一、 我国有哪些数据跨境相关的法律法规要求？

随着经济全球化和数字化的深入发展，数据跨境传输已经成为全球经济的 关键推动力。跨境数据在国际贸易活动、跨国科技合作、数据资源共享方面发 挥越来越重要的作用，数据跨境流动已经成为推动数字经济发展，保障全球互 联互通的重要途径。

我国对数据跨境流动的规制起步较晚，对于数据跨境传输的限制与监管规 定散见于各类法律法规、部门规章以及规范性文件中，处于持续创新和完善、 趋向成熟体系形成的过程。

数据出境的法律渊源可以追溯到 2017 年 6 月 1 日实施的《中华人民共和国 网络安全法》（下称《网络安全法》）。《网络安全法》首次提出了数据出境的安 全评估制度，要求关键信息基础设施运营者（下称 CIIO）因业务需要向境外提 供个人信息和重要数据应当按照国家网信部门会同国务院有关部门制定的办法 进行安全评估1。随后，全国信息安全标准化技术委员会（TC260）（下称信安 标委）于 2017 年 8 月 30 日发布了《信息安全技术 数据出境安全评估指南（征 求意见稿）》（下称《安全评估指南（征）》），在《数据出境安全评估办法》未发 布前对数据出境安全评估流程、评估要点以及评估方法等内容提供指引。

2021 年 9 月 1 日实施的《中华人民共和国数据安全法》（下称《数据安全 法》）重申了 CIIO 跨境传输在境内运营中收集和产生的重要数据需进行评估的 要求，并为出台其他数据处理者的重要数据出境监管制度提供了原则性规定2。 此外，《数据安全法》对向境外司法和执法机构提供数据作出了限制，要求境内 组织、个人向外国司法或者执法机构提供存储于中华人民共和国境内的数据必 须获得主管机关批准3，这也与随后颁布的《中华人民共和国个人信息保护法》 （下称《个人信息保护法》）提出的“非经中华人民共和国主管机关批准，个人 信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个 人信息”的要求相呼应。

 2021 年 11 月 1 日，《个人信息保护法》施行。同月，国家互联网信息办公 室（下称国家网信办）发布了《网络数据安全管理条例（征求意见稿）》（下称 《网安条例（征）》），设专章对“数据跨境安全管理”作出具体规定4。《个人信 息保护法》第三十八条和《网安条例（征）》第三十五条列明了数据出境应采取 的三条主要合规路径，即“通过网信部门组织的安全评估”、“按照国家网信部 门的规定经专业机构进行个人信息保护认证”、“按照国家网信部门制定的标准 合同与境外接收方订立合同，约定双方的权利和义务”（以下合称数据出境制度）。

随后，为推动上述数据出境制度落地，国家网信办及相关行业主管监管部 门陆续出台了一系列政策文件。

对于“个人信息保护认证”，国家市场监督管理总局和国家网信办于 2022 年 11 月 4 日联合发布《关于实施个人信息保护认证的公告》（下称《认证公告》） 及附件《个人信息保护认证实施规则》（下称《认证规则》），规定了开展个人信 息保护认证的基本规则，标志着我国个人信息保护认证制度的正式建立。信安 标委于 2022 年 6 月发布的《网络安全标准实践指南—个人信息跨境处理活动安 全认证规范》（下称《认证规范 V1.0》）进一步为“个人信息保护认证制度”提 供了落地支撑。随后，信安标委又于 2022 年 12 月发布了《网络安全标准实践 指南—个人信息跨境处理活动安全认证规范 V2.0》（下称《认证规范 V2.0》）， 从具有法律约束力的协议应明确的内容、个人信息保护机构应承担的职责、个 人信息保护影响评估应涵盖的事项、个人信息主体应享有的权利以及个人信息 处理者和境外接收方应承担的责任义务等五方面对《认证规范 V1.0》进行了细 化。2023 年 3 月 16 日，信安标委发布了国家标准《信息安全技术 个人信息跨境 传输认证要求（征求意见稿）》（下称《跨境认证要求（征）》），为推荐性国家标 准，在效力层级上高于《认证规范V2.0》。《跨境认证要求（征）》除增加“敏感 个人信息”和“单独同意”的定义并删除了“认证主体”的相关要求外，整体 内容与《认证规范 V2.0》基本一致。2023 年 11 月 1 日，信安标委依据《关于促 进粤港澳大湾区数据跨境流动的合作备忘录》和属地相关法律法规，制定了《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求（征求意见 稿）》，规定了粤港澳大湾区跨境处理个人信息应遵循的基本原则和保护要求， 为粤港澳大湾区个人信息保护认证的实施提供了认证依据。

对于“数据出境安全评估”，国家网信办于 2022年 7月 7日发布《数据出境 安全评估办法》（下称《评估办法》），自 2022年 9月 1日起施行，规定了数据出 境安全评估申报的具体情形以及要求；对于“个人信息出境标准合同”，国家网 信办则于 2023 年 2 月 22 日发布《个人信息出境标准合同办法》（下称《标准合 同办法》），自 2023 年 6 月 1 日施行，规定了可以选择签署并备案标准合同的情 形，并提供了标准合同范本。

在数据出境制度下的三条合规路径已经初步成型的基础上，为优化完善数 据出境制度，实现与数据出境安全风险的“精细化匹配”，并同时促进和规范数 据依法有序自由流动，国家网信办结合迄今数据出境安全管理工作的实践情况， 于 2024 年 3 月 22 日发布了重量级文件《促进和规范数据跨境流动规定》（下称 《跨境流动规定》）。

《跨境流动规定》主要从五方面对数据出境制度进行了优化：首先，明确 了重要数据的认定标准；其次，提出了免予申报数据出境安全评估、订立个人 信息出境标准合同、通过个人信息保护认证的数据出境活动条件；第三，设立 了自由贸易试验区负面清单制度；第四，对需要申报数据出境安全评估、订立 个人信息出境标准合同、通过个人信息保护认证的数据出境活动门槛标准进行 调整，适当放宽数据跨境流动条件，适度收窄数据出境安全评估范围；第五， 延长了数据出境安全评估结果的有效期限。

同时，为了配合《跨境流动规定》落地，国家网信办于同日发布了《数据 出境安全评估申报指南（第二版）》（下称《评估申报指南（第二版）》）和《个 人信息出境标准合同备案指南（第二版）》（下称《标准合同备案指南（第二 版）》），对申报数据出境安全评估、备案个人信息出境标准合同的方式、流程 和材料等具体要求作出了说明，对数据处理者需要提交的相关材料进行了优 化简化。

《跨境流动规定》《评估申报指南（第二版）》《标准合同备案指南（第二版）》的出台反映了主管部门对数据出境治理思路的变化，即在保障数据“依法 有序流动”从而为组织或者个人跨境业务合作提供法治保障的同时，促进数据 “自由流动”并进一步推动数据自由流动和数字经济发展。一方面，明确监管 部门强化事前事中事后全领域的监管，加强指导监督向境外提供数据的数据处 理者履行义务的情况，如告知、取得个人单独同意、进行个人信息保护影响评 估、采取技术措施保障数据安全出境以及向省级以上网信部门和其他有关主管 部门报告数据出境安全事件等。但另一方面，通过畅通数据跨境传输制度渠道 打造跨境数字贸易新格局，鼓励企业积极开展数据跨境流动并推进国际贸易发 展，如针对不同商业活动场景需求，在不包含个人信息或者重要数据的前提下， 允许国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中产生 的数据出境活动不适用数据出境安全评估、个人信息出境标准合同和个人信息 保护认证机制，极大地减轻相关企业的合规成本。

《跨境流动规定》的发布标志着企业迎来了全新的数据跨境合规窗口期。 该规定不仅提升了现行数据出境制度的实用性和可操作性，还积极回应了企业 数据跨境传输业务合规方面的常见困惑，从而降低了企业在数据出境活动中所 面临的业务合规挑战和难度。对此，涉及跨境传输数据的企业应把握窗口期时 机，依法梳理自身数据出境的场景以及对应合规操作要点，确保在积极参与国 际经营和跨境业务合作的过程中不触及数据监管红线。

来源：环球律师事务所等团队