專家解讀｜促進和規范數據跨境流動的重要規定

數據跨境流動是指數據處理者向境外提供個人信息等數據。一般將數據跨境流動理解為“數據從一法域被轉移至另一法域的行為”或“跨境對存儲在計算機中的機器可讀數據進行處理”。數據跨境流動主要包括兩種情形：（1）數據跨境的傳輸、轉移行為；（2）盡管數據尚未跨境，但能夠被境外的主體進行訪問處理。

《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》都對數據跨境流動作出了規定，國家網信辦為落實上述法律的相關規定，于2022年7月7日公布了《數據出境安全評估辦法》，于2023年2月22日公布了《個人信息出境標準合同辦法》。這些是處理數據跨境流動的重要部門規章。國家網信辦近日公布了《促進和規范數據跨境流動規定》（以下簡稱《規定》），旨在對數據出境安全評估、個人信息出境標準合同、個人信息保護認證等數據出境制度的施行進行調整，保障數據安全，保護個人信息權益，促進數據依法有序自由流動。

新出臺的《規定》有以下主要內容：

符合規定情形的重要數據出境需要經過安全評估。數據跨境流動管理的基礎是區別重要數據和非重要數據。依據《規定》，重要數據的跨境流動需要經過安全評估，數據處理者應當按照相關規定識別、申報重要數據。但是，未被相關部門、地區告知或者公開發布為重要數據的，數據處理者不需要作為重要數據申報數據出境安全評估。

不包含個人信息或者重要數據的出境豁免。依據《規定》，國際貿易、跨境運輸、學術合作、跨國生產制造和市場營銷等活動中收集和產生的數據向境外提供，如果不包含個人信息或者重要數據，免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。數據處理者在境外收集和產生的個人信息傳輸至境內處理后向境外提供的，如果處理過程中沒有引入境內個人信息或者重要數據，也免予申報數據出境安全評估、訂立個人信息出境標準合同以及通過個人信息保護認證。

部分個人信息出境豁免。《規定》規定，為訂立或者履行個人作為一方當事人的合同確需向境外提供個人信息、按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理確需向境外提供員工個人信息、緊急情況下為保護自然人的生命健康和財產安全確需向境外提供個人信息、關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供不滿10萬人非敏感個人信息，只要不包含重要數據，免予申報數據出境安全評估、訂立個人信息出境標準合同以及通過個人信息保護認證。

自貿區特別立法權與負面清單制度。《規定》指出，自由貿易試驗區在國家數據分類分級保護制度框架下可以自行制定區內需要納入數據出境安全評估、個人信息出境標準合同、個人信息保護認證管理范圍的數據清單，即負面清單，經省級網絡安全和信息化委員會批準后報國家網信部門、國家數據管理部門備案。自貿區內數據處理者向境外提供負面清單之外的數據可以免予數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。

細化數據出境安全評估和個人信息出境標準合同及認證制度。《規定》對需要進行數據出境安全評估的情形作出了明確規定：（1）關鍵信息基礎設施運營者向境外提供個人信息或者重要數據；（2）關鍵信息基礎設施運營者以外的數據處理者向境外提供重要數據，或者自當年1月1日起累計向境外提供100萬人以上非敏感個人信息或1萬人以上敏感個人信息。通過數據出境安全評估的結果有效期為3年，滿期后可以申請延長。

關鍵信息基礎設施運營者以外的數據處理者，自當年1月1日起累計向境外提供10萬人以上不滿100萬人非敏感個人信息或者不滿1萬人敏感個人信息的，應當依法與境外接收方訂立個人信息出境標準合同或者通過個人信息保護認證。

《規定》還以專門條文重申了數據處理者向境外提供個人信息和數據的法律義務，強調各地網信部門的監管職責。

《規定》的公布與實施，體現了優化營商環境、方便數據（個人信息）處理者經營活動的指導思想，對于非重要數據和特定個人信息的出境規定了方便快捷的路徑，對重要數據和敏感個人信息提供了更加精確的保護，有利于實現發展與安全的平衡，更好地保障數據安全，保護個人信息權益，促進數據依法有序自由流動。（作者：張新寶　中國人民大學網絡信息法中心主任，中國法學會網絡信息法學研究會副會長）

來源：中國網信網