【发布单位】 国家互联网信息办公室
【发布文号】 国家互联网信息办公室令第16号
【发布日期】 2024年3月22日
【相关链接】 https://www.cac.gov.cn/2024-03/22/c_1712776611775634.htm
                     https://www.cac.gov.cn/2024-03/22/c_1712783131692707.htm

《个人信息保护法》、《数据出境安全评估办法》等法律法规规定了企业在数据出境时的监管要求和适用的数据出境安全保护措施（即通过数据出境安全评估、个人信息出境标准合同备案（简称“SCC”）或个人信息保护认证）。本规定对数据出境监管要求进行了细化，放宽了数据跨境流动条件，且相对收窄了数据出境安全评估范围。主要内容如下：

1.明确重要数据出境安全评估的前提
明确在未被相关部门、地区告知或者公开发布为重要数据的，数据处理者无需就此数据申报出境安全评估。

2.放宽个人信息出境安全评估和合同备案标准
(1)当年累计向境外提供100万人以上个人信息或者1万人以上敏感个人信息，应当申报数据出境安全评估。
(2)当年累计向境外提供10万人以上、不满100万人个人信息或者不满1万人敏感个人信息，应当订立个人信息出境标准合同或者通过个人信息保护认证。

3.确定豁免申报的特定场景
以下情形免予申报数据出境安全评估、个人信息出境标准合同备案或通过个人信息保护认证：
(1)为订立、履行个人作为一方当事人的合同向境外提供个人信息的，如跨境购物、跨境支付、机票酒店预订、签证办理等。
(2)基于人力资源管理所必需向境外提供员工个人信息的。
(3)紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息的。
(4)非关键信息基础设施运营者自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）的。

4.强调个人信息保护义务
无论是否存在豁免采取数据出境安全保障措施的情形和人数，企业作为个人信息处理者，应当履行个人信息保护义务。对于个人信息出境，需履行告知、取得个人单独同意、进行个人信息保护影响评估等。