2023数据跨境流动年终盘点及未来展望

2024-01-02

导语：

2023年是我国各项数据出境安全管理制度陆续落地实施之年，也是中国参与国际数据跨境流动规则制定的开启之年。年终岁尾，本文拟总结2023年国内外主要的立法动态和案例实践，并对2024年监管趋势进行预测和展望，为企业下一步的合规工作提供参考建议。

一、2023年立法动态和案例实践

（一）中国国家层面

《数据出境安全评估办法》于1月份出现首个通过案例，2月28日整改期结束；《个人信息出境标准合同办法》于6月1日生效，11月30日整改期结束；个人信息保护认证工作也在同步进行。可见，我国数据出境的三条路径在2023年均陆续落地实施。

从公开渠道可以查询到的数据出境安全评估通过情况如下：

从公开渠道可以查询到的个人信息出境标准合同备案通过情况如下：

从以上可见，数据出境申报企业涵盖包括航空、计算机、信息软件、互联网、汽车、医疗等多个行业，其中外资企业居多，且大部分都集中在北、上、广及江浙地区。这些实践为进一步完善数据出境安全管理工作提供了宝贵的经验。

国务院于7月25日发布《关于进一步优化外商投资环境 加大吸引外商投资力度的意见》（“国务院725意见”），明确提出“探索便利化的数据跨境流动安全管理机制”。随后，国家网信办于9月28日发布《规范和促进数据跨境流动规定（征求意见稿）》（“跨境新规”），大幅抬高数据出境安全评估、个人信息出境标准合同和个人信息保护认证三条监管路径的适用门槛，允许自贸区自行制定负面清单。

此外，科技部于6月1日发布第21号令《人类遗传资源管理条例实施细则》，就人类遗传资源的出境作出了单独规定，标志着特定领域的数据出境具体规则开始落地。

（二）中国地方层面

《国务院725意见》中还提及“支持北京、天津、上海、粤港澳大湾区等地……试点探索形成可自由流动的一般数据清单，建设服务平台，提供数据跨境流动合规服务”。

12月13日，国家网信办联合香港创新科技及工业局发布《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》（“粤港标准合同”）。这是地方上首个对国家数据跨境制度作出便利化安排的正式文件，免除了粤港间个人信息出境安全评估要求、简化了个人信息保护影响评估的内容、降低了境外接收方的义务等，整体上通过监管模式创新促进粤港间数据自由流动。

今年几个主要省市也持续开展本地区的数据跨境政策探索，出台了相关文件，总结如下表：

（三）中国参与数据跨境流动的国际规则

中国在4月份向联合国提交《中国关于全球数字治理有关问题的立场》，强调了数据安全和各国的数据主权的重要性，也表示应当促进数据依法有序自由流动。

中国也继续推进加入CPTPP（全面与进步跨太平洋伙伴关系协定）和DEPA（数字经济伙伴关系协定）。这两个协定均涉及数据跨境流动的内容，要求缔约国允许数据跨境流动，同时承认缔约国针对数据跨境传输的监管权。与中国已经加入的RCEP（区域全面经济伙伴关系协定）所不同的是，CPTPP和DEPA虽然允许缔约国出于实现公共政策目标所必需而限制数据跨境，但该限制不得基于保护其基本安全利益，并且缔约国实现公共政策目标必要性的判断不再完全掌握在缔约国自身手中，而是可以被争端解决机制审查。

（四）国外数据跨境流动的主要动态

国际上，2023年数据跨境领域最瞩目的动态应属《欧美数据隐私框架》的达成。这系欧美之间为促进数据自由流动的第三次努力，为此美国主动限制了自己对欧情报收集的部分权力。

欧盟今年还通过了《数据法》，规制非个人数据的跨境流动，并禁止欧盟境外的政府机构强制调取欧盟企业的一般数据。

美国于10月24日在WTO电子商务谈判中宣布放弃要求加入数据自由流动的条款，目的是为其国内的相关立法留出政策空间，被认为是美国放弃自由互联网政策的重要风向。

除欧美之外，沙特阿拉伯、印度等国也在今年出台了该国的全面个人数据保护法律，其中均包含数据跨境流动的相关内容。

二、2024年的监管趋势预测

整体上，世界的数据跨境流动的监管制度存在趋同，各国纷纷拥抱“小院高墙”的思路，即守住核心和重要数据，防止一般数据被境外政府强制调取，以及确保个人数据出境后所受到的保护不会降低。

在中国，今年各项数据出境管理制度陆续落地之后，大量宝贵的实践经验将为2024年的立法调整和监管优化提供重要参考。在立法方面，我们预计《跨境新规》将会很快实施，多处涉及数据跨境安全管理内容的《网络数据安全管理条例》也值得期待，各地（特别是自贸区）的相关政策有望落地（尤其是粤港澳大湾区通过认证途径进行的个人信息跨境可能会很快出台正式文件），国际条约方面也可能有所突破。在监管方面，我们预计一方面可能出现执法案例，另一方面地方监管部门将发挥更大作用。《跨境新规》明确要求各地网信办加强数据出境的“指导监督……强化事前事中事后监管”。为此，有些地方已经为即将到来的常态化监管工作着手准备，例如无锡市网信办年底征集首批数据跨境流动第三方服务支撑机构。

三、对于企业数据出境合规工作的建议

数据出境安全管理一直是我国数据安全工作的重点，建议有关企业下一步做好下列数据合规工作，降低法律和监管风险。

（一）高效梳理数据出境场景

数据出境场景的梳理可以有两种方式：（1）按照业务场景梳理，将企业的主营业务和内部管理各业务条线所掌握和处理的数据分别列出，汇总判断其中的数据出境情况；（2）从数据出境端总体把控，将所有实际或可能存在出境的网络端口的数据出境情形进行梳理总结。目前大部分企业采取的是第一种方式，但如果企业难以判断实际出境情况，从出口端统计也是不错的选择。

同时，有效率的梳理工作不仅要求相关人员熟悉各业务板块的数据处理情况，还需要其具备一定数据分级分类基础知识。

（二）认真确认数据出境的合法性基础

实践中，数据出境最大的合规难点当属数据（个人信息）处理的合法性基础。数据出境时，企业需要自证每一项字段均满足合法性基础，补全其在收集或获取环节时的各项瑕疵，往往面临巨大挑战。

对于自行收集的数据，建议企业尽量通过后续补全手续、增加保护措施等方式降低个人信息保护风险；对于第三方提供的数据，企业应当要求数据提供方随附合法性基础的证明，并履行核查义务；对于数据出境的合法性论证，需要企业结合业务实际以及法律要求进行。

（三）正确认识数据跨境合规义务

数据跨境合规是一项以出境处理活动为中心，结合境内企业和境外接收方数据处理全生命周期合规的系统性工作。有些企业即使因《跨境新规》的适用，而无需履行相关申报、备案或认证等手续，也应注意履行其他合规义务，例如相关告知同意、个人信息影响评估、与境外接收方签署必要的协议等。此外，企业自身的日常合规建设，以及企业对于境外接收方所必需完成的调查义务等也不可或缺。

本文作者：

声明：

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。