一、 新规下什么行为会被认定为“数据出境”？

在讨论如何执行《规定》之前，首先需要明确“数据出境”的定义。网信办最新发布的《数据出境安全评估申报指南（第二版）》《个人信息出境标准合同备案指南（第二版）》对于 “数据出境”的认定标准进行了更新，包括如下情形：

（1）数据处理者将在境内运营中收集和产生的数据传输至境外；

（2）数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；

（3）符合《中华人民共和国个人信息保护法》（简称《个人信息保护法》）第三条第二款[1]情形（包括以向境内自然人提供产品或者服务为目的；分析、评估境内自然人的行为），在境外处理境内自然人个人信息等其他数据处理活动（新增）。

据此，除了过往熟悉的“境内数据向境外直接传输”、“境内数据被境外访问或调取”两种场景之外，今后直接在境外处理境内自然人个人信息的行为也已被确定属于数据出境的范畴。例如，某设立在境外的外国企业面向我国境内用户提供App的下载服务，并且直接收集境内用户个人信息并处理，则将被认定为该企业的活动涉及个人信息出境。

二、“重要数据”出境应当申报安全评估，那么究竟如何认定“重要数据”？

一直以来，监管部门明确要求企业对“重要数据”[2]的出境活动在进行安全风险自评估的基础上，向网信部门申报数据出境安全评估。

（一）“识别”与“认定”的义务分配更明确

《规定》第二条首先指出，企业应当按照相关规定识别、申报重要数据。就在《规定》公布的前一天，国家标准《数据安全技术 数据分类分级规则（ GB/T 43697-2024）》（简称“《数据分类分级规则》”）正式发布，并将于2024年10月1日起正式实施。该规则吸收并细化了《信息安全技术 重要数据识别指南（征求意见稿）》的内容，在附录G部分明确列举“重要数据”的17项考虑因素以及相应的示例，以供企业参考。

尽管如此，在实践操作过程中，不少企业在自行判断拟出境数据是否属于“重要数据”时，还是存在一定的困难和挑战。对此，《规定》给出了明确指引，即重要数据的认定以地方和行业主管部门的通知或公开发布为标准。若企业未被相关部门、地区通知处理了重要数据，或者相关部门、地区未公开发布的重要数据目录清单中未包括企业所处理数据的，则企业无需将某类数据作为重要数据申报数据出境安全评估。一方面，将认定重要数据的艰巨任务从企业身上“移除”，让对自身数据出境的合规风险有了更加明确的可预见性，减轻了企业的合规压力，体现出《规定》促进数据流动的初衷；另一方面，这也反向督促各地区、各部门落实《数据安全法》的规定，按照数据分级分类保护要求，加快制定、确定本地区、本部门以及相关行业、领域的重要数据目录和清单。

各地区也正在积极探索建立数据分级分类的保护制度，以确定“重要数据”为目的，同步促进数据跨境流动管理。例如，天津自由贸易试验区于今年2月5日率先发布了《中国（天津）自由贸易试验区企业数据分类分级标准规范》[3]，将数据分为13大类40子类，核心、重要、一般三个级别，以此解决企业数据跨境流动政策诉求；上海市政府也于2月3日印发了《上海市落实<全面对接国际高标准经贸规则推进中国（上海）自由贸易试验区高水平制度型开放总体方案>的实施方案》，提出率先制定重要数据目录[4]。

（二）企业现阶段的应对措施

在期待各行业、各地区、各部门“重要数据”目录和清单出台的同时，我们也建议相关企业：①依据现有法律法规以及《数据分类分级规则》等国家标准进行企业内部的数据分级分类制度建设，识别可能涉及的重要数据并采取相应的保护措施。在相关目录和清单出台之前，仍应审慎对待本企业的数据出境活动；②主动与各地区、行业的主管部门沟通，及时调整数据跨境策略；③持续关注“重要数据”目录和清单调整范围，并对企业拟出境数据的合规性进行阶段性确认，对未来可能发生的政策变化进行提前预防。

三、如何进行“个人信息”和其他普通数据出境的合规工作？

（一）哪些情况下可豁免采取“数据出境制度”？

为促进数据的自由流动，《规定》第三条、第四条、第五条、第六条均规定了免予申报安全评估、订立标准合同、通过个人信息保护认证的特殊场景，如下：

1. 个人信息过境

根据《规定》第四条，如果企业在境外收集和产生的个人信息传输至境内处理后向境外提供，处理过程中没有引入境内个人信息或者重要数据的（新增），不再需要采取数据出境制度。这也提示企业，如希望适用该条豁免规定的，则应当注意将从境外收集产生的数据与境内的数据分开存储、进行物理隔离，防止在处理过程中境内外数据发生混同，进而无法被认定为“个人信息过境”导致无法豁免“安全保障性措施”。

2. 为订立、履行个人作为一方当事人的合同所必需

根据《规定》第五条第一项，符合“为订立、履行个人作为一方当事人的合同”的合法性基础，确需向境外提供个人信息的，不需要采取数据出境制度。为“履行合同所必需”的场景包括跨境购物、跨境寄递（新增）、跨境汇款、跨境支付（新增）、跨境开户（新增）、机票酒店预订、签证办理、考试服务（新增）等需要向境外提供个人信息的情形。例如，消费者投资国际金融产品时，可能需要向境外提供投资人姓名、身份证信息、联系方式、财务状况等必要个人信息，在此情况下很可能得以豁免。而哪些信息属于“确需”的范畴，仍须进一步通过实践案例进行识别和明确。

3. 基于人力资源管理所必需而出境员工个人信息

根据《规定》第五条第二项，按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理，确需向境外提供本企业内部员工个人信息的，不需要采取数据出境制度。但是，企业依据本场景豁免采取数据出境制度的，还需在实践中进一步评估以下问题：例如，如何确定向境外提供员工个人信息的行为是为实施人力资源管理所“确需”的；如何确定特定字段的出境是为实施人力资源管理所“确需”的。

4. 紧急情况下为保护自然人的生命健康和财产安全

根据《规定》第五条第三项，紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息的，不需要采取数据出境制度。例如，某国家发生了突发性疫情，为了挽救受影响的人民群众的生命安全，某些组织需要将患者的个人信息发送给国际救援机构，以便采取救援措施。但“紧急”到何种程度才可以受豁免，仍然需要通过实践运用而细化明确。

5. 特殊场景下的普通数据出境

企业在实践中常常会问到这一问题：除了个人信息或者重要数据之外的其他数据，例如外贸数据、营销数据、设备运维数据等出境是否需要履行数据出境的相关合规义务。《规定》第三条相对明确地回应了企业的疑虑，针对下述商业贸易、跨境运输（新增）、生产制造、学术交流等数据跨境流动频繁的领域对普通数据（不包含个人信息或者重要数据）采取数据出境制度进行了豁免，旨在促进对外开放。以下，我们通过举例的方式，对上述场景中涉及的跨境传输数据情况进行阐释。

• 其他普通数据

《规定》使用了“等活动”是为了对以上举例场景以外的不包含个人信息或者重要数据的普通数据进行兜底。然而，如何确定“等活动”的具体范围？如何确定跨境活动下的数据为普通数据且能够自由跨境流动而无须采取出境制度？这些细节问题均需要在实践中进行精准判断后，逐步形成确定性意见，并由监管机构进一步发布补充性解释说明。

通常一个企业如涉及出境活动的，往往涉及各类业务场景、集团内不同法律实体，并且涉及相关环节、参与方多样，涉及的数据类型和境外接收方也往往很多，数据出境的链条也较为复杂。例如，在市场营销场景下，企业往往会针对特定个人信息主体进行精准营销，也包括利用去标识化处理后的数据对某类人群包进行定向分析和营销，另外还有些不包括个人信息或重要数据的普通数据（例如aggregative data）。企业若要适用豁免机制，则需要首先准确地判断拟出境的数据是否已经全部达到个人信息匿名化的处理要求。因此，如何识别拟出境的数据是否“不属于个人信息或重要数据”，仍需在实践中进一步探索合规落地标准，也建议企业与监管机构保持沟通或关注其他相关新规出台，或者咨询专业律师以获取对不明确问题的指导与解释。

6. 未列入“自贸区负面清单”的数据

《规定》设计了“自贸区负面清单”的机制——自由贸易试验区在国家数据分类分级保护制度框架下，可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（简称“负面清单”），并经省级网络安全和信息化委员会批准后报国家网信部门、国家数据管理部门备案，以简化数据出境机制。

据此，如果企业位于自贸区内，向境外提供负面清单以外的数据，可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。但需要注意的是，在自贸区负面清单出台前，注册在自贸区内企业的数据出境活动仍需要按照国家数据出境安全管理有关规定执行。

以上海自贸区和临港新片区近期的数据跨境流动管理动态为例。上海市人民政府于2024年2月3日印发了《上海市落实<全面对接国际高标准经贸规则推进中国（上海）自由贸易试验区高水平制度型开放总体方案>的实施方案》，提出制定重要数据目录、探索建立合法安全便利的数据跨境流动机制、在临港新片区建立数据跨境服务中心等措施之后，临港新片区于2024年2月8日编制发布了《中国（上海）自由贸易试验区临港新片区数据跨境流动分类分级管理办法（试行）》，规定了重要数据目录和一般数据清单的管理要求；企业对于在一般数据清单内的数据，向管委会进行申请备案后，可自由流动[5]。其思路是通过建立“正面清单”，推动《规定》落地和鼓励符合要求的辖区内数据进行自由跨境传输。

此外，上海自贸区和临港新片区已基本编制完成智能网联汽车车辆远程诊断、公募基金市场投研信息、跨国公司集团管理、生物医药临床试验和研发等20个场景的跨境流动分级分类的首批清单目录，在完成论证后将于近期对外发布。[6]

我们建议设立在自贸区的企业时刻关注自贸区发布数据出境负面清单的最新动向，及时了解自身所在的自贸区是否为企业设置了数据跨境流通的便利通道（例如“白名单”机制），并及时学习并遵守相关规定，由此确保企业既符合数据出境合规性，又享受自贸区内顺畅进行数据跨境流通的优惠待遇，降低数据出境的合规成本和业务压力。

（二）无法豁免的情形下，数据出境应当采取哪种“数据出境制度”？

如果数据出境不属于上文中提及的可以豁免的业务情形，根据《规定》第五条第四项、第七条第二项和第八条，针对拟向境外提供个人信息的一般企业，应当根据如下标准判断自身应当采取的数据出境制度：

1. 自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证；
    
2. 自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息的，应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证；
    
3. 自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息）或者1万人以上敏感个人信息，应通过所在地省级网信部门向国家网信部门申报并通过数据出境安全评估。

关于采取何种数据出境制度的判断标准，此前《数据出境安全评估办法》的着眼点在自上一年度起已出境的个人信息主体数据量，以及企业作为个人信息处理者已处理的数据存量[7]。《征求意见稿》不再谈论“过往”，重点关注预计未来一年内拟出境的个人信息主体数据量[8]。相较之下，《规定》则在“过往”和“未来”之间选择了一条“立足当下”的折中路径--从当年1月1日起向境外提供的个人信息主体数据量加总作为判断标准，不再要求企业进行“预判”，从而降低企业与监管各自的工作难度。

《规定》也优化调整了可以采取豁免数据出境制度的人数判定阈值：相较于此前《征求意见稿》提出的“不满1万人”，《规定》将这个数字提升到“不满10万人”，加大了企业可相对自由地向境外传输个人信息的空间。另一方面，《规定》也将需要申报数据出境安全评估的门槛从《数据出境安全评估办法》项下的“10万人以上个人信息”提升到“100万人以上个人信息”，但敏感个人信息数量保持在1万人以上需要申请数据出境安全评估不变，但起始点却从去年1月1日起统一变为自当年1月1日起。因此也仅为适度收窄了数据出境安全评估的范围，减轻企业一部分负担。

此外，《规定》的出台厘清了《征求意见稿》中有关个人信息出境方面的几个重要问题，为企业判断采取何种数据出境制度提供了更为细化、明确的标准：

• 敏感个人信息出境情况是否需要考虑在内？

《规定》给出的答案是：需要。并且以当年1月1日起累计满1万人敏感个人信息作为须申请出境安全评估的门槛标准。

《征求意见稿》的文本未对个人信息、敏感个人信息进行了区分只统一讨论个人信息（不管是否包含敏感个人信息）出境人数这种情况。

而《规定》则回归到《数据出境安全评估办法》的思路，将“敏感个人信息”对应的拟出境的自然人数量纳入与个人信息所对应的当年拟出境人数并列关注的范围，并以自当年1月1日起累计向境外提供“1万人以上敏感个人信息”作为须申请数据出境安全评估的阈值标准。

• 既存在豁免情形，但由于向境外提供个人信息的人数超出10万人而需要完成数据出境制度时，该如何处理？

企业可能会问到，如果其符合《规定》第五条第二项“为实施跨境人力资源管理”的豁免条件，但该企业出境的员工人数超过10万人而不满100万人的，是否仍需要完成个人信息标准合同备案或通过个人信息保护认证；倘若出境个人信息的人数超过100万人时是否仍须申报安全评估？

《规定》给出的答案是：否，优先遵从豁免情形。如果存在上文所述豁免数据出境制度的特殊情形（《规定》第三条、第四条、第五条、第六条规定情形的），从其规定。

• 如何计算当年累计向境外提供的个人信息数据量（1万、10万、100万）？

《规定》颁布后国家网信办答记者问（下称“答记者问”）明确了如何计数的问题：

（1）计算周期为自当年1月1日起至申报数据出境安全评估之日。

（2）在数量统计上：①需要以自然人为单位进行去重，例如涉及出境一个自然人的多种个人信息的，记一个自然人；并且②属于上文所述豁免采取数据出境制度的情形（《规定》第三条、第四条、第五条第一款第一项至第三项、第六条规定情形的），不计入累计数量。

• “已处理100万人个人信息的个人信息处理者”是否还适用？

《规定》给出的答案是：不再适用。

过去，根据《数据出境安全评估办法》，如果某企业属于已经处理了100万人以上个人信息的个人信息处理者，即使其只出境了1个自然人的个人信息，也需申报数据出境安全评估。《规定》已不再强调企业历史上已处理的个人信息主体数据量（即处理100万人以上个人信息），而是限定在某一特定时期内（即自当年1月1日起至申报数据出境安全评估之日）累计出境的个人信息或敏感个人信息的数量。这将极大减轻有出境业务企业的出境负担，只要该企业自当年1月1日起实际出境的个人信息数量少于100万人或敏感个人信息少于1万人的，便可以免于申报数据出境安全评估。

（三）数据出境企业应当履行哪些其他合规义务？

应当注意的是，无论是否存在豁免采取数据出境安全保障措施的情形或人数，《规定》第十条强调，企业作为个人信息处理者都应当履行《个人信息保护法》下的个人信息保护义务以确保数据出境的合规性（新增）。包括：

1. 告知并取得个人单独同意

除非具有《个人信息保护法》第十三条第二项至第七项规定的不需取得个人同意的情形，根据《个人信息保护法》第三十九条的规定，企业应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使主体权利的方式和程序等事项，并取得个人的单独同意。

2. 进行个人信息保护影响评估

根据《个人信息保护法》第五十五条的规定，企业应当在个人信息出境前进行个人信息保护影响评估。如果企业在《规定》出台前已开展了部分数据出境合规工作（例如出境数据情况摸排和个人信息保护影响评估）的，则建议应继续进行，并将个人信息保护影响评估报告至少留存三年以备检查、确保合规。

3. 履行数据安全保护义务

根据《规定》第十一条，企业还需要采取技术措施和其他必要措施，保障数据出境的安全，包括通过合同、组织和技术等措施确保境外接收方达到适当的数据安全保护水平[9]。如果发生或者可能发生数据安全事件的，企业应当采取补救措施，及时向省级以上网信部门和其他有关主管部门报告。

四、关键信息基础设施运营者向境外提供重要数据或个人信息需要满足什么合规要求？

《规定》答记者问重申，关键信息基础设施运营者（简称“CIIO”）的认定仍以“是否被通知”作为标准。涉及的重要行业和领域的主管部门、监督管理部门负责制定本行业、本领域关键信息基础设施（简称“CII”）的认定规则，并由其组织认定本行业、本领域的CII，且及时将认定结果通知CIIO。

由于CIIO数据的泄露、损毁与灭失将对国家安全、社会稳定和个人隐私等产生重大影响，因此《规定》第七条第一项与《网络安全法》第三十七条、《个人信息保护法》第四十条和《数据出境安全评估办法》的相关规定保持一致。如果CIIO向境外提供个人信息或重要数据，应通过所在地省级网信部门向国家网信部门申报数据出境安全评估。属于《规定》第三条、第四条、第五条、第六条规定情形的，从其规定。

虽然目前大多数企业并未被认定为CIIO，但这些企业需要关注其客户或合作方是否有可能属于CIIO，以及企业在与CIIO客户进行业务活动时，需要特别遵守与对方在跨境数据交互过程中的合规义务。

五、违反相关规定会面临什么处罚？

相较于《数据出境安全评估办法》和《个人信息出境标准合同办法》，《规定》第十二条规定的罚则相对缓和，给予了数据处理者接受监督、及时整改、消除隐患的机会，对于拟开展数据出境的企业是一大利好消息。

针对“拒不改正或者导致严重后果的”情况，《规定》第十二条明确规定将“依法追究法律责任”，即主要追究行政责任（例如5000万元以下或者上一年度营业额5%以下罚款，直接负责的主管人员和其他直接责任人员担责等），也可能涉及民事责任甚至刑事责任。《征求意见稿》中规定的“依法责令其停止数据出境活动，保障数据安全”也必然会在企业受到法律责任的同时被要求。因此，企业应当引起重视，尽早依法依规完成合规工作。

六、还有哪些需要注意的程序性事项？

相比于《征求意见稿》，《规定》以及配套发布的《数据出境安全评估申报指南（第二版）》、《个人信息出境标准合同备案指南（第二版）》明确了相关程序性事项，在此一并提示企业注意。

（一）数据出境安全评估结果有效期是多长？

《规定》给出的答案是：首次通过有效期3年，期满后可以再延3年。

《规定》将通过数据出境安全评估结果的有效期由《数据出境安全评估办法》中规定的2年延长至3年（自评估结果出具之日起计算）。

同时，增加企业可以申请延长评估结果有效期的规定。有效期届满，需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的，企业可以在有效期届满前60个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请。经国家网信部门批准，可以延长评估结果有效期3年。

这意味着，如果企业在首次申报并通过数据出境安全评估后的3年内，该企业的数据出境活动仍未触发需要再次申报数据出境安全评估的情形，则企业数据出境安全评估结果有效期可以延长至6年。至于6年届满后，是否还能继续延长，《规定》和答记者问均未给出明确的答复，我们相信后续监管会给出具体标准。

（二）已经完成或者正在进行的数据出境安全评估与个人信息出境标准合同备案怎么办？

《规定》答记者问给出的答案是：《规定》施行前已经通过数据出境安全评估的数据出境活动，数据处理者可以根据申报事项继续开展。

《规定》施行前未通过或者部分未通过数据出境安全评估，根据《规定》免予申报数据出境安全评估的数据出境活动，数据处理者可以依法通过订立个人信息出境标准合同、通过个人信息保护认证等其他途径向境外提供个人信息。

《规定》施行前已经申报数据出境安全评估、提交个人信息出境标准合同备案，根据《规定》无需开展上述程序的，数据处理者可以按照原程序进行，也可以向所在地省级网信部门撤回申报、备案。

由上可见，在新旧规定两者的衔接问题上，监管部门采用的是“有利于企业开展数据出境”为原则的监管思路。随着近年来各省级网信部门咨询窗口实践水平的提升，以及《规定》第十二条明确提出各地网信部门应当加强对数据处理者数据出境活动的指导监督，强化事前事中事后全链条全领域监管，如果企业有任何疑问，也可咨询监管。

（三）申报与备案提交途径有无变化？

随着《规定》的出台，网信部门也在不断优化申报和备案的流程。根据《数据出境安全评估申报指南（第二版）》的新规定，申报数据出境安全评估、备案个人信息出境标准合同的企业可以登录专设的数据出境申报系统（网址为https://sjcj.cac.gov.cn）进行操作。根据《规定》答记者问，申请个人信息保护认证可以登录个人信息保护认证管理系统（网址为https://data.isccc.gov.cn）。

CIIO或者其他不适合通过数据出境申报系统申报数据出境安全评估的（目前指南中暂未明确“其他”不适合线上申报的范围），采用线下方式通过所在地省级网信部门向国家网信部门申报数据出境安全评估。指南在《数据出境安全评估申报表》中设置了勾选重要数据情况一栏，因此我们理解涉及重要数据出境的企业可填写该申报表进行申报。

七、结语

千呼万唤始出来的《规定》坚定地拉开了数据跨境流动规范的新篇章。它确立了旨在促进和规范数据跨境自由流动的全面框架体系，通过多种“豁免场景”的设置以及对“数据出境制度”门槛与流程的优化，释放出为企业减负的友好信号。

（一）非CIIO企业应当根据《规定》及时评估对现有数据出境合规工作的影响：

1. 针对重要数据出境的：

• 未收到通知属于重要数据的非个人信息，也不属于国家秘密或者其他规章规定的特殊类型数据的，则按普通数据跨境规则处理。同时，应当关注行业、地区“重要数据”目录清单发布情况，并且企业应在内部建立健全数据分级分类制度，识别是否存在重要数据出境的情况。
   
• 如自行评估后发现可能存在处理重要数据的情况，则应及时向主管部门申报或进行主动沟通确认。若被认定为是重要数据的，则任何一条数据出境均应通过数据出境安全评估。

2. 针对个人信息出境的：

• 企业应先判断是否存在五类豁免场景，包括为订立、履行个人作为一方当事人的合同；实施跨境人力资源管理，确需向境外提供员工个人信息；紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息；以及，拟出境数据未列入“自贸区负面清单”内。
   
• 企业应分别统计向境外传输个人信息或敏感个人信息当年的总人数，判断应当采取何种数据出境制度。是否存在少量人数出境的豁免情形，即自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）。
   
• 对于不需要实施数据出境安全评估、标准合同备案和个人信息保护认证三类数据出境制度的企业，也需要根据《个人信息保护法》等法律法规，继续完成“告知-同意”、事前个人信息保护影响评估等合规要求。
   
• 对于仍需要遵循安全评估、标准合同备案或个人信息保护认证路径的企业，则应继续按时完成相应的申报、备案或认证工作，准确了解每类数据出境制度的具体要求和流程，并按照相关规定进行操作。

3. 针对普通数据（非重要数据或个人信息）出境的：

• 针对国际贸易、跨境运输、跨国生产制造、学术合作、市场营销等活动中收集和产生的数据跨境流动豁免采取出境制度。
   
• 其他普通数据仍需在实践中进一步探索合规落地标准，但均属于能自由跨境流动而无须采取出境制度。

（二）被通知为CIIO的企业涉及个人信息或重要数据出境的，应依法依规完成数据出境安全评估。

同时，也建议企业密切关注监管部门后续对于《规定》的进一步解释与适用，特别是《规定》的豁免场景在实践中的认定情况（包括注册在自贸区的企业应关注自贸区数据出境负面清单或正面清单），以判断自身的数据出境情况是否满足豁免条件，并据此及时调整合规策略，确保企业在数据出境方面符合法规要求。

附件：数据出境合规框架的主要变化对比