从2022年7月颁布《数据出境安全评估办法》开始，我国关于数据和个人信息出境的法律监管制度的基本框架开始逐步搭建。随着《个人信息出境标准合同办法》和《个人信息保护认证实施规则》的相继颁布，我国基本建立起了以安全评估、保护认证和标准合同为基石的数据和个人信息出境法律监管制度。

但是，这些规定的颁布和实施在实务中也造成了一些困惑和模糊。为了进一步厘清数据和个人信息出境法律监管的制度边界，2023年9月28日国家互联网信息办公室公布了《规范和促进数据跨境流动规定（征求意见稿）》（“《数据跨境流动规定》”）公开征求意见。

一.         实务中的困惑

    针对数据和个人信息出境的法律监管制度，在实务中我们经常可以看到和听到在以下几种情形下存在不少的困惑。

1.         跨境提供个人信息数量极少的情况

    《个人信息保护法》以及《个人信息出境标准合同办法》对于必须签订个人信息出境标准合同以及办理备案手续并没有设定数量上的标准。所以从理论上讲，只要有个人信息出境就必须至少签订标准合同并办理备案手续。

实务上，有大量在中国境内开展业务的外商投资企业都会向国外的母公司或关联公司跨境提供个人信息。但是多数情况下跨境提供的个人信息数量都比较少，信息类型也比较单一。尤其是B2B业务模式的企业，跨境提供的个人信息基本仅限于本企业员工的基本信息和客户单位的联系方式等个人信息。

在这种情况下是不是有必要为了每年几十条的个人信息就签订标准合同并办理备案手续？这成为了不少企业极为纠结的问题。

2.         跨境提供的个人信息类型特殊的情况

    另一种容易造成困惑的情况是，是不是跨境提供任何类型的个人信息都需要签订标准合同并办理备案手续？

    比如，有些公司企业出于业务需要会将供应商、客户或者业务合作伙伴的负责人的工作用电话号码和电子邮箱等信息提供给境外的关联公司。笔者甚至曾经接到过某公司的咨询，询问将公司在展览会上交换到的潜在的业务合作伙伴的名片扫描后传输到境外母公司存档的行为是不是也需要签订个人信息标准合同？

    比照《个人信息保护法》关于个人信息的定义，上述信息毫无疑问都属于个人信息。但是，这些个人信息都存在一定的社交和传播属性，本身就是用来“广而告之”的信息。跨境提供这些个人信息是否也需要遵守相应的法律监管规则？

3.         境内个人信息主体直接跨境提供个人信息的情况

   这个困惑的关键在于如何定义“个人信息出境”。按照《数据出境安全评估办法》的规定，“数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估，适用本办法”。而根据《个人信息出境标准合同备案指南（第一版）》的规定，所谓的个人信息出境包括“个人信息处理者将在境内运营中收集和产生的个人信息传输、存储至境外”以及“个人信息处理者收集和产生的个人信息存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出”。

   根据上述概念，所谓的数据和个人信息出境，除了要有出境的行为之外，还要有“数据处理者”或者“个人信息处理者”采取了出境的行为。那么个人信息主体不通过第三方处理者而直接向境外提供个人信息的行为是否属于“个人信息出境”就成了一个很微妙的问题。从字面上来看，似乎可以说因为不涉及个人信息处理者，所以个人信息主体直接跨境提供个人信息的行为不属于“个人信息出境”。但如果这样解释的话，就可能影响到整个数据和个人信息出境法律监管制度的效用。

   上述困惑叠加《个人信息出境标准合同办法》规定的6个月的备案期限（截至2023年11月30日）使得为数不少的企业，尤其是外商投资企业一方面有法律合规方面的担忧，另一方又纠结于是否真的需要为了数量极少的跨境个人信息而耗费不少的成本去满足法律法规的要求。

二.         《数据跨境流动规定》的解答

   2023年9月28日公布的《数据跨境流动规定》对于上述实务中的困惑做出了一些回应。

1.         明确了数量要求

   首先值得注意的是《数据跨境流动规定》进一步明确了数量边界。《数据跨境流动规定》规定，“预计一年内向境外提供不满1万人个人信息的，不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。”可想而知，这个“每年1万人”的标准将会将绝大多数的个人信息跨境提供排除在“安全评估、标准合同和保护认证”的监管对象之外。

   此外，根据《数据跨境流动规定》，“预计一年内向境外提供1万人以上、不满100万人个人信息，与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的，可以不申报数据出境安全评估。”这比《数据出境安全评估办法》规定的“每年10万人”的要求又进一步作出了放松。

   更值得注意的是《数据跨境流动规定》没有提到将个人信息的“处理量”作为标准，而只提到了“提供量”。所以从条文字面来看似乎只要出境个人信息不超过100万就不需要申报数据出境安全评估。这等于是取消了《数据出境安全评估办法》中规定的“处理100万人以上个人信息”的这一情形。

2.         区分了个人信息出境的场景

    除了数量之外，《数据跨境流动规定》还特别区分了部分个人信息出境的场景。为订立、履行个人作为一方当事人的合同所必需，如跨境购物、跨境汇款、机票酒店预订、签证办理等，必须向境外提供个人信息的，按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理，必须向境外提供内部员工个人信息的以及紧急情况下为保护自然人的生命健康和财产安全等，必须向境外提供个人信息的也不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

    由于在实务中境内个人信息主体直接跨境提供个人信息主要发生在机票酒店预订、跨境购物等场景，所以“为订立、履行个人作为一方当事人的合同所必需的”这一项，基本涵盖了境内个人信息主体直接向境外提供个人信息的大部分情况。

3.         进一步明确了重要数据的边界

   《数据安全法》颁布之后一个比较困扰大家的问题就是“重要数据”的范围不是十分明确，法律对于“重要数据”这个概念只有一个很模糊的定义。目前，国家正在针对各个具体的行业制定行业性标准，通过这一方法明确各个行业所涉及的“重要数据”的具体范围。但这项工作需要一定的时间，而且实务中经常会产生新的数据类型，这就给许多日常业务中数据处理量比较大，处理类型比较丰富的企业提出了比较高的合规要求。

    这次公布的《数据跨境流动规定》的另一个要点就是明确了“未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估”。这其实就是给“重要数据”这个概念划出了一个明确的边界，便于企业进行合规方面的判断。

三.         如何正确理解《数据跨境流动规定》

  《数据跨境流动规定》公布之后，不少公司企业颇为“振奋”。有些公司企业甚至认为“只要每年不超过1万人就可以自由跨境提供个人信息”。《数据跨境流动规定》确实为企业在数据和个人信息出境合规方面减轻了一定的负担，但也需要结合其他法律法规正确理解《数据跨境流动规定》。

1.         是不是还要进行个人信息保护影响评估

   不少企业对于签订标准合同和办理备案手续犹豫不决的主要原因是办理标准合同备案时需要提交个人信息保护影响评估报告，而进行个人信息保护影响评估需要花费一定的成本。所以，有些企业认为按照《数据跨境流动规定》，每年出境不超过1万人的无需签订标准合同，因此也无需进行个人信息保护影响评估。

    事实上，标准合同备案手续要求提交个人信息保护影响评估报告的依据是《个人信息保护法》第55条。该条规定个人信息处理者向境外提供个人信息的需要事先进行个人信息保护影响评估。所以，无需签订标准合同，无需办理标准合同备案事实上并不免除个人信息出境场景下进行个人信息保护影响评估的义务。

2.         是不是不需要再和境外个人信息接受方签订任何协议

个人信息标准合同制度的宗旨是希望通过签订标准合同确保个人信息的提供方和接受方能够合理承担起个人信息保护的责任，确保个人信息的安全。从这个角度而言，即便根据《数据跨境流动规定》无需再签订标准合同，事实上个人信息处理者在跨境提供个人信息时还是需要与境外接受方做出一定的约定。

比如，《个人信息保护法》第55条就规定，“个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。”这里所谓的“必要措施”其实也包括了与接受方之间的协议和约定。另外，根据2023年5月30日国家互联网信息办公室公布的个人信息保护影响评估报告（出境版模板）的规定，在进行个人信息保护影响评估时也需要评估“境外接受方承诺的义务，以及履行义务的管理和技术措施、能力等能否保障出境个人信息安全”。

所以，即便无需签订标准合同，信息提供方和境外接受方之间还是需要达成一定的约定，只不过这种约定可以不再受限于标准合同的内容，双方可以相对自由地进行约定。而如果是在同一企业集团内部的跨境转移的话，也可以用企业集团的内部规章制度来代替合同。

3.         境外主体直接处理境内个人信息的合规要求不变

    如上文所说，根据《数据跨境流通规定》，因履行合同而直接由合同当事方向境外提供个人信息的，无需申报数据出境安全评估，也无需订立个人信息出境标准合同。

    但我们需要注意，根据《个人信息保护法》的规定，以向境内自然人提供产品或者服务为目的而在中国境外处理中国境内自然人的个人信息的，也适用《个人信息保护法》。这就意味着，虽然可能无需签订标准合同，但境外接受方还是要履行《个人信息保护法》中规定的其他相应的义务。

    总而言之，《数据跨境流动规定》对于数据和个人信息出境法律监管制度中一些模糊的问题作出了回应，对于制度的具体运用进行了一些合理化的调整，也在一定程度上减轻了个人信息处理者的合规负担。但是，《数据跨境流动规定》绝不是彻底放开了数据和个人信息的跨境活动。最重要的是，《数据跨境流动规定》还只处于意见征求阶段，后续的立法进展值得我们的持续关注。