《网络安全法》《数据安全法》《个人信息保护法》三部法律建立了中国数据出境的制度框架，即安全评估、标准合同备案以及保护认证三大路径，或称三种出境手续（下称“出境手续”）。在此基础上，国家网信部门等通过一系列规章和指南，分别明确了三种出境手续的适用范围、条件和流程，构建起中国数据出境的具体规则体系：

（1）《数据出境安全评估办法》（2022年7月）；

（2）《数据出境安全评估申报指南（第一版）》（2022年8月）；

（3）《个人信息保护认证实施规则》（2022年11月）；

（4）《个人信息出境标准合同办法》（2023年2月）；

（5）《个人信息出境标准合同备案指南》（2023年5月）。

根据上述规则和指南，达到以下标准的数据出境，应通过省级网信部门向国家网信部门申报数据出境安全评估；未达到以下标准的数据出境，应向省级网信部门申报标准合同备案，或者通过保护认证：

（1）数据处理者向境外提供重要数据；

（2）关键信息基础设施运营者（以下简称“CIIO”）和处理100万人以上个人信息的数据处理者向境外提供个人信息；

（3）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；

（4）国家网信部门规定的其他需要申报数据出境安全评估的情形。

在安全评估制度实施满一年、标准合同备案制度过渡期即将届满之时，国家网信部门于9月28日发布《规范和促进数据跨境流动规定》草案（下称“新规定草案”），公开征求意见。新规定草案出台并非毫无征兆。此前8月《国务院关于进一步优化外商投资环境加大吸引外商投资力度的意见》已释放“探索便利化的数据跨境流动安全管理机制”的信号，当时业内预计数据出境监管会有所松动，只是少有人预料变化会来得这么快！

纵观全文，新规定草案实质性放宽了数据出境手续要求，澄清了不需要办理出境手续的若干情形，有望大幅矫正目前过于严苛的数据出境规则。

根据新规定草案，个人信息出境手续的触发标准从“主体达量”改变为“出境数据达量”，并大幅提高出境数据的数量标准，即以未来一年的个人信息出境数量为标准，来判断是否需要办理数据出境手续：

（1）预计一年内向境外提供不满1万人个人信息：无出境手续要求；

（2）预计一年内向境外提供1万-100万人个人信息：标准合同备案或保护认证；

（3）向境外提供100万人以上个人信息：出境安全评估。

这是新规定草案带来的最重要的变化，仅有零星数据出境的大量企业将被豁免出境手续，预计将极大地减轻相关企业的负担。

但新标准仍有一些细节需要澄清：

1.主体达量标准与出境数据达量标准，是叠加适用还是覆盖适用？

如果是叠加适用，则会导致出境安全评估适用范围限缩过多。举个极端的例子：刚刚进入中国市场的外资品牌W，仅处理少量个人信息（远不足100万人），自去年初以来向境外提供的个人信息也很少（未达到10万人或1万人标准），但W品牌的快速发展使得会员数量越来越多，导致W预计在一年内出境的会员个人信息数量超过100万人。此时，如果按照叠加适用理解，则会导致W企业不满足主体达量标准而无需申报安全评估，这显然不符合立法目的。

如果是覆盖适用，即现有主体达量标准被覆盖吸收，仅以出境数量标准来判断是否需要办理出境手续以及适用何种出境手续。以上述例子而言，不管其处理的个人信息总量，也不管其自去年初以来向境外提供的个人信息数量，只要其未来一年预计出境个人信息达到1万人，就要办理标准合同备案或保护认证；只要达到100万人，就要申报出境安全评估。

第二种理解似乎更符合立法目的，有待新规定正式版本予以明确。

2.“预计一年内”如何确定？

按照新规定草案第5、6条，数据达量标准以“预计一年内”为限，即只看未来的出境数量，不看过去的出境数量，而对未来的预计带有一定的主观性，这样就会导致适用上的问题。比如某企业Y在某时点T向境外转移90万人的个人信息，此时Y预计未来一年不会再转移个人信息出境了，因未触发100万人标准，故只需要办理标准合同备案，无需办理出境安全评估。六个月以后，企业Y的业务发生重大变化（如超出原来预期的会员数量快速增长），此时产生90万新的个人信息出境需求。按照“预计一年内”的判断标准，此时如果只看未来行为，则仍然不会触发安全评估。但这一结果似乎不符合立法本意。

我们理解，建立出境数量标准的目的，在于防止处理者在短时间内向境外转移大批量数据，从而危及国家安全。为确保出境数量在时间维度上的均匀分布，可以参考税法上的规定，将判断标准改为“任意连续12个月内出境个人信息数量达到100万人，即需申报出境安全评估”；任意连续12个月内出境个人信息数量达到1万人，即需办理标准合同备案或保护认证”。按此规则，对任意时点而言，既要看过去12个月的已出境数据量，也要看未来12个月预计出境数据量，可防止出现上述漏洞。

3.“100万人”的标准，未限定“未来一年内”，是刻意为之吗？

我们关注到，新规定草案在提及“向境外提供100万人以上个人信息的，应当申报数据出境安全评估”时，与“1万人”和“10万人”标准不同，此处未限定“预计一年内”，是起草者根据上下文当然地认为适用“未来一年内”，还是刻意为之，去掉该时间限制？

我们理解，如果不加时间限制，“100万人”标准在解释和适用上会遇到很多问题，似不符合立法本意，希望在规定正式版本中能够解决这一问题。

根据新规定草案第4条，以下几种高频场景无需办理出境手续：

（1）为订立、履行个人作为一方当事人的合同所必需，如跨境购物、跨境汇款、机票酒店预订、签证办理等，必须向境外提供个人信息的；

（2）按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理，必须向境外提供内部员工个人信息的；

（3）紧急情况下为保护自然人的生命健康和财产安全等，必须向境外提供个人信息的。

实践中，上述场景是企业申报出境安全评估或标准合同备案的高频场景，豁免出境手续可以减轻企业负担。但在规则设计上仍有以下疑点：

1.合法事由是否能够代替保障措施？

根据《个人信息保护法》，不论是履行合同所必需、劳动人事管理所必需还是紧急情况所必需，均是处理个人信息的合法事由，只能解决个人信息出境的合法性问题。至于个人信息出境后的个人权益或国家安全风险，需要通过另外的措施来予以保障，这正是设置数据出境手续的目的。因为具备了合法事由（履行合同所必需、劳动人事管理所必需或紧急情况所必需），就豁免出境手续，在逻辑上似乎说不通。

2.跨境购物等常见情形的豁免，具体指的是什么情形？

我们理解，新规定草案第4条第1款豁免的是境内数据处理者因业务需要向境外接收方提供个人信息的情形，如个人通过国内旅游网站X预定海外酒店，由国内旅游网站运营者X向国外酒店运营者提供个人信息，构成数据出境。

至于个人直接通过境外网站海淘商品、预定机票酒店等场景，属于个人向境外处理者直接提供数据，即境外处理者跨境直接收集个人信息，适用的是《个人信息保护法》第3条第2款，这本来就不构成个人信息出境（《个人信息保护法》第38条规定的个人信息出境专指处理者向境外提供数据），自然无需履行出境手续。

3.收集个人信息具有必要性，就可以豁免出境手续吗？

新规定草案第4条第1款一出，很多企业认为其运营的业务收集使用个人信息具有必要性，因此可豁免出境手续，自由地跨境传输。这种理解是错误的。

新规定草案第4条第1项所说三种“所必需”中的必要性，是专指出境行为的必要性。如果仅境内收集处理环节必要，而出境并非必要，则不符合第4条第1款的适用条件。

例如：境内公司Z收集员工的家庭成员信息，以向境内员工提供商保理赔福利，如果这项福利是劳动合同或规章制度明确规定的，则Z公司收集员工家庭成员个人信息是必要的，但这并不意味着将该等个人信息转移出境是劳动人事管理所必需，因此，数据出境手续并不当然豁免。

4.企业触发出境数量标准，同时落入豁免范围，是否要履行数据出境手续？

如果企业触发新规定草案第5、6条规定的数量标准，又同时落入第4条的豁免情形，是否需要办理出境手续？按照体系解释，似乎应该理解为只要属于第4条规定的情形，无论出境数据数量几何，都可豁免出境手续。但如此解释是否会导致出现漏洞，致使极端情况下个人权益或国家安全无法得到维护？希望主管部门能够妥善处理这一问题。

新规定草案开篇前三条根据现有规则及实践，澄清以下情形无需履行出境手续：

1.未被主管部门告知或公告为重要数据的，无需申报重要数据出境安全评估

目前重要数据识别规则不清晰，重要数据出境申报的情形难以评定。实践中，重要数据出境申报的情形也相对较少。此次明确，申报重要数据出境安全评估以主管部门认定重要数据为前提，仅在被主管部门告知或公告属于重要数据的情况下，企业才需要申报重要数据出境安全评估。这一澄清解决了企业难以判断是否需要申报的问题。

2.国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境，不包含个人信息或者重要数据的，无需办理数据出境手续

目前中国有关数据出境监管规则本身就仅针对个人信息、重要数据，对于不包含个人信息或重要数据的数据出境，本身就无限制，无需办理出境手续。

当然，如果属于国家秘密、国家机关工作秘密，或者有行业或领域特殊规定的数据，如人类遗传资源数据、地图数据等，出境时仍需遵守相应规定。

3.非境内收集产生的个人信息向境外提供，无需办理数据出境手续

根据现行规则，不在境内收集产生的个人信息出境，本身就不需要适用出境安全评估；而就标准合同或保护认证而言，现行规则未强调以在境内收集产生的个人信息为限。新规定草案明确了非境内收集产生的个人信息出境无需采取出境手续，不论是出境安全评估、标准合同备案还是保护认证。这轻微地限缩了《个人信息保护法》第38条的适用范围。

那么，如何界定“非境内收集产生”呢？根据以往监管口径，单纯的数据过境不属于在境内收集产生，如果对过境数据有任何的加工处理，包括结合境内数据进行加工或者采用境内技术措施进行加工后的新数据，均构成在境内收集产生的数据。

新规定草案预留了自贸区自行制定数据流动清单的制度接口，呼应了8月《国务院关于进一步优化外商投资环境加大吸引外商投资力度的意见》提出的“试点探索形成可自由流动的一般数据清单”。

新规定草案明确，自贸区可自行制定出境数据负面清单，限制或禁止高敏高危数据出境，而针对清单外的数据则可从自贸区向境外自由流动。

新规定草案重申了特殊主体数据出境的监管规则，与现行规则相比无变化：

（1）国家机关数据出境，按《保守国家秘密法》等规定处理。

（2）CIIO数据出境，应申报出境安全评估，并遵守关键信息基础设施安全保护相关规定。我们理解，CIIO数据出境，不适用新规定草案第2、4、5、6、7条。

（3）向境外提供涉及党政军和涉密单位的敏感信息，按照相关规定执行。

目前新规定尚在征求意见，正式版本何时出台、如何呈现尚未可知。当前企业仍需全面梳理数据出境场景，制定并适时调整数据出境方案，以应对不断变化的法律和监管要求。

即使新规定按现状出台，也仅豁免部分情形下的数据出境手续，企业仍需履行其他个人信息保护义务，如告知、获得个人同意或具备其他合法事由、开展个人信息保护影响评估并留存记录、采取安全保障措施、应急处置等。

总的来说，新规定草案回应了当下企业与相关方的重大关切，考量数据出境行为实质和实际风险，重新审视并及时调整数据出境监管规则，将降低企业的合规成本，是对相关企业的重大利好。