数据跨境新规对境内外投资项目的影响

背景

数据跨境新规的颁布，是主管机构在秉持创新与治理双轮驱动、安全与发展良性互动监管方向上的向前一步，体现了切实呼应高水平对外开放的决心，利好外商对华投资、私募股权投资、境内企业出海投资等各类境内外投资项目。

2024年3月22日，国家互联网信息办公室（“网信办”）发布《促进和规范数据跨境流动规定》，同时配套发布了《数据出境安全评估申报指南（第二版）》《个人信息出境标准合同备案指南（第二版）》（合称“数据跨境新规”“规定”或“新规”）。

本文第一部分介绍《促进和规范数据跨境流动规定》的核心内容。第二部分介绍规定对外商直接投资项目的影响。第三部分介绍规定对私募股权投资或并购项目的影响。第四部分介绍规定对境内企业“走出去”进行海外投资布局的影响。

一、新规核心内容速览

《促进和规范数据跨境流动规定》实质性地简化了企业数据出境的行政侧合规程序，呼应了国家数据局等部门于2023年12月发布的《“数据要素×”三年行动计划（2024—2026年）》提出的“开放融合，安全有序”原则，为数据实现有序跨境流动提供制度框架上的依据和保障。

为使读者就《促进和规范数据跨境流动规定》内容具有总体性的了解，以更好地开展后续对境内外投资项目的分析，我们就《促进和规范数据跨境流动规定》简要梳理如下。为阅读便利，以下将数据出境安全评估和个人信息出境标准合同备案统称为“数据跨境合规申报”。

数据跨境新规-1.png

以上总结可以看出：

● 新规明确规定了若干不需要开展数据跨境合规申报的场景。

● 新规显著提高了需要进行数据跨境合规申报的门槛，实质性地减少了需要进行申报的情形。

● 新规明确强调了自贸区可以有自己先行先试的政策，其中的负面清单制度，可能进一步利好外商对华投资，从而影响部分行业和业务的外商对华投资的区域选择。

以上三个特征，整体利好境内外各类投资项目，缓释了这些投资项目中对数据跨境因素以及相伴的监管申报风险的考量。

二、新规对外商直接投资项目的影响

（一）外商投资项目落地后的个人信息出境更加便捷

作为商业活动，外商投资决策评估以经济利益为目标、以商业分析为支点。但是，境外投资者在进行投资项目落地的评估过程中，也特别关注合规成本和后续数据传输布局的便利性。

例如，境外投资者（特别是产业、实业投资者）重点关注IT物理设备的选址、系统部署、数据中心和云服务选择以及数据流转关系。在此过程中，除关注物理设备、系统、云服务等采购成本外，数据流转方式以及涉及重要数据、个人信息的出境机制的便利性，也是重要的考量因素。特别是，大量外商投资项目在落地后，由于在中国本土设点，本土所设公司的人力资源信息、客户信息、合作伙伴信息以及部分或全部业务信息，在很多情况下确实有必要传输给境外，所以境外投资者特别关注此类信息向境外传输的合规要求，是否便利，合规成本是否过高。

根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》（“《个人信息保护法》”）及其配套规定和要求，外商投资项目落地后，在本土所设企业若涉及重要数据或个人信息出境的，应当根据相关法律法规的要求进行数据出境安全评估，签订个人信息出境标准合同并备案，或进行个人信息保护认证（含出境）。

其中，尤其是个人信息出境标准合同备案，此前触发备案的门槛极低。根据《个人信息出境标准合同办法》第四条的规定，任何向境外传输个人信息的行为均可能触发签订标准合同的义务，无论传输个人信息的数量和敏感程度。

但实践中，对于外商投资企业，基于公司业务管理和人力资源管理往往需要将相关个人信息传输出境，例如：

● 公司业务管理：作为外商投资企业，其业务自身往往与境外产生诸多关联，在经营管理的过程中，不可避免的会将业务联系人、供应商合作伙伴联系人等少量个人信息进行出境。

● 人力资源管理：境外投资者在境内设点后，对于招聘的员工，往往有全球统一管理的需求，其中特别是对于员工总体福利的保持和特定福利事项的采购、一定层级以上员工晋升的考核、部分违纪员工的调查等事项涉及的员工信息，往往确实需要传输到境外（例如总部），进行全球协调。

● IT系统全球部署：境外投资者在向中国投资前，往往已经在境外统一布置中心化服务器和管理系统，以对全球业务信息和人力资源信息进行统一管理；因此，大量的外商投资企业均客观上需要因为全球统一IT系统部署而将境内相当数量的信息传输到境外。对一些公司而言，由于IT结构的设计原因，导致单独在中国境内设立全套单独的服务器和系统可能要花费极长的时间或者需要极高的成本。

在新规颁布之前，由于不存在任何豁免性条款，导致相当大部分外商投资企业需要履行数据跨境合规申报义务。特别是对于相当一部分传输数量很少（有的甚至只有几名或十几名员工的个人信息）的外商投资企业，该等义务的履行成为比较重的负担。基于上述理由，《促进和规范数据跨境流动规定》的颁布对于外商投资企业而言可谓“重大利好”，特别是对于部分行业的外商投资企业来说，整体免除了申报义务。

1. 外商投资企业向境外传输个人信息的最主要场景之一是人力资源管理，有机会豁免申报义务

根据《促进和规范数据跨境流动规定》第5条第2款提及，如果外商投资企业“按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的”，可豁免数据跨境合规申报义务。

不过应当注意，《促进和规范数据跨境流动规定》第5条第2款的豁免前提是“按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理”，因此外商投资企业应当根据相关法规要求，制定劳动规章制度或签署集体合同，才符合《促进和规范数据跨境流动规定》规定的豁免条件。

2. 履行数据跨境合规申报义务的数据量门槛大幅提高

从传输个人信息数量角度而言，新规大幅提高了需要履行数据跨境合规申报义务的门槛。

对于不涉及敏感个人信息的跨境传输行为，新规已经将个人信息出境标准合同备案的门槛提高至自当年1月1日起累计超过10万人，对于传输不满10万人信息的外商投资企业豁免个人信息出境标准合同备案义务。同时，如果外商投资企业自当年1月1日起，个人信息跨境传输数量累计超过100万人，才会触发数据出境安全评估义务。

上述规定与原先的规定相比，大幅提升了门槛。从实务操作角度而言，除天然服务大量个人，且由于技术、服务、行业等特殊原因很可能必需有海量个人信息出境的外商投资企业（例如汽车行业的企业）以外，其他大部分外商投资企业的每年个人信息出境数量一般不会超过10万人，超过100万人的情况则更为罕见。因此，对于绝大部分外商投资企业而言，该等触发门槛大大减轻了数据出境的合规申报义务。

鉴于此，在外商投资项目论证过程中，外国投资者仅需大致估算可能需要出境的个人信息主体人数，且相对容易得出合规成本评估结论。结合上述行业豁免和数量门槛，外商投资企业一般不会轻易达到个人信息出境标准合同备案或者申报数据出境安全评估的门槛。

3. 部分行业的外商投资企业明确不需要履行申报义务

从行业角度而言，部分行业天然性的无需根据《个人信息保护法》第38条的规定履行数据跨境合规申报义务。

例如，《促进和规范数据跨境流动规定》第5条第1款规定，在个人信息主体作为签署合同的一方的前提下，如果外商投资企业涉及“跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务”等业务场景，上述场景不需要根据《个人信息保护法》第38条规定履行数据跨境合规申报义务。

实践中，这些例外明确涵盖了一部分具有数据跨境“刚需”的行业。例如境外考试机构在中国设点并举办考试，考试结果和对应的个人信息必需传输到境外，否则没有办法对应具体个人进行评估、打分、颁布考试结果。例如相当一部分跨境支付企业，跨境电商企业，由于境内用户的需求就是跨境付款、跨境购物，所以有关的个人信息不可避免需要传输出境，用于清分结算或者物流运输，否则境内用户的合同目的根本无法完成。这些行业，相对明确地可以适用新规规定的例外，大幅度减轻申报义务。

（二）外商投资项目中的“重要数据”认定顾虑有望消除

在一些外商投资项目中，部分外商投资企业可能涉及处理重要数据的行为或者和相关重要数据处理者开展商业合作从而触及重要数据的情形。对于重要数据处理活动，《促进和规范数据跨境流动规定》并未对进行数据安全评估的要求进行放松。因此，如果外商投资企业跨境传输重要数据，依旧需要履行数据出境安全评估的义务。

但是，《促进和规范数据跨境流动规定》对于重要数据的认定予以了明确界定，即“只要未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估”。

目前，仅有汽车等少数行业对于重要数据的定义提供了一定程度的行业性规定（但依旧不甚明确）。大部分行业和地区，没有专门颁布过重要数据目录或认定规则。对于外商投资企业，如果其监管相关部门、所在地区或所属行业未颁布相关的重要数据目录或认定规则，则其就跨境申报义务来说，无需考虑相关数据是否涉及重要数据的问题，因此无需顾虑是否因为可能涉及重要数据而需要进行数据出境安全评估。

该等事项的处理机制与关键信息基础设施运营者的法定要求类似。从《中华人民共和国网络安全法》的角度而言，关键信息基础设施运营者的概念比较模糊；但实践中，仅有在被相关监管部门正式通知的情况下，企业才会被认定为关键信息基础设施运营者。因此，大量企业一般而言不需要实质性担心其是否需要履行关键信息基础设施运营者的数据跨境申报义务。

另外，在实践中，部分地方自贸区已经对重要数据目录进行探索和实践。例如，上海临港新片区已经颁布《临港新片区数据跨境流动分类分级管理办法（试行）》，旨在做好跨境数据的分类管理，并尽快明确“核心数据”“重要数据”“一般数据”的界定范围；该片区有望结合《工业和信息化领域数据安全管理办法（试行）》尽快形成一批地方性的重要数据目录，指导可能涉及重要数据的企业进行重要数据申报。

同时，部分外商投资企业出于全球数据统一管理的考量，也尝试在我国一些自贸区内设立了数字业务公司，以期一定程度上获得自贸区的数据业务和数据跨境传输便利性红利。上述实践操作亦体现了我国进一步扩大高水平对外开放、鼓励自贸区先行先试的重要意义。

（三）敏感个人信息出境的严格把控

根据《促进和规范数据跨境流动规定》第8条，除了上述规定完全豁免的个人信息出境场景外，外商投资企业如果涉及敏感个人信息跨境传输，且从当年1月1日起跨境传输不到1万人的，应当进行个人信息出境标准合同备案；如果从当年1月1日起出境数量超过1万人的，则应当进行数据出境安全评估。

某些特定行业，企业必需（或者很容易涉及）处理敏感个人信息，例如医疗、基因企业，往往涉及个人健康生理信息；例如金融行业，往往涉及个人账号信息等个人金融信息，甚至用于识别验证身份的个人生物识别信息；例如汽车行业、出行行业和智能网联汽车业务，可能涉及到行踪轨迹等敏感个人信息。对于上述行业的外商投资项目决策，应当对敏感个人信息跨境事项予以特别关注。

即使从敏感个人信息传输管理来看，新规也已经降低了部分要求。原《数据出境安全评估办法》第4条规定，自上一年1月1日起，累计跨境传输敏感个人信息达到1万人的，应当进行数据出境安全评估。而新规将计算起始点改为自本年度1月1日起，累计向境外提供1万人以上敏感个人信息。相比而言，在时间维度上，监管要求的门槛已经有显著降低。

值得注意的是，部分企业可能会因此促生和开展对敏感个人信息传输出境前的处理工作，比如更多采取本地化存储、避免跨境传输，比如尽量进行匿名化处理等形式。

此外，在《促进和规范数据跨境流动规定》颁布前夕，《数据安全技术数据分类分级规则》提供的“附录H：一般数据分级参考”当中，对于去标识化的敏感个人信息，其数据分级标准也有所降低，甚至达到一般个人信息的分级程度。因此，外商投资企业可以考虑采取更大力度的去标识化等技术措施，以争取在一定情况下将敏感个人信息的性质变为一般个人信息，以避免因传输大量敏感个人信息而触发相关个人信息出境申报机制门槛的情形。

三、新规对私募股权投资或并购项目的影响

（一）新规发布前投资并购项目就数据跨境申报的实践处理

如上文所述，在新规发布前，数据跨境传输场景下的合规申报义务适用范围较为宽泛，且存在模糊地带。可能导致海量场景都需要进行数据跨境合规申报。因此，大量股权投资或并购项目中的标的公司（即数据处理者），一旦涉及数据跨境，则普遍存在需要开展数据跨境合规申报的现象，但难以准确把握自身是否有重要数据出境、该适用何种数据出境渠道的问题。

与前述合规义务适用不确定性相对的，是数据跨境合规申报程序对投资并购项目时间表确实可能产生很实质的影响，如影响交易确定性，甚至于交易意愿。仅从规则层面来看、不考虑申报材料准备所需时间的情况下，个人信息标准合同备案审查期限为15个工作日，如要求补充材料的，申请人应当在10个工作日内补充完成。数据出境安全评估的持续时间则更久，一般在57个工作日以内完成，但如果国家网信部门认为需要补充材料或情况复杂的，可以延长。根据笔者办理的多项数据出境安全评估项目和个人信息标准合同备案项目，实际所花时间远长于上述时间。

这对上述难点，在新规发布前，一些投资并购项目实践中已对交易推进安排和条款机制作出了针对性的处理。在部分投资并购项目中，尤其是业务上存在数据跨境客观需求的标的公司项目（如需向位于境外的研发设计中心、测试实验中心传输数据，需向位于境外的关联公司传输员工或客户个人信息进行分析处理，需向境外的供应商、客户传输数据完成交付等），投资方可能会视个案谈判情势，考虑：

1. 将完成数据跨境合规申报义务作为项目交割的前提条件之一；如预期难以在短时间内履行完毕该等义务、业务侧项目落地需求迫切的，且存在投资方的多笔付款安排的，则考虑将完成数据跨境合规申报义务作为投资方支付第二笔、第三笔等非首笔款项的先决条件。该等处理常见于标的公司所属行业、处理的数据字段较为敏感，处理数据量级较大或适用的数据合规出境渠道明确的投资并购项目。

2. 将完成数据跨境合规申报义务作为标的公司的交割后承诺之一。即，标的公司与投资方预计，在项目预期的时间表下，等到标的公司完成全部数据跨境合规申报工作再交割的决策可能无法满足市场发展或企业融资需求。投资方可能要求标的公司承诺，其将在给定的合理时限内，恰当落实数据跨境合规申报义务，并承担未能按时履行该等义务或在此期间被主管部门监察、受到处罚时的合同责任。该等处理常见于标的公司所属行业、处理的数据字段敏感程度有限，处理数据量级较小，或适用的数据合规出境渠道尚不明确的投资并购项目。

（二）新规发布后投资并购项目就数据跨境申报的选项

新规发布后，衔接了《个人信息保护法》第三十八条的兜底性规定“国家网信部门规定的其他条件”，实质性限缩了需要开展数据跨境合规申报的范围，并通过厘清“重要数据”概念边界，明确了对投资并购项目时间表影响最为显著、实践中申报难度最大的合规渠道——数据出境安全评估的适用范围。该部分内容前文均有涉及，此处不再赘述。

基于新规，我们预计，数据跨境场景下的合规申报义务给投资并购项目带来的不确定性将显著降低。一方面，投资或并购项目的时间表将更加明确，交易进程推进受限的行政性程序可能减少；各方就数据合规专项条款的应用和谈判有望减少。

如前所述，新规明确规定部分场景（例如合同履行所必需、跨境人力资源管理、保护人身财产安全以及非关键基础设施运营者少量非敏感个人信息跨境情况）不需要进行申报，实质上免除了一部分存在业务性、日常性、非敏感、低量级数据出境的标的公司的合规义务。

相应的，在交易文件中通过交割先决条件、交割后承诺等机制，要求标的公司在落实数据跨境合规申报义务后才能获得融资，或应当在一定时间内履行申报义务的条款设置必要性显著降低。

另一方面，由于数据跨境合规申报义务豁免机制的存在，相关投资或并购项目的标的公司需要论证，投资人也需要判断，标的公司涉及的数据处理情形是否确实落入豁免范畴；这可能引发新的交易条款谈判。

例如，如果标的公司主张自身不需要履行数据跨境合规申报义务，则投资人可能考虑在交易文件条款上做特别处理；如：

1. 要求标的公司在交易文件中作出陈述和保证，例如，明确声明标的公司于交割日前开展的数据跨境传输行为不需要开展个人信息出境标准合同备案，个人信息保护认证工作，或数据出境安全评估。

2. 要求标的公司在交易文件中作出适当承诺，例如，明确承诺其将在被任何主管部门或适用规范性文件要求就数据跨境行为开展数据跨境合规申报时，应当在投资人给定或者相关规定性文件要求的时间内（以更早到期的时间为准），落实相关义务。

（三）新规对投资并购项目中数据跨境尽职调查核查要点的影响

投资并购项目中，数据合规尽职调查在数据跨境方面的核查要点需要根据新规的要求进行更新。

举例而言，在新规发布前，投资人往往关注标的公司是否本身属于处理（而非向境外传输）达100万人以上个人信息的处理者。新规发布后，标的公司自身处理的个人信息体量已经不再作为数据跨境领域的核查要点（当然，其可能仍在其他数据合规领域下被关注，如掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须申报网络安全审查）。

相对的，标的公司注册地址应当引起项目参与方的注意。如标的公司注册于自由贸易试验区内，且相关自由贸易区对于数据跨境已经制定有数据负面清单，则应当进一步参考负面清单提出的细化合规要求。

我们也就新规发布前后，数据跨境领域尽职调查核查维度变化情况整理如下：

（四）新规对上市节点数据合规监管关注要点的影响

新规发布前，作为近几年数据合规领域的热点，标的公司往往需要在上市阶段，就是否涉及数据跨境传输、是否已经办结适用的数据跨境合规申报程序进行说明或应答问询。

新规发布后，更多的拟上市企业，在情况可能适用的情况下，往往有更大动力论证自身属于《促进和规范数据跨境流动规定》规定的、免于开展数据跨境合规申报的情况，上市主管部门在该领域的合规关注点可能发生变化：

1. 上市监管部门可能会关注，主张免于开展数据跨境合规申报的拟上市企业，其就数据处理活动情况作出的说明是否确实符合《促进和规范数据跨境流动规定》的豁免规定。同时，“形式性申报”的可行性及其作用也值得投资并购项目各方关注。即，拟上市企业在对自身是否需要开展个人信息标准合同备案或数据出境安全评估等作出初步判断后，形式上，是否可以考虑向所在地省级网信部门发送情况说明邮件或提交材料或访谈咨询，从而获得相关主管部门确认拟上市企业不需要开展相关申报的回复。该等“形式性申报”是否可能得到主管部门的书面/口头回复，是否会被拟上市企业纳入上市文件用以佐证自身免于开展申报工作的合规性，有待进一步观察实操处理。

2. 在确认不适用数据跨境合规申报义务后，上市监管部门可能会对拟上市企业是否落实个人信息跨境其他配套合规义务作出关注。新规指出，数据处理者向境外提供个人信息的，应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。我们理解，新规出台，并不会实质性削弱数据跨境在数据合规领域的关注度以及监管力度。但是，在更为外化的行政性申报义务适用性降低后，上市监管部门可能会更实质性的关注，拟上市企业是否恰当落实跨境传输个人信息其他配套通用的合规要求。

综上，考虑到企业上市确实是投资方或并购方最关注的退出渠道或阶段性重要目标之一，建议投资方对于标的公司，尤其是处于Pre-IPO轮次的标的公司开展预先沟通，就标的公司是否涉及数据跨境传输、数据跨境是否需要开展行政性申报进行摸底。如标的公司涉及开展行政性申报工作的，宜提示标的公司尽早准备材料，并预估该等申报流程对于上市时间表的可能影响；如认为标的公司不需要开展数据跨境合规申报的，则宜关注实践中成功上市企业对于自身不需要开展评估、认证或备案工作的论述逻辑，并尽早和标的公司律师沟通开展“形式性申报”的必要性与可行性。

四、新规对中企出海项目的影响

（一）数据跨境布局更为灵活

中国企业在出海时，由于业务管理和人力资源管理的需求，有相当一部分境内的员工个人信息、合作伙伴个人信息、业务联系人个人信息需要传输到境外。典型如员工外派、境内外供应商和合作伙伴信息打通等。

在新规颁布以前，个人信息跨境传输的合规义务对于中国企业而言，带来的负担相对较重。由于新规的颁布，中国企业出海时，员工个人信息出境事项可以考虑适用不满足“当年1月1日起累计向境外提供10万人以上”从而豁免合同备案（前提是没有敏感个人信息），或者考虑适用履行人力资源管理所必须这一条豁免规定。

需要特别注意的是，对于汽车、医疗、金融等特别行业，鉴于其所属行业可能涉及大量敏感个人信息的处理活动，因此中国出海企业若涉及未被豁免的个人信息出境情形，则应当及时根据新规的要求进行数据跨境合规申报，或者对拟出境的信息进行去标识化或尽量进行匿名化处理。

（二）一般数据跨境流动更为便捷

此前，中国企业在进行出海投资时，由于重要数据定义的模糊以及具体重要数据目录的空白，对于重要数据的定义和是否因此触发数据出境安全评估，往往存在判断的困难。在新规颁布后，结合其第2条规定，如果相关数据未被监管部门明确列为重要数据的，则中国出海企业无需将上述数据作为重要数据申报数据出境安全评估。

该条规定将大大促进一般数据的流动，也将提升中国企业海外业务扩张、投资过程中，进行决策、判断不需要进行数据出境安全评估的确定性。

但是，出海企业也需要关注，在明确重要数据监管边界和定义的同时，重要数据目录的制定将在未来作为监管部门和行业主管机关的重要工作，因此中国出海企业应当紧跟不同部门重要数据目录出台动向，对出境数据及时进行识别，及时发现可能需要进行数据出境安全评估的情况。

结语

海问在大量外商投资、私募股权投资、中国企业出海投资项目中，提供数据合规整体服务，其中特别是包括协助与数据出境有关的分析和备案、申报工作。我们密切关注立法和执法动态，为项目参与方设计切实可行的方案与结构，解决复杂场景面临的问题。

作者信息

傅鹏

私募股权投资，数据合规与网络安全，知识产权