新规落地，跨国企业数据出境需关注哪些要点？

图：必需vs.确需

在上图中，黑色圆圈内为《个人信息保护法》第十三条第（二）项情形下，为实施人力资源管理所必需的员工个人信息，处理该等员工个人信息无需取得员工的同意；红色圆圈内为《数据跨境新规》第五条第（二）项情形下，为实施跨国人力资源管理确需出境的员工个人信息，出境该等员工个人信息可豁免数据出境三条路径。

第1部分涉及的个人信息，其出境需要适用数据出境三条路径；收集该等个人信息为人力资源管理所必需，无需取得员工同意，但出境该等个人信息不属于人力资源管理所必需，也不符合人力资源管理场景豁免的形式要件或必要性论证，因此仍需就出境该等个人信息取得员工单独同意。由于必要性本身是个人信息保护影响评估的评估要素之一，因此，如果必要性论证存疑，则相应的数据出境行为的合规性可能亦存在疑问。

第2部分涉及的个人信息，其出境无需适用数据出境三条路径，但收集该等个人信息需取得员工同意，且出境该等个人信息需取得员工单独同意。我们理解第2部分情形在实践中存在的比重可能较高。

第3部分涉及两种情形，总体而言其出境无需适用数据出境三条路径；收集该等个人信息为人力资源管理所必需，无需取得员工同意，（1）若出境该等个人信息也属于人力资源管理所必需，则无需取得个人单独同意；（2）若出境该等个人信息不属于人力资源管理所必需，则仍需取得个人单独同意。

3. 履行合同所确需

《数据跨境新规》第五条第（一）款规定，为订立、履行个人作为一方当事人的合同，如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等，确需出境个人信息的，豁免数据出境三条路径[11]，回应了企业关切的跨境贸易中的个人信息出境问题。

值得注意的是，适用此条进行豁免需要出境个人信息的目的和字段均需具有必要性，出境相关个人信息的目的和字段需要是订立、履行个人作为一方当事人的合同所确需。以跨境寄递为例，物流公司为顺利完成清关配送，所收集的姓名、联系方式、寄件地址等属于确需出境的个人信息。

此外，根据《个人信息保护法》第十三条第（二）款，若为订立、履行个人作为一方当事人的合同所必需出境，收集和出境该等个人信息可以豁免取得相关个人同意，但相关企业仍需注意履行告知义务。

4. 敏感个人信息

《数据跨境新规》对于敏感个人信息出境采取了较为严格的监管措施，除非满足前述豁免情形，跨国企业自当年起累计向境外提供1万人以上敏感个人信息的应通过数据出境安全评估，自当年起累计向境外提供不满1万人敏感个人信息的应进行个人信息出境标准合同备案或通过个人信息保护认证——即除非满足豁免情形，出境任何敏感个人信息必需视情况适用数据出境三条路径之一。

我们理解从事B2B业务的跨国企业通常会将客户、供应商、合作伙伴等企业的联系人信息上传至全球部署的系统中，对于该等联系人信息，我们建议跨国企业尽可能避免传输其敏感个人信息，从而寻求对数据出境三条路径的豁免。

对于B2C跨国企业而言，在实际业务开展过程中可能会涉及确需向境外提供用户的敏感个人信息的情形。例如，对于汽车行业而言可能基于车辆维修、远程诊断等目的出境用户精准定位信息，且在自动驾驶功能广泛应用的场景下，车内外传感器采集的人脸、声纹等诸多敏感个人信息均可能基于自动驾驶功能研发、检测等目的而出境至跨国企业境外研发或检测中心。再如，对于化妆品行业而言，消费者的人脸信息等敏感个人信息可能基于肤质检测、虚拟试妆等目的出境至跨国企业境外主体。

对于可能出境较大数量敏感个人信息主体的跨国公司，在前期数据摸排和盘点过程中，应着重梳理企业出境的个人信息主体数量、敏感个人信息主体数量、以及符合豁免情形的个人信息主体数量及敏感个人信息主体数量。在去重并去除符合豁免情形的个人信息主体数量及敏感个人信息主体数量后，再行判断是否触发数据出境三条路径的适用条件。

从比较法角度，并非仅中国对敏感个人信息出境进行严格监管，近期美国《关于防止关注国家获取美国公民大量敏感个人数据和美国政府相关数据的行政命令》明确将限制或禁止“美国主体（United States Person）”与“受关注国家（Country of Concern）”及“受关注主体（Covered Person）”开展涉及“受规制数据类型（Sensitive Personal Data and Government-related Data）”的“特定数据交易（Data Transactions）”[12]。其中，受规制数据类型包括敏感个人数据及美国政府相关数据。根据美国司法部发布的法规制定提案预告（Advance Notice of Proposed Rulemaking），敏感个人数据包括特定个人标识符（covered personal identifiers），地理位置和相关传感器数据（geolocation and related sensor data），生物识别标识符（biometric identifiers），人类基因组数据（human genomic data），个人健康数据（personal health data）和个人财务数据（personal financial data）[13]。同时，敏感个人信息的规制程度将结合数量进一步进行考虑[14]。

欧盟《通用数据保护条例》（General Data Protection Regulation）明确了针对个人信息出境的充分性认定（Adequacy Decision）、适当保障（Appropriate Safeguards）、特殊情形克减（Derogations for Specific Situations）三重出境规则；日本《个人信息保护法》（個人情報の保護に関する法律）、《个人信息保护法实施令》（個人情報の保護に関する法律施行令）、《个人信息保护法实施规则》（個人情報の保護に関する法律施行規則）及《关于个人信息保护的法律指南（向外国第三方提供篇）》（個人情報の保護に関する法律についてのガイドライン （外国にある第三者への提供編））中明确了针对个人信息出境的“原则同意+例外事项”的监管思路。前述欧盟《通用数据保护条例》及日本《个人信息保护法》等相关法规明确的个人信息出境规制逻辑并未体现针对敏感个人信息的特殊规定。

5. 域外效力

《个人信息保护法》第三条第二款被称为“域外效力”条款，意在就境外发生的处理境内自然人个人信息的活动赋予中国政府长臂管辖权，扩张对中国数据主权与数据安全的维护范围。

尽管《数据跨境新规》并未提及，但《数据跨境新指南》中明确，如符合《个人信息保护法》第三条第二款，以向境内自然人提供产品或服务为目的，或分析评估境内自然人的行为，在中国境外处理中国境内自然人的信息，满足安全评估申报或标准合同备案条件的，数据处理者应当履行义务。根据《个人信息保护法》和《数据跨境新指南》，受《个人信息保护法》第三条第二款管辖的境外数据处理者，需要履行数据出境合规义务，包括告知同意、履行数据安全保护义务、采取技术保障措施、履行数据出境三条路径（如适用）等。

根据我们近日向监管部门的咨询结果，其认为境外企业直接收集境内个人信息时，如需要签署个人信息出境标准合同，应当以其根据《个人信息保护法》第五十三条设立的境内的代表机构或指定的代表作为合同相对方。关于域外效力情形下境外企业应当如何申报数据出境三条路径（如适用）的具体细节，仍有待监管部门明确。

6. 重要数据

重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。基于我们的观察，跨国企业（特别是汽车、医药、金融等特定行业的跨国企业）在业务开展过程中处理重要数据的可能性较高。

以汽车行业为例，依据我们的经验，对于大部分汽车行业跨国企业而言，其在业务实际开展过程中无论出于市场营销还是完成汽车维修保养等售后服务的目的通常会涉及将车辆VIN码回传至外国总部。而已售出的登记在自然人名下的车辆VIN码对于整车厂而言构成个人信息几乎已被视为行业共识，这意味着此时汽车行业跨国公司很有可能因符合《汽车数据安全管理若干规定（试行）》明确的重要数据类型“涉及个人信息主体超过10万人的个人信息”[15]而构成向境外提供重要数据。此外，汽车行业跨国企业的研发或维修中心可能设立在国外，这意味着特定情况下的汽车维修数据、OTA等系统升级数据等需传输至境外。参考行业标准《工业领域重要数据识别指南（送审稿）》的相关指引，汽车关键零部件研发和生产数据，如车身稳定控制系统、主动减振器系统相关研发数据以及汽车OTA升级中安全、节能、环保、防盗等技术参数均可能构成重要数据[16]。

自《数据出境安全评估办法》规定向境外提供重要数据需通过数据出境安全评估以来，重要数据出境的监管口径并未出现明显变化，无论是《数据跨境新规（征求意见稿）》还是《数据跨境新规》都始终明确向境外提供重要数据前必须通过数据出境安全评估，且目前重要数据出境也暂无明确的豁免情形。

同时，值得注意的是，《数据跨境新规》第五条明确了对于跨境传输个人信息的豁免情形，该条第二款规定“前款所称向境外提供的个人信息，不包括重要数据”，这意味着当相关个人信息构成重要数据时相关豁免情形将不再适用。例如，汽车行业跨国企业基于订立、履行个人作为一方当事人的合同，确需向境外传输10万人以上个人信息时，即便该等跨境传输行为满足了个人信息出境的豁免情形，但由于10万人以上个人信息属于《汽车数据安全管理若干规定（试行）》下规定的重要数据而可能无法适用该等豁免情形。

《数据跨境新规》明确指出“未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估”，这在一定程度下减轻了企业就重要数据申报数据出境安全评估的义务，但这并不意味着在未收到通知或未有公开发布的重要数据目录的情况下，跨国企业可以完全不考虑重要数据的监管因素。

《数据跨境新规》在《数据跨境新规（征求意见稿）》的基础上，明确提出了“数据处理者应当按照相关规定识别、申报重要数据”。结合国家标准《信息安全技术 重要数据处理安全要求（征求意见稿）》规定的“数据处理者应根据有关重要数据的目录，对重要数据进行编目，形成重要数据目录，按规定上报国家有关部门”[17]及《工业和信息化领域数据安全管理办法（试行）》规定的“工业和信息化领域数据处理者应当将本单位重要数据和核心数据目录向本地区行业监管部门备案”[18]，我们理解跨国企业在数据出境之前，仍应按相关规定进行重要数据的相关识别和上报工作，只是在目前相关行业、领域重要数据目录未予明确的情况下，未被告知为重要数据或未有公开发布为重要数据的，不需作为重要数据申报数据出境安全评估。

对于重要数据的识别工作，2024年3月15日发布的国家标准《数据安全技术 数据分类分级规则》（GB/T 43697-2024）提供了适用于各行业各领域的数据分类分级指引，并在附录G明确了重要数据识别指南。该标准具有一定参考性，但仍不够具体，目前有待适用于特定行业的，更具可操作性的重要数据目录或指引落地，跨国企业才能据此梳理摸排企业内部数据情况，并识别和建立企业内部重要数据目录。基于我们的观察，中国（上海）自由贸易试验区临港新片区已经先行围绕智能网联汽车、金融理财、高端航运、国际贸易、生物医药、文化出海等重点领域的具体场景，着手制定重要数据目录[19]。

7. CIIO

关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等[20]。

依据《关键信息基础设施安全保护条例》，相关主管部门会依据认定规则组织认定特定行业、领域的关键信息基础设施[21]，并将认定结果通知运营者。目前，“是否被主管机关通知”是跨国企业判断自身是否构成CIIO的主要依据。网信办在《数据跨境新规》答记者问中也表达了与前述相同的观点。

实践中，跨国企业被认定为CIIO的可能性不高，但对于特定敏感行业（如汽车行业）内掌握大量敏感程度较高数据的跨国企业，其仍有可能被认定为CIIO。

由于关键信息基础设施与国家安全、国计民生、公共利益紧密相关，《数据跨境新规》延续了《网络安全法》《数据安全法》《个人信息保护法》对于CIIO向境外提供个人信息与重要数据一贯的严格监管思路。但值得注意的是，前文提及的《数据跨境新规》的豁免情形可能同样适用于CIIO。

一方面，网信办在《数据跨境新规》答记者问中明确指出：“《规定》明确了两种申报数据出境安全评估的条件：一是关键信息基础设施运营者向境外提供个人信息或者重要数据。二是关键信息基础设施运营者以外的数据处理者向境外提供重要数据，或者自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息）或者1万人以上敏感个人信息。属于《规定》第三条、第四条、第五条、第六条规定情形的，从其规定”。此处可以理解《数据跨境新规》的第三条至六条豁免情形适用于前述一、二两种情形，该逻辑也符合《数据跨境新规》第七条第二款中的表述。

另一方面，《数据跨境新规》实际上改变了《数据跨境新规（征求意见稿）》对于CIIO不适用前述豁免情形的规定。《数据跨境新规（征求意见稿）》明确CIIO向境外提供个人信息和重要数据依照有关法律、行政法规、部门规章规定执行，换言之CIIO无法适用《数据跨境新规（征求意见稿）》中的相关豁免情形。《数据跨境新规》则删去了前述CIIO适用其他法律法规的规定，且仅在第五条第四款中明确提出“CIIO以外的”表述，这意味着除第五条第四款外，第三条至第六条规定的其他豁免情形应同样适用于CIIO。

8. 自贸区

《数据跨境新规》允许自由贸易区在国家数据分类分级制度框架下，制定需要纳入数据出境三条路径的“负面清单”，该负面清单经省级网络安全和信息化委员会批准后，报国家网信部门、国家数据管理部门备案后实施[22]。

《数据跨境新规》相较于《数据跨境新规（征求意见稿）》增加了“在国家数据分类分级保护制度框架下”，说明自贸区自行制定的负面清单仍应符合国家对数据分类分级保护的相关要求。此外，《数据跨境新规》还明确，自贸区的数据跨境优惠政策仅适用于自贸区内的数据处理者。未来，自贸区外的企业若希望享受自贸区内政策，可能可以通过在自贸区设立企业作为数据出境中心。对于自贸区内企业，考虑到负面清单的发布可能尚需时日，各企业或许正在观望并暂缓申报数据出境三条路径，但相关企业目前仍需注意履行数据出境相关义务，包括告知同意、个人信息保护影响评估、落实安全保护措施、建立安全事件响应制度等。

以上海为例，根据2024年2月5日发布的《上海市落实〈全面对接国际高标准经贸规则推进中国（上海）自由贸易试验区高水平制度型开放总体方案〉的实施方案》，上海自贸试验区管委会、临港新片区管委会将根据区内实际需求制定重要数据目录[23]；探索建立合法安全便利的数据跨境流动机制，提升数据跨境流动便利性，通过加强相关行业出境数据分类指导、发布示范场景、在临港新片区建立数据跨境服务中心等，便利数据处理者开展数据出境自评等数据出境安全合规工作[24]。

2024年2月8日，《中国（上海）自由贸易试验区临港新片区数据跨境流动分类分级管理办法（试行）》（“《临港数据跨境管理办法》”）发布，明确了两大内容，一是临港新片区在跨境数据分类管理方面重点关注汽车、金融、航运、生物医药等重点领域[25]；二是临港新片区的跨境数据管理将实施重要数据目录、一般数据清单、负面清单三重管理制度，其中对于一般数据清单内的数据，数据处理者在满足相关管理要求情况下可自由流动[26]；若相关领域出台场景化重要数据目录，则该领域的一般数据清单自动失效[27]。

据公开报道，临港新片区将加快跨境数据的一般数据清单和重要数据目录的编制，目前，已基本编制完成智能网联汽车车辆远程诊断、公募基金市场投研信息、跨国公司集团管理、生物医药临床试验和研发等20个场景的跨境流动分级分类的首批清单目录，在完成论证后将于近期对外发布[28]。

在此种跨境数据分类分级管理制度下，我们理解，临港新片区将按照不同行业中的不同场景分别制定数据清单。重要数据目录与一般数据清单作用是互补的，从正面和反面帮助不同行业的企业厘清哪些数据可以自由流动，哪些数据需适用数据出境三条路径。重要数据目录与一般数据清单的内容是互斥的，这样有利于临港新片区管委会按照数据清单需求的紧迫程度与制定难度，优先选择制定重要数据目录或是一般数据清单。

三、我们的建议

《数据跨境新规》的发布为中国数据出境治理拨开云雾，其优化了数据跨境流动监管机制，为各类企业，尤其是跨国企业开展跨国经营活动提供便利，降低了跨国企业的合规成本。我们建议，跨国企业可以从以下几方面规划数据出境策略：

1. 优化数据出境策略。《数据跨境新规》为企业提供了多种豁免数据出境三条路径的可能性。我们建议跨国企业审慎评估数据出境的范围，梳理不必要出境的个人信息并予以排除，在可行的情况下，尽可能通过豁免情形避免适用数据出境三条路径，或降低跨境数据涉及的人数以适用相对而言更简单的标准合同备案或个人信息保护认证路径。

2. 尚未启动数据出境三条路径的企业尽快评估适用路径并启动工作。此前仍在观望的跨国企业宜尽快采取行动，开展数据跨境情况盘点或更新之前已完成的盘点结果，结合《数据跨境新规》判断是否可豁免数据出境三条路径。如无法豁免，评估适用哪条路径，并履行相应申报义务。企业需注意保留内部论证是否适用豁免情形的书面材料，以备不时之需。随着《数据跨境新指南》的发布，安全评估和标准合同备案的手续和材料被一定程度简化。即便跨国企业评估后确需开展数据出境安全评估或个人信息出境标准合同备案，相信在专业指导与充分准备下，仍能高效有序地履行数据跨境合规义务。

3. 正在申报数据出境三条路径的企业判断是否调整路径。处于数据出境三条路径申报程序中的企业，可根据实际情况判断是否需要调整或撤回申报，例如从安全评估调整为标准合同备案/个人信息保护认证，或直接撤回相关申报。

4. 履行必要合规义务。无论是否依据《数据跨境新规》豁免数据出境三条路径，跨国企业均需按照《个人信息保护法》履行个人信息出境的一般合规义务，例如告知同意（如适用）、个人信息保护影响评估、采取安全保障措施、签署数据处理协议等。

感谢实习生叶影对本文的贡献。