解读国家网信办《规范和促进数据跨境流动规定（征求意见稿）》

9月28日，国家互联网信息办公室发布了《规范和促进数据跨境流动规定（征求意见稿）》（以下简称“《规定》”），旨在保障国家数据安全，保护个人信息权益，进一步规范和促进数据依法有序自由流动。相较于之前已正式颁布的数据跨境规范（《数据出境安全评估办法》、《个人信息出境标准合同办法》），《规定》对数据跨境给出了更为明确的定义与界定，以及对于何时、在哪些情境下需要进行数据出境安全评估，以及何时可以豁免等，都提供了更加明确的指引。具体如下：

一、进一步明确了数据出境的定义。1.《规定》明确了在某些情境下数据出境的定义，例如国际贸易、学术合作等，如果这些数据不包含个人信息或重要数据，则不需要进行特殊处理或评估。2. 对重要数据的界定，《规定》明确了只有被明确标识为“重要数据”的数据，才需要进行数据出境安全评估。3. 对于境外收集的个人信息，如果个人信息不是在中国境内收集或产生的，那么它可以自由流出，并无需进行额外评估。

二、对于个人信息的数量统计方法以及相应的合规要求给出了更直接更简单的解释。规定根据向境外提供的个人信息的数量，设置了不同的合规要求。例如，提供少于1万人的信息不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证；预计1年内向境外提供1万人以上、不满100万人个人信息，需要订立个人信息出境标准合同、通过个人信息保护认证；而提供100万人以上的信息则必须进行数据出境安全评估。另外一个变化是，在《规定》中不再区分敏感个人信息和普通个人信息，这样也更加有利于企业进行个人信息跨境的数量统计，减少合规动作执行时的疑虑和纠结。

三、给出了豁免的例外场景条件。包括1.在合同的订立、履行中，普通个人作为一方当事人的合同，必须向境外提供个人信息的。2.为实施人力资源管理，必须向境外提供内部员工个人信息的。3. 紧急情况下为保护自然人的生命健康和财产安全等，必须向境外提供个人信息的。符合上述场景定义的情况下，个人信息出境不需要：申报数据出境安全评估，订立个人信息出境标准合同，以及通过个人信息保护认证。

四、新增加了自贸区数据负面清单。自贸区可以制定自己的数据负面清单，对于负面清单外数据出境，可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。需要注意的是，该数据负面清单需经省级网络安全和信息化委员会批准后，报国家网信部门备案。

五、对于敏感情形仍然保留了严格的管控要求。国家机关和关键信息基础设施运营者向境外提供个人信息和重要数据的，以及向境外提供涉及党政军和涉密单位敏感信息、敏感个人信息的，仍然强调需要依照有关法律、行政法规、部门规章规定执行。

基于上述的归纳总结，我们不妨分析一下其中值得关注的几个亮点，预计这些亮点将会对企业和组织未来的合规战略产生重大影响。

亮点一：
重要数据的定义。这一问题在重要数据定义正式版迟迟未能发布的今天，显得尤为重要。企业在实际操作中，很难单凭自己的判断去独立识别哪些是重要数据。此规定松绑了企业对重要数据的识别和判断的义务，类似于关键信息基础设施的定义，即：只有明确被监管部门通知到的企业或组织，才需要承担起关键信息基础设施运营者的义务，而未被告知的，就不是关键信息基础设施。因此，未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。此定义免去了企业对把握不定的可疑数据是否进行申报的忐忑和焦虑。

亮点二：
自由贸易试验区的数据负面清单。自贸区可以自行制定数据负面清单，没有被纳入负面清单的数据，可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。这里彰显了鼓励自由贸易和经济创新，同时在数据流动方面给予一定的自由度。

亮点三：
更为开放与合理的豁免情境。规定中明确了多种情境，如个人为当事人履行合同、人力资源管理、紧急情况等，可以豁免履行数据出境的合规行动。这显示了监管部门在保护数据安全的同时，也考虑到了实际业务的需要，减少了企业的数据合规成本。

从这些变化及亮点来看，这个版本更加明确、具体并考虑到了实际业务的需求。它在保护数据安全的同时，也为企业提供了更多的灵活性，以适应目前快速发展的数字化全球经济大潮，助力中国数字经济的健康有序、安全合理的发展。