本文目录导读:
关于数据出境新规的落实情况,可以明确的是:相关法规已经正式实施,目前处于全面执行阶段。
核心是《促进和规范数据跨境流动规定》(以下简称《规定》),该规定由国家互联网信息办公室于2024年3月22日公布,并自公布之日起正式施行。
这意味着,自2024年3月22日起,所有涉及数据出境的企业和个人,都已需要按照新规的要求来执行。
为了帮助你更清晰地理解当前的具体执行状态,可以从以下几个关键点来看:
核心法规已生效,替代了旧的要求
- 新规生效: 《促进和规范数据跨境流动规定》已经生效,取代了此前一些试点性的、更为严格的要求。
- 旧规废止: 原《数据出境安全评估办法》和《个人信息出境标准合同办法》中的相关条款(与新规不一致的)在2024年3月22日之后也已不再适用,整体转向新规定下的要求。
新规的核心变化(当前如何执行)
新规的核心是“轻审批、重监管、促流动”,主要体现在以下几点,并且已实际执行:
- 豁免了部分场景: 个人为出国旅行、留学、工作等目的而产生的个人数据出境(如填表、办理业务),或者国际贸易、学术合作中不包含个人信息的非敏感数据,不需要申报安全评估、签署标准合同或通过认证,这些场景企业可以直接处理。
- 明确了三种合规路径: 对于需要管理的数据出境行为,企业可以根据数据规模和类型,选择:
- 申报数据出境安全评估(主要针对重要数据、大量个人信息)。
- 订立个人信息出境标准合同(主要针对非关键信息基础设施运营者,向境外提供未达到安全评估门槛的个人信息)。
- 通过个人信息保护认证(适用于同一类场景)。
- 简化了流程: 对于标准合同,取消了此前要求的“备案”环节,改为“向所在地省级网信部门备案”(实际上流程简化了,但备案是必须的),安全评估的申请材料要求也有所简化。
当前执行中的几个实际状态
- 过渡期已结束: 新规施行时(2024年3月22日)设定了6个月的过渡期(至2024年9月22日),过渡期内,旧有未完成或新发生的行为可按新规执行,但过渡期本身已结束,现在所有未完成或新启动的数据出境活动,都必须完全按照新规执行。
- 地方网信部门已按新规受理: 各省市的网信部门都已按照新规的要求,受理企业的安全评估申报和标准合同备案。
- 实践中仍存在“阵痛”: 虽然法规已明确,但在实际操作中,企业仍面临一些挑战,
- 标准合同内容: 必须使用网信办发布的标准合同范本,合同条款(特别是境外接收方的义务、数据保护措施等)需要企业与境外方仔细谈判和落实,这是许多企业当前的难点。
- “重要数据”目录: 虽然《规定》列出了部分场景下的重要数据范围(如国家统计局发布的经济数据、关键基础设施运营者掌握的某些数据等),但行业级的重要数据目录仍在制定中,这导致部分企业对于自己掌握的数据是否属于“重要数据”存在判断困难。
- 监管执行力度: 目前处于新规落地后的初期阶段,监管更侧重于“指导”和“预警”,但已出现因未按规定处理数据出境而被约谈、暂停数据传输的案例。
如何确认落实状态?
- 官方渠道: 关注国家互联网信息办公室及各省、自治区、直辖市网信办的官方网站和公告,他们会发布最新的申报指南、备案流程、常见问题解答和《规定》的官方解读。
- 企业自查: 如果你的企业正在进行数据处理活动,需要立刻对照新规进行自查,判断是否属于豁免场景,还是需要走安全评估、标准合同或认证路径。
- 咨询专业机构: 对于复杂情况,建议咨询专业的数据合规律师或网络安全服务机构,他们可以提供最贴近实际的合规操作建议。
是的,数据出境新规已经正式落实并处于全面执行阶段(自2024年3月22日起)。 当前,所有涉及数据出境的企业和个人都需要严格按照《促进和规范数据跨境流动规定》来操作,虽然法规框架已明确,但在具体执行中(特别是标准合同的签署、重要数据的界定等方面)仍存在需要企业主动应对的实务问题。
如果你正在处理具体的数据出境需求,建议立即开展合规评估,并主动联系所在地的网信办咨询,以确保你的操作完全符合当前已生效的法规要求。
