数据跨境流动条件放宽，跨境购物支付、机酒预订等属豁免情形

3月22日，国家互联网信息办公室发布《促进和规范数据跨境流动规定》（以下简称《规定》），进一步明确数据出境的豁免情形及其合规路径。

其中指出，为订立、履行个人作为一方当事人的合同，如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等，确需向境外提供个人信息的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

国家网信办官网发布《促进和规范数据跨境流动规定》。

国家互联网信息办公室相关负责人表示，《规定》对现有数据出境制度的实施和衔接作出进一步明确，适当放宽数据跨境流动条件，适度收窄数据出境安全评估范围，在保障国家数据安全的前提下，便利数据跨境流动，降低企业合规成本，充分释放数据要素价值，扩大高水平对外开放，为数字经济高质量发展提供法律保障。

北京大学宪法与行政法研究中心主任、教授王锡锌撰文指出，《规定》充分反映了我国在数据跨境传输监管领域的创新思路，那就是既要通过保障数据跨境传输安全实现数字贸易活动稳定，也要通过畅通数据跨境传输制度渠道打造跨境数字贸易新格局。

明确数据出境合规的豁免情形，降低企业合规成本

去年9月28日，国家网信办就上述《规定》发布征求意见稿，在网络安全法、数据安全法、个人信息保护法等法律法规基础上，调整了数据出境安全评估或者备案的要求，很大程度上降低了相关企业的合规负担。

对比征求意见稿，《规定》进一步细化了相关的条款。比如在为订立、履行个人作为一方当事人的合同所必需的情形中，以列举的形式新增了跨境寄递、支付、开户、考试服务等场景。北京理工大学法学院教授洪延青撰文指出，这些“豁免”覆盖了跨境电商、跨境物流、跨境出行等大量数字贸易活动，降低了数据处理者的合规成本。

《规定》还明确了其他无需进行数据出境安全评估或者个人信息出境标准合同备案的出境场景。具体而言包括，国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的不含个人信息和重要数据的数据向境外提供；境外个人信息在我国处理且没有境内个人信息或者重要数据参与时，其后续向境外提供；按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理确需向境外提供员工个人信息；紧急情况下为保护自然人的生命健康和财产安全确需向境外提供个人信息。

不难发现，《规定》所覆盖的这些豁免场景频繁存在数据跨境流动的现实需求。出于提升交易效率等考虑，对涉及数据出境的多个常见场景均豁免前置程序，将有利于促进数据更高效和安全地流动。

《规定》提到的应当申报数据出境安全评估的两类数据出境活动条件。

值得一提的是，在这些情形中，出境的个人信息即便涉及超过100万人（不含敏感个人信息）或者1万人以上敏感个人信息——即按规定应当申报数据出境安全评估的，上述豁免仍然适用。

《规定》同时明确了重要数据出境安全评估申报标准，提出未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。

此外，《规定》扩大和明确了个人信息出境标准合同和个人信息保护认证的适用范围。其中提到，关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）的，可免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

允许自贸区自行制定数据出境的负面清单

《规定》的另一重要条款，专门就自贸区的数据跨境流动制度增设了“灵活变通的空间”。《规定》第六条指出，自由贸易试验区在国家数据分类分级保护制度框架下，可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（以下简称负面清单）。

此外，对于负面清单外数据的出境，自贸区还可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

在洪延青看来，对于各个自贸区确立的发展方向（特别是数字化领域）所同时伴生的数据跨境流动需求，国家网信部门此次给各个地方做了监管适配性的授权。这对我国自贸区的发展来说，无疑是一次非常积极的举措。

王锡锌认为，自贸区属于“境内关外”区域，在工商登记、外商投资、人才引进等领域均存在政策优惠，《规定》所设置的数据清单能够让自贸区在兼顾安全管理的基础上，更多地偏向探索具有自贸区经济特色的数据跨境流动体制机制。

南都记者关注到，在刚刚结束的全国两会上，也有多位政协委员围绕数据跨境流动建言献策。全国政协委员、南方科技大学副校长金李在一份“加快促进数据要素市场发育”的提案中建议，开展国家数据跨境安全流通试点，探索建立非重要数据的白名单制度。

在接受南都记者专访时，全国政协常委、上海公共外交协会会长周汉民建议，制定发布《重要数据认证指南》，进一步明晰重要数据和非重要数据的评估标准；同时在自贸试验区出台《豁免申报数据出境的负面清单》，即设置不可豁免出境评估的具体场景，将负面清单内容根据数据重要程度逐级划分，其他不属于此范围的，可以正常审查后出境。

此番随着《规定》的落地，国内数据出境安全管理制度进一步优化。可以看到，在保障数据安全的同时，监管思路也更着眼于促进数据流动与发展。政策规则的逐步清晰，将有助于消除企业对数据出境申报评估存在相关疑虑。

南都记者注意到，为了指导和帮助数据处理者申报数据出境安全评估、备案个人信息出境标准合同，国家网信办在3月22日还发布了《数据出境安全评估申报指南（第二版）》、《个人信息出境标准合同备案指南（第二版）》，对相关的评估备案方式、流程等具体要求作出说明，同时优化简化了所需提交的相关材料。

采写：南都记者 李玲