跨境数据传输新动向：法规解读与企业应对｜mhp君悦评论

一、引言

中国近年来正积极构建一套日益完善、结构清晰的跨境数据传输法律体系。《网络安全法》《个人信息保护法》和《数据安全法》形成了坚固的顶层立法体系。在此基础上，国务院、国家网信办等陆续出台了一系列配套法规、规章和技术性细则，如《关键信息基础设施安全保护条例》《数据出境安全评估办法》《个人信息出境标准合同办法》等，不仅为数据出境设定了分类分级监管路径，也推动了企业在实践中落实数据本地化、最小必要性原则与出境申报机制。

这一从“以安全为纲”到“以安全托底、鼓励合规有序流动”的法规逻辑演变，也反映了中国在保障数据主权与参与全球数字经济之间的政策平衡意图。国家网信办于2025年4月发布的《数据出境安全管理政策问答》（以下简称“《问答》”）正是对上述法律体系在实践应用中的进一步阐释与完善，下文是对该《问答》的相关要点提炼。

二、2025年4月《问答》要点提炼

2025年4月，国家网信办发布《问答》，通过九个问答从制度设计与法律框架、自贸试验区负面清单管理、个人信息出境管理、重要数据管理、行业标准制定与外资企业参与、集团跨境传输申报便利措施、数据出境安全评估结果有效期延长等多个方面总结了我国近年来实施的数据出境安全管理制度中的部分经验与问题。

（一）回应负面清单标准一致性问题

《问答》第二条讨论了不同自贸试验区制定数据出境负面清单标准的一致性问题及解决建议。2024年3月颁布的《促进和规范数据跨境流动规定》明确，自贸试验区可在国家数据分类分级保护制度框架下自行制定数据出境负面清单。然而，各自贸试验区在制定与发布负面清单时存在不同侧重点。例如，《上海市网信办等五部门关于印发自由贸易试验区数据出境负面清单管理办法、负面清单（2024版）的通知》列入了再保险、国际航运和商贸领域（零售与餐饮业、住宿业）的重要数据和个人信息；《中国（浙江）自由贸易试验区数据出境管理清单（负面清单）（2024版）》则列入了电子商务（企业对企业）行业和清结算行业的重要数据和个人信息。在实操中，企业可能会挑选对其更为便捷的自贸试验区开展个人信息数据跨境（通过设在相关自贸试验区的企业主体）。为保证不同自贸试验区负面清单的一致性，《问答》提出，针对同一领域，若已有自贸试验区发布负面清单，其余自贸试验区可参照执行，不再重复制定。但各个自由贸易区针对同一领域如何参照执行，仍有待实践中进一步澄清。

（二）提升集团公司跨境传输个人信息效率

《问答》第八条为集团公司跨境传输个人信息提供了便利。在集团公司架构中，境内若干关联公司常向境外关联公司或总部传输个人信息。若不同企业按单个境内公司逐次提交备案，将影响企业数据出境效率。《问答》明确，若境内多家子公司同属一家集团公司且数据出境业务场景相似，可由集团公司作为申报主体，合并申报数据出境安全评估或备案个人信息出境标准合同。然而，一个集团内何为集团公司并不明确，到底哪一家企业主体可以作为集团公司而成为申报主体，还需在实际操作中与相关网信部门确认。经电话咨询网信上海数据跨境业务专线，当集团公司并非一个实际存在的独立主体时，其他需要集中申报的子公司可以通过出具授权书的方式，指定一家子公司作为申报主体负责处理数据出境的联合申报事务。如被指定的子公司位于上海自贸区，而其他参与联合申报的子公司位于自贸区外，则申报流程应以上海自贸区的相关规定为准。例如，假设需要集中申报的子公司位于山东，而负责申报的子公司位于上海，那么即使山东子公司并非自贸区企业，在申报时也应当适用上海自贸区的相关规定。此外，《问答》还披露，正在推动出台个人信息出境保护认证相关管理办法[1]。通过认证的跨国集团可在集团内开展个人信息出境活动，无需分别与各国子公司签订个人信息出境标准合同。

（三）总结与细化判断标准及实操流程

《问答》总结与细化了部分判断标准及操作流程，使数据处理者在跨境信息传输过程中更加有章可循。《问答》第四条明确，个人信息出境的“必要性”判断标准包括与处理目的直接相关、对个人权益影响最小、限于实现处理目的的最小范围、保存期限为实现处理目的所必要的最短时间等四个方面。国家网信办在开展数据出境安全评估工作中，将充分考量数据处理者申报事项的业务场景和实际需求，对个人信息出境必要性进行评估。评估要点主要包括出境活动本身的必要性、涉及自然人规模的必要性以及出境个人信息数据项范围的必要性等。国家网信办会同相关行业主管部门，正逐步细化明确具体行业领域的数据出境业务场景以及个人信息出境必要范围，为企业机构数据出境提供更为细化的政策指引。《问答》第五条明确了依据《网络数据安全管理条例》《数据安全技术数据分类分级规则》（GB/T 43697-2024）附录G《重要数据识别指南》等相关法律法规、技术标准来识别并申报“重要数据”。此外，《问答》第九条还总结了申请延长数据出境安全评估结果有效期的流程，并披露国家互联网信息办公室正在积极听取各方意见，加快研究延长评估结果有效期的流程，计划通过修订发布相关政策文件的方式予以明确，为企业机构数据出境创造更为便利的条件。三新规与趋势带来的影响《问答》所总结的新规与趋势，对不同规模的企业都产生了重要影响。对于中小企业而言，整体趋势呈现出诸多利好。一方面，负面清单标准一致性的推进，有望减少企业在不同自贸试验区开展业务时面临的合规困惑与成本。另一方面，延长数据出境安全评估结果有效期、细化操作流程等举措，也为中小企业带来了实质性的便利，使其在个人信息/数据跨境传输的过程中有了更明确的规则指引，降低了合规成本。

而对于大型集团公司来说，跨境传输个人信息效率的提升尤为关键。合并申报及推动中认证举措优化了数据出境流程，减少了重复性工作，提升了整体工作效率，增强了集团内部数据流动的灵活性，有助于企业在全球范围内更高效地开展业务，从而进一步提升了企业的国际竞争力。此外，随着判断标准及实操流程的不断细化，无论是中小企业还是大型集团公司，在跨境数据传输过程中的合规操作都变得更加有章可循，这不仅有助于企业规避潜在的法律风险，也增强了企业在数据出境方面的信心和稳定性，为企业的国际化发展提供了有力支持。

针对上述新规与趋势，建议企业首先全面梳理自身数据跨境业务场景和数据类型，明确是否涉及重要数据或个人信息出境；其次，应及时关注各自贸试验区负面清单的动态，根据自身业务所在地和数据类型选择合适的试验区开展业务；再次，应积极研究个人信息保护认证，了解和评估个人信息保护认证的流程、成本，从而选择合适企业需求的出境方式；最后，应建立内部数据跨境合规管理制度，定期开展员工培训和合规审计，确保数据跨境活动持续符合法律法规要求。

【1】国家网信办于2025年1月发布了《个人信息出境个人信息保护认证办法（征求意见稿）》，而在2022年11月，国家网信办与国家市场监督管理总局联合发布了《关于实施个人信息保护认证的公告》。