推動數據跨境合規自由流動

近年來，我國高度重視數據跨境流動，相繼出臺實施《網絡安全法》《數據安全法》《個人信息保護法》（以下簡稱“三大基本法”），對數據出境活動作出明確規定，并發布了《數據出境安全評估辦法》《個人信息出境標準合同辦法》等配套文件，基本構建了數據出境安全管理制度。

2024年政府工作報告指出，健全數據基礎制度，大力推動數據開發開放和流通使用，推動解決數據跨境流動等問題。

3月22日，國家互聯網信息辦公室結合數據出境安全管理工作實際，發布《促進和規范數據跨境流動規定》（以下簡稱《規定》），進一步明確現有數據出境安全評估、個人信息出境標準合同、個人信息保護認證等數據出境制度的實施規則。同日，發布了《數據出境安全評估申報指南（第二版）》（以下簡稱《評估指南2.0》）和《個人信息出境標準合同備案指南（第二版）》（以下簡稱《合同指南2.0》），更新現有數據出境制度的實施規則，適當放寬數據跨境流動條件，適度收窄數據出境安全評估范圍，在保障國家數據安全的前提下，便利數據跨境流動，降低企業合規成本，充分釋放數據要素價值，擴大高水平對外開放，為數字經濟高質量發展提供法律保障。

面對我國數據跨境流動新規，企業需要結合國際形勢加強研判，更新數據跨境流動合規路徑，推動數據依法有序自由流動。

新規新在哪？

1. 細化數據跨境傳輸制度的適用范圍

一是對特定場景業務需求中的數據出境的豁免。二是對影響相對較小的個人信息的出境活動進行豁免。三是對自貿區數據出境“負面清單”的豁免。具體情況如表1。

2. 提高數據出境評估和備案觸發標準

新規重新定義了“數據出境”范圍，《評估指南2.0》減少了第1條“存儲至境外”的情形，新增《個人信息保護法》第三條第二款情形。《規定》關注重心調整為數據出境的規模和類型，提升了現行數據跨境傳輸制度的操作性，降低了中小企業數據出境的業務合規難度。具體數據跨境流動路徑如表2。

3. 重申相關法律要求及數據安全事件的處理原則

一是數據處理者向境外提供個人信息的，應當按照法律、行政法規的規定履行告知、取得個人單獨同意、進行個人信息保護影響評估等義務。

二是強調保障數據出境安全的前提下，規定發生或者可能發生數據安全事件的，應當采取補救措施，及時向省級以上網信部門和其他有關主管部門報告。高效實現數據跨境流動

1. 提升數據跨境流動傳輸場景識別能力

一方面，根據最新管理制度，企業應明確“數據出境”范圍，準確識別數據跨境傳輸場景，如境內數據向境外直接傳輸、境內數據被境外訪問或調取、境外處理境內數據行為等場景，以更好劃分數據出境的范疇。

另一方面，重點關注自身主體類型（是否是關鍵信息基礎設施運營者）、所涉及的數據類型（是否為重要及以上級別的數據）和數據量級（傳輸數據的數量規模）等關鍵要素，持續跟蹤配套制度細則，準確把握關鍵要素合規邊界，以更好地衡量判斷所觸發的合規義務。

2. 及時更新數據跨境流動合規路徑

一方面，新規配套細則出臺之前，應積極依托《信息安全技術 個人信息安全規范》、《數據安全技術數據分類分級規則》等國家標準開展數據分級分類制度建設，識別可能涉及的重要數據并采取相應的保護措施。

另一方面，企業開展數據出境活動前，應實時了解新規及國外政策動態，主動與各地區、行業的主管部門溝通，對擬出境數據的合規性進行階段性確認，及時做好研判和數據跨境策略調整工作。

3. 推動數據有序流動和安全監管并重并行

一方面，企業應時刻關注政策新動向，如關注自貿區發布數據出境負面清單，確保企業既符合數據出境合規性，又享受自貿區內進行數據跨境流通的豁免審查待遇，降低數據出境的合規成本和業務壓力。

另一方面，加強動態管控與安全管理，持續履行三大基本法的數據保護義務，積極搭建好事前審批、事中監測、全程巡查的機制，如建立數據出境合規審批流程、境內外數據流動合規管理體系聯動方案等，有效促進數據有序自由地跨境流動。