作者按：

今天，国家互联网信息办公室发布了一份重量级的文件——【】。公号君将对此文件做系列分析，供各位参考。第一篇关注在公号君看来，这份文件最大的亮点之处——对数据出境业务必要性判断的放松。这一点的重要性如何强调都不为过。

数据出境安全管理，无非是关注数据出境的必要性、合法性、安全性。无论是个人信息出境标准合同、个人信息保护认证、数据出境安全认证，均围绕着这三个大的方面来设计。

合法性、安全性判断相对明确。合法性即按照我国的法律法规的规定，数据出境是否具备法定要求的要件。一个突出的例子是，在某些情况下是否具备个人同意。安全性的判断即是数据出境后的完整性、保密性、可用性的判断。业界统称为CIA三性的保障。

但必要性的判断，却比较棘手。即在某项业务开展的过程，或者为了完成某项业务的开展，特定的字段是否需要出境，否则将会导致某项业务无法完成。这里面既有商业判断，同时也有从履行我国法律中规定的最小必要原则的判断。

让我们先从商业判断角度来看。以外企为例。外企在中国的分支机构虽然在中国运营，但无论是产品和服务的设计、制造和日常运营，还是人力（具体包括招聘、薪酬、晋升、培训等）、财务（包括预算、支付等）、IT系统（包括邮箱、办公平台、差旅申请等）在内的公司内部治理等方面，绝大多数都与其外国总部对接。即便是落地维护的产品（例如车辆和医疗设备），也涉及维护相关的数据向外国总部报告，而且还存在需要从国外更换零部件的情况。此外，跨国企业依赖高效低成本的全球产业链布局来达到有效控制控制成本的目的，基于此跨国公司往往根据某一国家和地区的比较优势建立相应的辐射于全球的机构。比如基于印度的IT远程技术服务，基于德国的车辆质量分析管理、召回决策机构等。这样的模式高度依赖全球范围内的供应商和服务商的紧密合作以维持良好的运转。

因此，从商业判断来看，企业会普遍认为，企业如何组织自己的商业模式，应当尽可能地被尊重。因此，企业普遍认为其对数据出境必要性的判断，具有优先性。但不可否认的是，企业的判断也经常会出现偏颇，其中也不乏“挂羊头卖狗肉”的情况，因此各国立法对最小必要原则的规定，也都赋予了监管部门做二次判断的权限。此方面外国，特别是欧盟的DPA均有不少案例。

在此背景下，让我们理解一下【】中对必要性判断的设计。

具体规定

分析

四、符合以下情形之一的，不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证：

（一）为订立、履行个人作为一方当事人的合同所必需，如跨境购物、跨境汇款、机票酒店预订、签证办理等，必须向境外提供个人信息的；

（二）按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理，必须向境外提供内部员工个人信息的；

（三）紧急情况下为保护自然人的生命健康和财产安全等，必须向境外提供个人信息的。

这个规定就明确了，在规定列明的三个情形中，至少在数据出境安全管理这个环节中，监管部门不（事先）判断数据出境的必要性了。

换句话说，向境外提供数据的一方，对数据出境的必要性的判断，具有了优先性。

熟悉数据出境安全管理工作的同仁，肯定能一下子感受到这个条款的重大意义。

当然，这个规定不排除数据出境后，监管部门开展事中、事后监管的可能性。

但公号君再强调一遍，必要性判断，企业的判断具有了优先性。

五、预计一年内向境外提供不满1万人个人信息的，不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。但是，基于个人同意向境外提供个人信息的，应当取得个人信息主体同意。

同样，对于这个清醒，监管部门也是将必要性判断的优先性，给了向境外提供数据的一方。

但不排除监管部门的事中、事后的监管。

六、预计一年内向境外提供1万人以上、不满100万人个人信息，与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的，可以不申报数据出境安全评估；向境外提供100万人以上个人信息的，应当申报数据出境安全评估。但是，基于个人同意向境外提供个人信息的，应当取得个人信息主体同意。

对“一年内向境外提供1万人以上、不满100万人个人信息”，必要性判断同样是向境外提供数据的一方优先。

因为标准合同是企业双方自行签订。认证是一种能力认证，并不针对特定的数据集。

所以综合看起来，必要性判断均是企业为优先。

但是超过100万人以上，那就回到目前的路径，必要性判断为监管部门的判断为优先。

七、自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（以下简称负面清单），报经省级网络安全和信息化委员会批准后，报国家网信部门备案。

负面清单外数据出境，可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

自贸试验区掌握了从监管侧来看必要性判断的位阶设置权限。

用大白话来说，自贸区可以设计：在某些情况下，监管必要性判断可以优于企业的判断，也可以设计，在其他情况下，监管必要性位于企业判断之后。

但与此同时，各个自贸区就要承担起相应的决策责任。

在系列文章的第一篇，公号君想点出，对于必要性判断，这个最容易引发监管侧和被监管侧之间争议的点，《规范和促进数据跨境流动规定（征求意见稿）》作出了非常重要的设计，从监管侧判断优先，转为企业判断为优先。在这个大的原则之下，各个自贸区还要承担起个性化的制度安排所引发的决策责任。

换句话说，从事前监管，决定性地转变为事中事后监管。这一点怎么强调都不为过。

以上是对《规范和促进数据跨境流动规定（征求意见稿）》现有规定的解读，至于这样的设计或转变的得和失，是另外一个问题。

关于业务场景中数据跨境流动的文章如下：

欧

数据保护官（DPO）社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时，DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月，DPO社群举行了第一次线下沙龙。沙龙每月一期，集中讨论不同的议题。目前DPO社群已超过400人。关于DPO社群和沙龙更多的情况如下：

DPO线下沙龙的实录见：

第

数

域外数据安全和个人信息保护领域的权威文件，DPO社群的全文翻译：

传染病疫情防控与个人信息保护系列文章

关于数据与竞争政策的翻译和分析：

健康医疗大数据系列文章：

网联汽车数据和自动驾驶的系列文章：

《

网络空间的国际法适用问题系列文章：

《网络数据安全管理条例（征求意见稿）》系列文章：

《数据安全法》的相关文章包括：

赴美上市的网络、数据安全方面的两国监管乃至冲突方：

个性化广告或行为定向广告（ ）系列的文章：

人脸识别系列文章：

内容安全方面的文章如下：

关于健康医疗数据方面的文章有：

第29条工作组/EDPB关于GDPR的指导意见的翻译：

数字贸易专题系列：

关于中国数据出境安全管理制度的文章

！

《

《

认

专

美国方面的个人信息保护立法的文章：

关于印度的数据保护和数据治理政策和技术文件的文章有：

关于欧盟技术主权相关举措的翻译和分析：

关于数据的安全、个人信息保护、不正当竞争等方面的重大案例：

本公号发表过的关于数据要素治理的文章有：

围绕供应链安全，本公众号曾发表文章：

围绕着出口管制，本公众号曾发表文章：

本公号发表过的关于数据执法跨境调取的相关文章：

通过技术增强对个人信息的保护的文章包括：

关于保护网络和信息系统安全的相关文章包括：

关于个人数据和域外国家安全审查之间的关系：

围绕着和的总统令，本公号发表了以下文章：

地缘政治与跨国科技公司运营之间的互动影响：

关于中美与国家安全相关的审查机制，本公号发布过以下文章：

关于LLMs（大型语言模型）的风险和监管，本公号发布过以下文章：

关于人工智能安全和监管，本公号发布过以下文章：

关于我国个人信息保护法的相关文章包括：

关于个人信息安全影响评估的文章如下：

针对已公开数据的个人信息保护研究，本公号发表过以下文章

关于我国《个人信息保护法》相关文章包括：