数据出境监管演变与挑战

《促进和规范数据跨境流动规定》（下称《新规》）于2024年3月22日发布。自此，中国数据出境跨境监管的发展进程逐渐清晰，但实践层面仍存在诸多挑战，本文将进行简要回顾与综合分析。

发展进程

相关法律登场。《网络安全法》规制对象仅限于关键信息基础设施运营者（CIIO），其配套办法尚未出台，数据出境规制“雷声不大且雨点很小”。时隔四年，《数据安全法》《个人信息保护法》（下称《个保法》）相继出台生效，预示个人信息出境全面引入告知、单独同意、个人信息保护影响评估（下称合规三件套）与前置程序（四选一适用即可），非CIIO重要数据出境纳入监管，但尚处于“雷声很大但雨点尚小”的阶段。

三制度落地面临挑战。2022年7月起，从《数据出境安全评估办法》到《个人信息保护认证实施规则》再到《个人信息出境标准合同办法》，三制度的配套及细化文件亦相继出台，各相关方共同迎接数据出境“大考”，重要数据出境、CIIO和达量主体个人信息出境开展安全评估、非达量主体开展SCC备案，特定跨境情形可选个人信息保护认证。拉扯十几个月后的众生相却是早交卷的苦、晚交卷的愁、不交卷的怕。三制度落地，可谓难上难。

大湾区新规投石问路。2023年12月，《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》发布。前有自贸区数据出境洼地尝试败北，又有上海市数据条例拟定低风险数据目录未成，大湾区闷声闯出一条“大湾区内地部分-香港地区”数据双通的SCC备案绿色通道。区域试点探索虽为及时雨，但难解众生渴，更显其投石问路之用。

新规发布生效。自2023年9月28日《新规》征求意见稿发布以来，山雨欲来风满楼，历经近六个月，2024年3月22日，《新规》千呼万唤始出来。纵览《新规》，其中几处内容浓墨重彩，包括重要数据“不告不理”；六种数据出境活动豁免数据出境前置程序；以被评估年度十万和一百万个人信息出境人数以及一万人敏感个人信息出境人数为分水岭，重划安全评估和订立标准合同（SCC）临界线；自贸区负面清单在望。

《新规》绝非补丁，数据出境终于迎来新时代。《新规》规定了重要数据出境和CIIO个人信息出境可免予开展安全评估的除外情形，重构了“达量个人信息处理者”的划线，豁免了部分场景的前置程序，个人信息出境单独同意有松绑趋势，但其具体执行仍需嗣后观望。

待解问题

《新规》公布施行，携实践审视，数据出境规制仍有诸多问题待解，本文试列举如下几项：

个人信息的边界。《个保法》界定了个人信息的内涵，但在判定某个具体信息是否是个人信息时，仍需细化标准。识别说与关联说相结合的标准，以及难以实现的匿名化落地，使得个人信息的范围极度扩大。

境内收集的界定。《新规》第四条规定的“在境外收集和产生的个人信息”“境内个人信息”的释义仍待明确。“境外直采且服务器位于境外”模式是否属于该范围仍存争议。

场景豁免的范围。《新规》第五条规定了四类豁免场景，其中三个场景均涉及判断是否“确需向境外提供”？对于“个人作为一方当事人的合同”，个人信息主体是否必须为合同“签约主体”？

SCC订立与备案的关系。《新规》第八条规定了需要订立SCC的情形。《个人信息出境标准合同备案指南（第二版）》“适用范围”部分规定了订立SCC后需要备案的情形，是否意味着存在订立SCC但不需要备案的情形？

数据统计的方法。境外访问境内个人信息模式下，统计被评估年度人数的方法有待厘清。是依据境外接收方访问权限对应的人数，还是根据其实际访问的人数？若以“访问权限对应的人数”为标准，则自每个评估年度的“1月1日起”，应统计新增还是全部有访问权限的人数？

虽问题仍在、困扰尚存，但数据跨境流动新时代，已然正式到来。

彭凯是大成律师事务所合伙人。他的联系方式是电话+86 21 58788300以及电