问题提出

2024年3月22日，国家互联网信息办公室公布了《促进和规范数据跨境流动规定》（以下简称“《规定》”），并自当日实施。本文就《规定》下数据出境三种合规路径的触发门槛和出境豁免情形做一简单分析。

律师解读

根据相关法律法规，目前数据出境的三种合规路径包括：申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。《规定》对于三种合规路径的触发门槛和出境豁免情形（即免于申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。）做了细化，在减轻企业的负担的同时，也能够规范和促进数据依法有序自由流动。具体如下：

一、申报数据出境安全评估的触发门槛。

《规定》第七条针对不同的数据处理者，明确了应当申报数据出境安全评估的不同触发门槛：（1）对于关键信息基础设施运营者，向境外提供个人信息或者重要数据，就应当申报数据出境安全评估；（2）对于关键信息基础设施运营者以外的数据处理者，在下述三种情形下应当申报进行数据出境安全评估：①向境外提供重要数据；②自当年1月1日起累计向境外提供100万人以上非敏感个人信息；③自当年1月1日起累计向境外提供1万人以上敏感个人信息。可见，对于重要数据出境的监管依然保持了严格的规定。

二、订立个人信息出境标准合同或通过个人信息保护认证的触发门槛。

《规定》第八条明确关键信息基础设施运营者以外的数据处理者，有下述情形之一的，应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证：①自当年1月1日起累计向境外提供10万人以上不满100万人非敏感个人信息的；②自当年1月1日起累计向境外提供不满1万人敏感个人信息的。此规定，数据统计时间从“上年1月1日”调整为“当年1月1日”，且提高了向境外提供非敏感个人信息的门槛，调整为“10万人以上”，但是对于个人敏感信息出境的监管依然是比较严格的。

三、出境豁免情形。

尽管《规定》明确了数据出境的三种合规路径的触发门槛，但同时第三条至第六条也规定了出境豁免的情形：

1、特定场景下出境豁免：国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的不包括个人信息或重要数据的数据出境。

2、过境数据的出境豁免：数据处理者在境外收集和产生的个人信息，传输至境内处理后向境外提供的，符合处理过程中没有引入境内个人信息或者重要数据的。

3、部分个人信息（不包括重要数据）的出境豁免：①为订立或者履行个人作为一方当事人的合同确需向境外提供个人信息；②按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理确需向境外提供员工个人信息；③紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息；④关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人非敏感个人信息（不含敏感个人信息）。

4、自贸区特别立法权与负面清单制度。《规定》指出，自由贸易试验区在国家数据分类分级保护制度框架下可以自行制定区负面清单。自贸区内数据处理者向境外提供负面清单之外的数据可出境豁免。目前，上海、天津自贸区已有相关规定出台。