以下文章来源于“教授加”，作者张新宝，中国人民大学教授。“新宝看法”是张新宝教授在教授加开设的独家专栏，栏目文章已经正式上线学习强国。同时，栏目文章还被今日头条官方号同步转发。

核心观点

……

●3月22日国家互联网信息办公室公布《促进和规范数据跨境流动规定》（以下简称《规定》）。《规定》旨在落实有关法律的相关制度，对现有数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的实施和衔接作出进一步明确规定，适当放宽数据跨境流动的条件，适度收窄数据出境安全评估范围，在保障国家数据安全的前提下便利数据跨境流动，降低企业合规成本，充分释放数据要素的价值，服务于扩大高水平对外开放，为数字经济高质量发展提供法律保障。

促进和规范数据跨境流动 充分释放数据要素价值

一、概述

数据跨境流动是指数据处理者向境外提供个人信息等数据。一般将数据跨境流动理解为“数据从一法域被转移至另一法域的行为”或“跨境对存储在计算机中的机器可读数据进行处理”。数据跨境流动主要包括两种情形：（1）数据跨境的传输、转移行为；（2）尽管数据尚未跨境，但能够被境外的主体进行访问处理。

《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》都对数据跨境流动作出了规定，国家网信办为落实上述法律的相关规定，于2022年7月7日公布了《数据出境安全评估办法》，于2023年2月22日公布了《个人信息出境标准合同办法》。这些规定是处理数据跨境流动的重要部门规章。国家网信办3月22日公布了《促进和规范数据跨境流动规定》，旨在落实有关法律的相关制度，对数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的施行进行调整，保障数据安全，保护个人信息权益，促进数据依法有序自由流动。《规定》自公布之日起施行，《数据出境安全评估办法》、《个人信息出境标准合同办法》相关规定与《规定》不一致的，适用《规定》。

二、新出台《规定》的主要内容

（一）符合规定情形的重要数据出境需要经过安全评估

数据跨境流动管理的基础是区别重要数据和非重要数据。数据出境安全管理不是对于所有数据，只限于重要数据和个人信息，这里的重要数据是针对国家而言，而不是针对企业和个人。依据《规定》，重要数据的跨境流动需要经过安全评估，数据处理者应当按照相关规定识别、申报重要数据。但是，未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。

（二）不包含个人信息或者重要数据的出境监管豁免

依据《规定》，国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供，如果不包含个人信息或者重要数据，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供的，如果处理过程中没有引入境内个人信息或者重要数据，也免予申报数据出境安全评估、订立个人信息出境标准合同以及通过个人信息保护认证。

（三）部分个人信息出境监管豁免

《规定》指出，为订立或者履行个人作为一方当事人的合同确需向境外提供个人信息、按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理确需向境外提供员工个人信息、紧急情况下为保护自然人的生命健康和财产安全确需向境外提供个人信息、关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人非敏感个人信息，只要不包含重要数据，免予申报数据出境安全评估、订立个人信息出境标准合同以及通过个人信息保护认证。

（四）自贸区特别立法权与负面清单制度

《规定》指出，自由贸易试验区在国家数据分类分级保护制度框架下可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单，即负面清单，经省级网络安全和信息化委员会批准后报国家网信部门、国家数据管理部门备案。自贸区内数据处理者向境外提供负面清单之外的数据可以免予数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

（五）细化数据出境安全评估制度

《规定》对需要进行数据出境安全评估的情形作出了明确规定：（1）关键信息基础设施运营者向境外提供个人信息或者重要数据；（2）关键信息基础设施运营者以外的数据处理者向境外提供重要数据，或者自当年1月1日起累计向境外提供100万人以上非敏感个人信息或1万人以上敏感个人信息。通过数据出境安全评估的结果有效期为3年，满期后可以申请延长。

法律和法规对关键信息基础设施运营者的数据出境作出了特别规定。关键信息基础设施运营者，是指在公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域中负责运营关键信息基础设施的实体。这些设施和信息系统的安全对于国家安全、国计民生、公共利益至关重要。一旦遭到破坏、丧失功能或者数据泄露，可能产生严重危害。关键信息基础设施运营者需要遵守相关法律法规，履行包括设置专门安全管理机构、定期进行网络安全教育和技术培训、对重要系统和数据库进行容灾备份、制定网络安全事件应急预案、数据出境监管等在内的义务。

（六）明确标准合同和个人信息保护认证制度的适用范围

关键信息基础设施运营者以外的数据处理者，自当年1月1日起累计向境外提供10万人以上不满100万人非敏感个人信息或者不满1万人敏感个人信息的，应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。

此外，《规定》还以专门条文重申了数据处理者向境外提供个人信息和数据的法律义务，强调各地网信部门的监管职责。

《规定》的公布与实施，体现了优化营商环境、方便数据（个人信息）处理者经营活动的指导思想，对于非重要数据和特定个人信息的出境规定了方便快捷的路径，对重要数据和敏感个人信息提供了更加精确的保护，有利于实现发展与安全的平衡，更好地保障数据安全，保护个人信息权益，促进数据依法有序自由流动。