（一）新规对数据出境的定义

根据《数据出境安全评估申报指南（第二版）》中的定义，以下情形属于数据出境行为：

1. 数据处理者将在境内运营中收集和产生的数据传输至境外；

2. 数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；

3. 符合《个人信息保护法》第三条第二款情形，即分析、评估境内自然人的行为，并在境外处理境内自然人个人信息等其他数据处理活动。

简单来说，除了按字面意思理解的将数据从境内输送到境外，以及在境外调取下载境内数据外，数据出境还包括了在境外处理境内自然人个人信息的情形。

（二）重要数据

新规对数据作出了划分，针对重要数据规定了跨境评估申报等义务，因此。根据新规规定，未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。

在这种情况下，重要数据的界定取决于地方和行业主管部门发布的通知或公告。如果一家企业的数据处理没有被相关部门或地区通知视为重要数据，或者相关部门或地区的重要数据目录清单中不包括该企业所处理的数据类型，那么该企业就不需要将这类数据视为重要数据，也就无需进行数据出境安全评估。

根据《信息安全技术 重要数据识别指南》（征求意见稿），重要数据不包括国家秘密和个人信息，但基于海量个人信息形成的统计形成的统计数据、衍生数据可能属于重要数据。基于此，当重要数据中包含个人信息时，仍需要按照《个人信息保护法》的要求履行前置义务。

（三）个人信息、敏感个人信息

《个人信息出境标准合同备案指南（第二版）》中给出了定义，“个人信息”是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

“敏感个人信息”是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

（四）关键信息基础设施

根据《关键信息基础设施安全保护条例》，关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

涉及的重要行业和领域的主管部门、监督管理部门负责制定本行业、本领域关键信息基础设施认定规则，组织认定本行业、本领域的关键信息基础设施，及时将认定结果通知关键信息基础设施运营者。

因此，关键信息基础设施的认定以各个行业的主管和监管部门制度的规则和通知为准，未被通知的企业暂时都不会被认定为关键信息基础设施运营者。

（一）重要数据的出境

1.如何确定自身经营是否包含重要数据

《数据安全技术 数据分类分级规则（ GB/T 43697-2024）》中6.5b条款规定了数据识别为重要数据的条件，并于附录G中列举了可能构成重要数据的条件或因素，企业可参考其中要素初步判断自己经营的数据是否落入重要数据范畴。

仍有疑问的是，如由企业自行判断自身是否涉及重要数据，很难形成统一的标准，对此，新规第二条明确将重要数据的认定这一责任交予了地方和行业主管部门，规定“未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。”因此，未被相关部门、地区告知或者在公开发布的清单中列入为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。此规定为企业减少了未知风险。但是，企业需要注意的是，在新规发布后，应更加留心关注告知通知，及时跟进地方和行业主管部门的信息更新，并迅速作出反应。

2.重要数据如何出境

（1）评估安全风险

新规第七条规定，数据处理者向境外提供重要数据满足一定条件的，需进行数据出境安全评估申报，并经主管部门的批准。其中将数据处理者分为了关键信息基础设施运营者（CIIO）与其他向境外提供重要数据的数据处理者。新规之后，CIIO与重要数据处理者的认定均以“是否被通知”为标准，两者数据的泄露、损毁与灭失均会对国家安全、社会稳定和个人隐私等产生影响，但是关键信息基础设施运营者，由于其数据安全等级更高，依据网安法等的规定，有更详细的数据安全保护的合规义务。在数据跨境规则方面，出境前的合规义务有相似之处，即需要进行数据出境安全评估申报，并经主管部门的批准。

（2）是否需要订立个人信息出境标准合同并通过个人信息保护认证

新规将数据分为个人信息和重要数据两方面，然而重要数据与个人信息是何关系？是否完全独立？重要数据识别指南中曾提出，重要数据不包括国家秘密和个人信息，但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。从此规定中可窥见，重要数据与个人信息并非完全割裂，特定情况下，达到特定程度的个人信息会存在被认定为重要数据的可能性。因此，在被通知为重要数据后，企业也不可直接排除自身涉个人信息出境的合规义务，应结合企业实际情况，对照个人信息出境规则，确定是否需订立个人信息出境标准合同及通过个人信息保护认证（PIPCB）。

（3）豁免情形

新规规定，关键信息基础设施运营者以外的数据处理者数据跨境，属于本规定第三条、第四条、第五条、第六条规定情形的，从其规定。其中重要信息被排除在豁免条款之外，即依据新规，凡涉及重要信息必须经数据出境安全评估申报。

（二）个人信息的出境

1.个人信息出境的一般规则

根据新规第五条第四项、第七条第二项和第八条，针对拟向境外提供个人信息的一般企业，应当采取的数据出境制度按照如下规则：

表1：数据出境规则

2.判断要点

（1）计算周期

新规规定，个人信息计算周期为自当年1月1日起至申报数据出境安全评估之日，数量以自然人为单位去重后的统计结果为准。

（2）累计数量

属于新规第三条、第四条、第五条第一款第一项至第三项、第六条规定（“豁免”）情形的，不计入累计数量。即出境的个人信息，属于豁免情形的，无论是敏感与否，数量都不计入公司数据出境的累计数量。

3.  个人信息出境的豁免

新规规定了属下述情况之一的数据处理者，可免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

（1） 个人信息过境

收集与产生于境外的个人信息传输至境内处理后再次向境外提供。该过程中未引入境内个人信息或重要数据。非个人信息或重要数据，对国家安全、社会公共利益以及境内个人主体的权益产生的影响较小，对此豁免企业的申报义务，减轻了诸如云服务、跨境交易等企业的负担。

（2）个人订立合同

为订立、履行个人作为一方当事人的合同所必需，如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等。此类豁免强调基于个人需要，对于必需的范围可豁免到哪些方面有进一步细化的空间。

（3）跨境人力资源管理

按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供非重要数据的员工个人信息的。基于人力资源管理所必需而出境员工个人信息；此项豁免基于人力资源管理，但基于其可能涉及敏感个人信息，建议企业适用此项豁免时仍需确保合规流程完善，确有履行告知-同意等义务。

（4）紧急情况

紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息的；关于此项豁免，紧急情况的判断条件或情形仍有进一步细化空间，企业在适用此条时应全面评估，谨慎判断。

（5）低数量级的豁免

关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人非重要数据的个人信息（不含敏感个人信息）的，可免于评估。

（三）一般数据的出境

此处一般数据是指不涉及个人信息也不涉及重要信息的数据出境。新规对一般信息的出境规定了较宽泛的豁免。第三条规定，针对商业贸易、跨境运输、生产制造、学术交流等数据跨境流动频繁的领域对普通数据（不包含个人信息或者重要数据）采取数据出境制度进行了豁免。此条豁免将大大促进对外开放，便利了跨境贸易企业数据管理，减轻了其数据出境合规义务。

（四）自贸区负面清单

新规规定了“负面清单”机制。新规规定，在国家数据分类分级保护制度框架下，自由贸易试验区可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（以下简称负面清单），经省级网络安全和信息化委员会批准后，报国家网信部门、国家数据管理部门备案。负面清单外的数据，可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

各个自贸区在完成以下义务后，可对负面清单外的数据免于申报、备案：

1. 按照国家数据分类分级制度体系制定负面清单

2. 向网信和国家数据局备案。“负面清单”经省级网信部门批准，报国家网信部门、国家数据管理部门备案。

上述步骤完成后，清单外数据出境可豁免跨境申报、备案等前置义务。需要提示的是，根据答记者问，在各自贸区的负面清单发布前，自贸区内企业仍需根据现有规定履行相关义务。自贸区负面清单赋予了地方政府制定部分数据监管规则的权利，是一项重大的制度尝试。

（五）延长时限

新规规定数据出境安全评估结果有效期为3年，延长了《数据出境安全评估办法》中的时限，为数据处理者减轻了负担。并规定有效期届满，企业需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的，可以在有效期届满前60个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请。经国家网信部门批准，可以延长评估结果有效期3年。这意味着当前企业数据出境安全评估结果有效期可以延长至6年。至于6年届满后还能否继续顺延暂未有明确意见。

（六）网上申报系统

国家网信办开放数据出境网上申报系统（https://sjcj.cac.gov.cn）。非CIIO或其他不适合通过数据出境申报系统申报的，均可通过登陆该网站申报数据出境安全评估、备案个人信息出境标准合同。

（一）比照本文确定自身义务

1. 首先要评估新规对企业的具体适用情况，然后根据自身情况确定相应的合规策略。

图：数据出境新路径适用

2. 对于尚未提交安全评估或备案的企业，需要尽快确定是否需要进行评估、备案或认证，并及时进行申请。如果在对数据出境情况进行梳理后发现仍符合申报标准，就需要更新和完善申报材料，并尽快提交申请。一般情况下，申请可以通过数据出境申报系统进行。

3. 对于已经提交的安全评估或备案，需要确定是否需要撤回或继续推进。如果企业在2024年3月22日前已经提交了数据出境安全评估或个人信息出境标准合同备案申请，但根据新规不需要进行这些程序的，可以按原程序进行，也可以向所在地省级网信部门撤回申请或备案。具体的撤回流程可以后续与相关官员联系确认。

4. 对于未通过或部分通过安全评估的情况，需要确定是否可以通过其他途径进行数据出境。根据国家网信办的规定，如果企业在2024年3月22日前未通过或部分通过数据出境安全评估，但根据新规免予申报安全评估的，可以依法通过签订个人信息出境标准合同、进行个人信息保护认证等其他途径向境外提供个人信息。对于当时未通过或部分通过的情况，是否可以通过其他途径成功通过，具体细节需要进一步确认。

5. 对于已通过安全评估的情况，有效期延长至3年，届满后可申请续期。如果企业在2024年3月22日前已经通过了数据出境安全评估，可以根据评估结果继续进行数据出境活动。根据新规，安全评估的有效期为3年，届满后需要申请延期。如果在有效期届满之前没有发生需要重新申报安全评估的情况，可以在有效期届满前60个工作日内申请延期。

（二）及时更新数据出境标准

根据新规，企业可以利用多种豁免方式来规避数据出境三条路径。建议跨国企业对数据出境范围进行谨慎评估，清理不必要出境的个人信息并予以排除，及时更新企业出境标准和相关制度。在可行的情况下，尽量利用豁免情形规避数据出境三条路径，或者减少跨境数据涉及的人数，以便选择相对简单的标准合同备案或个人信息保护认证路径。无论是否根据新规豁免数据出境三条路径，跨国企业都必须遵守《个人信息保护法》的一般合规义务，包括告知同意（如果适用）、进行个人信息保护影响评估、采取安全保障措施、签署数据处理协议等。

来源：律商视点