千呼万唤始出来，油门放开也要刹车踩得住。

　　2024年3月22日，关系国家经济尤其数字经济发展大局，无数在华或来华外企，出海中资企业，日日夜夜的翘首期盼的《促进和规范数据跨境流动规定》（以下简称《规定》）正式出台。

　　自从国家互联网信息办公室于2023年9月28日发布该文件征求意见稿（简称928新政）以来，其已成为国际国内焦点。而此次《规定》的发布，则进一步完善了我国的数据跨境流动管理机制，促进营造优质营商环境。

　　在中国（上海）自贸试验区临港新片区，围绕数据跨境在对外开放、制度创新和对标高标准经贸规则等领域的探索一直在持续开展。从设立国际数据经济产业园到成立相关机构，再到合作平台建设，一条点、线、面纵横推进的立体路线图正在呈现，聚起千亿级数据产业，汇集起百家头部企业。

　　而结合此次《规定》中自贸区可制定数据出境“负面清单”的第六条规定，意味着未来列在负面清单外的数据皆无需履行事前监管程序即可出境，这明确了下放自贸区数据跨境管理权责的态度，有助于在自贸区进一步探索高效、便利的数据跨境流动通道。但放开的同时，也要管得住，第十二条明确要健全完善数据出境安全评估制度，优化评估流程；强化事前事中事后全链条全领域监管，自贸区在迎来重要机遇期的同时，也对区域内的数据安全保护能力负有了更重的保障责任。

　　我们围绕《规定》以及紧密关联的GB/T 43697-2024《数据安全技术 数据分类分级规则》（报批稿）中数据分类分级与重要数据识别相关规定，展开联动解读。

　　《促进和规范数据跨境流动规定》自公布之日（2024年3月22日）起施行，全文共 14条。

　　【主要对下列内容进行了规定：】

　　一是明确重要数据出境安全评估申报标准。

　　二是明确免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件。

　　三是设立自由贸易试验区负面清单制度。

　　四是调整应当申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件。

　　五是延长数据出境安全评估结果有效期，增加数据处理者可以申请延长评估结果有效期的规定。

　　【促进和规范数据跨境流动规定】

　　出台背景

　　第一条为了保障数据安全，保护个人信息权益，促进数据依法有序自由流动，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规，对于数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的施行，制定本规定。

　　国家互联网信息办公室结合数据出境安全管理工作实际，制定《规定》，对现有数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的实施和衔接作出进一步明确，适当放宽数据跨境流动条件，适度收窄数据出境安全评估范围，在保障国家数据安全的前提下，便利数据跨境流动，降低企业合规成本，充分释放数据要素价值，扩大高水平对外开放，为数字经济高质量发展提供法律保障。

　　【未被告知或公开发布，不作为重要数据】

　　第二条 数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。

　　重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。（《数据出境安全评估办法》）

　　国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。

　　重要数据识别指南——GB/T 43697-2024《数据安全技术 数据分类分级规则》

　　《汽车数据安全管理若干规定（试行）》第三条明确了六种汽车相关重要数据

　　【放宽非个人信息数据出境】

　　第三条 国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供，不包含个人信息或者重要数据的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

　　个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。匿名化，是指个人信息经过处理无法识别特定自然人且不能复原的过程《个人信息保护法》

　　个人信息采用加密、脱敏等措施处理属于去标识化，去标识化处理后的个人信息仍是《个人信息保护法》规定的个人信息。

　　【数据“过境”场景的放开】

　　第四条 数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供，处理过程中没有引入境内个人信息或者重要数据的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

　　【个人信息免申报出境的四种场景/条件】

　　第五条 数据处理者向境外提供个人信息，符合下列条件之一的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证：

　　（一）为订立、履行个人作为一方当事人的合同，如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等，确需向境外提供个人信息的；

　　（二）按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的；

　　（三）紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息的；

　　（四）关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）的。

　　前款所称向境外提供的个人信息，不包括重要数据。

　　敏感个人信息，是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

　　依据《关键信息基础设施安全保护条例》，关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

　　【自贸区数据出境与便利便捷】

　　第六条 自由贸易试验区在国家数据分类分级保护制度框架下，可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（以下简称负面清单），经省级网络安全和信息化委员会批准后，报国家网信部门、国家数据管理部门备案。

　　自由贸易试验区内数据处理者向境外提供负面清单外的数据，可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

　　自贸区在迎来重要机遇期的同时，也对区域内的数据安全保护能力负有更重的保障责任GBIT 43697-2024《数据安全技术数据分类分级规则》

　　第二部分联动解读国家数据分类分级保护制度框架与重要数据识别

　　【数据出境安全评估的出发条件】

　　第七条 数据处理者向境外提供数据，符合下列条件之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：

　　（一）关键信息基础设施运营者向境外提供个人信息或者重要数据；

　　（二）关键信息基础设施运营者以外的数据处理者向境外提供重要数据，或者自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息）或者1万人以上敏感个人信息。

　　属于本规定第三条、第四条、第五条、第六条规定情形的，从其规定。

　　计算周期为自当年1月1日起至申报数据出境安全评估之日，数量以自然人为单位去重后的统计结果为准

　　【个人信息出境标准合同或者个人信息保护认证触发条件】

　　第八条 关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息的，应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。

　　属于本规定第三条、第四条、第五条、第六条规定情形的，从其规定。

　　计算周期为自当年1月1日起至申报数据出境安全评估之日，数量以自然人为单位去重后的统计结果为准

　　322规定（16号文）数据出境判别要点快速一览图如下：

　　【有效期扩展到 3 年】

　　第九条 通过数据出境安全评估的结果有效期为3年，自评估结果出具之日起计算。有效期届满，需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的，数据处理者可以在有效期届满前60个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请。经国家网信部门批准，可以延长评估结果有效期3年。

　　【个人信息保护义务】

　　第十条 数据处理者向境外提供个人信息的，应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。

　　【数据安全保护义务】

　　第十一条 数据处理者向境外提供数据的，应当遵守法律、法规的规定，履行数据安全保护义务，采取技术措施和其他必要措施，保障数据出境安全。发生或者可能发生数据安全事件的，应当采取补救措施，及时向省级以上网信部门和其他有关主管部门报告。

　　【事前事中事后全链条全领域监管】

　　第十二条 各地网信部门应当加强对数据处理者数据出境活动的指导监督，健全完善数据出境安全评估制度，优化评估流程；强化事前事中事后全链条全领域监管，发现数据出境活动存在较大风险或者发生数据安全事件的，要求数据处理者进行整改，消除隐患；对拒不改正或者造成严重后果的，依法追究法律责任。

　　【适用性与生效时点】

　　第十三条 2022年7月7日公布的《数据出境安全评估办法》（国家互联网信息办公室令第11号）、2023年2月22日公布的《个人信息出境标准合同办法》（国家互联网信息办公室令第13号）等相关规定与本规定不一致的，适用本规定。

　　第十四条 本规定自公布之日起施行。

【配套指南第二版】

　　《数据出境安全评估申报指南（第二版）》《个人信息出境标准合同备案指南（第二版）》

　　对申报数据出境安全评估、备案个人信息出境标准合同的方式、流程和材料等具体要求作出了说明，对数据处理者需要提交的相关材料进行了优化简化。

　　国家互联网信息办公室 “数据出境申报系统”　网址：https://sjcj.cac.gov.cn

　　注：蓝色字体为正式版新增+调整