸区的规定为一大亮点。赋予其制定本区“负面清单”的权利，建立了自贸区先试先行的数据跨境流通专有通道。

目前，对《规定》的意见反馈时间已截止。《规定》正式出台后数据出境流动的发展新态势也值得我们的期待。飒姐团队也会密切保持关注，第一时间为大家带来关于数据治理领域的新动向。

[Source]

本文系未央网专栏作者发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！首图来自图虫创意。

本文为作者授权未央网发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！首图来自图虫创意。

本文版权归原作者所有，如有侵权，请联系删除。首图来自图虫创意。