2023年9月28日，国家互联网信息办公室（以下简称“国家网信办”）发布关于《规范和促进数据跨境流动规定（征求意见稿）》公开征求意见的通知，拟就我国数据出境监管制度作出调整，以进一步规范和促进数据有序自由流动。整体而言，征求意见稿释放了结构性调整的重要信号，给当前数据跨境流动政策“松绑”。征求意见稿在沿用《数据出境安全评估办法》和《个人信息出境标准合同办法》的整体框架下，实质性豁免了部分场景申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证（以下统称“数据出境手续”）等义务，大幅调整了数据跨境传输的适用标准，为数据跨境流动提供了更多可能。下文详细梳理征求意见稿的要点内容并予以评论和提出建议。

一、要点内容

（一）豁免几类数据出境场景的手续义务

1. 国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境，不包含个人信息或者重要数据的；

2. 未被相关部门、地区告知或者公开发布为重要数据的；

3. 不是在境内收集产生的个人信息向境外提供；

4. 为订立、履行个人作为一方当事人的合同所必需，如跨境购物、跨境汇款、机票酒店预订、签证办理等，必须向境外提供个人信息的；

5. 按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理，必须向境外提供内部员工个人信息的；

6. 紧急情况下为保护自然人的生命健康和财产安全等，必须向境外提供个人信息的。

（二）调整个人信息跨境传输的数量和统计标准

1. 预计一年内向境外提供不满1万人个人信息的，可以豁免出境手续；

2. 预计一年内向境外提供1万人以上、不满100万人个人信息，在订立标准合同并备案或者通过认证的情况下，可以不申报安全评估；

3. 向境外提供100万人以上个人信息的，应当申报安全评估。

4. 在上述情况下，基于个人同意向境外提供个人信息的，均应当取得个人信息主体同意。

（三）授权自由贸易区设立负面清单制度

1. 自贸区可以自行制定本自贸区需要纳入数据出境手续管理范围的数据清单（即负面清单），报经省级网络安全和信息化委员会批准后，报国家网信部门备案；

2. 自贸区负面清单外的数据出境，可以豁免出境手续。

（四）在“松绑”之外依然强调合规义务和部门监管

1. 数据出境仍需合法合规，数据处理者应履行安全保护义务，保障数据出境安全，在发生安全事件或发现安全风险增大的，应当采取补救措施和及时报告；

2. 地方网信部门应当加强指导监督，强化事前事中事后监管。

二、简要评论

其一，意见稿对数据出境手续的必要性判断呈现出放松的监管态度。[1]通过规定豁免出境手续的数据出境场景、调整触发出境手续的数据标准，意见稿明确了无需办理数据出境手续的具体情形，降低了数据出境的合规成本。如果意见稿最终生效，相关规定对促进数据跨境有序自由流动将会有实质性影响，同时无疑也将提升数字市场的信心。

其二，意见稿将数据出境从中央管控扩展到中央和地方两级管控。通过授权自由贸易区设立负面清单制度，意见稿改变了原本统归中央管控的数据出境安全管理体制，进一步放宽自贸区内数据跨境流动政策，给予自贸区以充分的自由决策和试点权限。对包括外商投资企业在内的部分企业而言，这一规定进一步增加了数据跨境流动的便利性。

其三，意见稿体现出中国在数字经济下兼顾安全和发展的治理理念。当前，世界各国在跨境数据流动规则方面仍未达成共识，中国迫切的需要主动参与到国际数据流动规则的制定中，并加快完善和构建中国特色跨境数据流动规则体系。从意见稿预留的不足20日的征求意见期间也可以看出，相关部门期望尽快以高效方式出台正式文本和推进规定生效实施。

三、合规建议

意见稿如果最终形成正式文本并得以生效实施，将会对现有数据出境和个人信息出境的手续产生变化。虽然，我们可以推测最终文本将大概率保留上述规定，且有望高效完成落地程序，但对正在办理数据出境手续或有相关需求的企业来说，我们建议根据意见稿重新评估实际情况，以判断是否符合豁免情形。经评估后如果符合，企业可以在与相关部门沟通的基础上结合企业具体需求，考虑是否需要改变现有方案。如果尚未开展数据出境手续，建议密切关注后续立法动态，以在合适时机开展工作。

此外，值得一提的是，意见稿虽然豁免部分场景下的数据出境手续，但作为数据处理者，应需要履行安全保护义务和保障数据出境安全，在发生安全事件或发现安全风险增大的，应当采取补救措施和及时报告，避免引发其他合规问题。

[1] 刘典：《数据跨境流动新规发布，释放了什么重要信号？》，腾云微信号，2023年10月17日。