从规定名称来看，由原来的“规范和促进”修改为“促进和规范”，把促进放在规范的前面，可见监管部门对于数据要素市场发展的主要思想还是促进数据流动和数据要素发展，并非一味强调安全。在答记者问中，有关负责人也指出，数据出境安全管理不是对于所有数据，只限于重要数据和个人信息，这里的重要数据是针对国家而言，而不是针对企业和个人。2024年2月28日，国务院办公厅印发的《扎实推进高水平对外开放更大力度吸引和利用外资行动方案》提出“健全数据跨境流动规则，科学界定重要数据的范围。全面深入参与世界贸易组织电子商务谈判，推动加快构建全球数字贸易规则。探索与《数字经济伙伴关系协定》成员方开展数据跨境流动试点，加快与主要经贸伙伴国家和地区建立数据跨境流动合作机制，推动构建多层次全球数字合作伙伴关系网络。”，此次正式稿出台更有利于推动中国加入《全面与进步跨太平洋伙伴关系协定》和《数字经济伙伴关系协定》等，促进中国经济全球化发展。

在保障数据安全和促进数据跨境流动方面，正式稿有以下重要内容及细节变化：

一、明确数据处理者应当按照相关规定识别、申报重要数据义务

重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。虽然《网络数据安全管理条例（征求意见稿）》《信息安全技术 重要数据识别指南》《数据安全技术 数据分类分级规则》等文件中列明了重要数据的类目和示例，但因国家重要数据目录制定还需要进一步完善，实践中数据处理者往往对于所处理的数据是否属于重要数据存疑。《网络数据安全管理条例（征求意见稿）》第二十九条规定，重要数据的处理者，应当在识别其重要数据后的十五个工作日内向设区的市级网信部门备案，但因条例还未正式生效，处理者主动申报的积极性不高。在征求意见稿的基础上，正式稿增加要求数据处理者应当按照相关规定识别、申报重要数据，同时明确未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。

二、明确免于申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形

1、国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供，不包含个人信息或者重要数据的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。在征求意见稿的基础上，正式稿增加了跨境运输这一数据高频交互的场景。

2、数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供，处理过程中没有引入境内个人信息或者重要数据的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。征求意见稿表述的是“不是在境内收集产生的个人信息向境外提供”，正式稿更加明确“数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供，处理过程中没有引入境内个人信息或者重要数据的”这一条件，为数据过境场景下是否进行管制措施提供了答案。

3、数据处理者向境外提供个人信息，符合下列条件之一的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证：

（1）为订立、履行个人作为一方当事人的合同，如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等，确需向境外提供个人信息的。征求意见稿仅明确例举了跨境购物、跨境汇款、机票酒店预订、签证办理这几类情形，正式稿增加了跨境寄递、跨境支付、跨境开户、考试服务等场景例举，更有利于物流、资金流、人才流的跨境交易，且表述从“订立合同所必须”修改为“为订立合同确需向境外提供”，更加回应了实践中对于上述场景中必要性的理解。

（2）按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的。此款在征求意见稿的基础上首先明确“跨境人力资源管理”场景，其次把“内部员工个人信息”修改为“员工个人信息”，有利于解决实践中集团公司、外包公司必要人员个人信息出境的争议。

（3）紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息的。

（4）关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）的。正式稿在征求意见稿的基础上，首先明确此种情形适用的是非CIIO，另外删除“预计一年内”的争议性表述，明确把不满1万人个人信息修改为不满10万人个人信息（不含敏感个人信息）的，更加放宽了限制。

三、修改和明确了非CIIO关于个人信息出境数量有关条款

1、如上所述，非CIIO免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数量，由预计一年内不满1万人个人信息修改为自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）。

2、非CIIO预计一年内向境外提供1万人以上、不满100万人个人信息，与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的，可以不申报数据出境安全评估修改为自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息的，应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。首先是明确了介于出境安全评估和免于管制措施的中间地带情形应当与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证；其次是相应将1万起点修改为10万，从数量方面适当放宽，但是更加明确了敏感个人信息的数量限制。

3、数据出境安全评估的情形中，因《数据出境安全评估办法》实施已已过1年半，“自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息”的表述明显不再适用，修改为“自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息）或者1万人以上敏感个人信息。”对于1万人以上敏感个人信息出境须安全评估的要求，一定程度上增加了数据出境安全评估的申报数量。

四、进一步完善自由贸易区负面清单管理

正式稿在征求意见稿的基础上，明确自由贸易试验区负面清单管理应当在国家数据分类分级保护制度框架下进行，其次备案部门在国家网信部门基础上增加了国家数据管理部门，这也符合国家数据局负责协调推进数据基础制度建设，统筹数据资源整合共享和开发利用，统筹推进数字中国、数字经济、数字社会规划和建设等的职责。

当前各个自贸区都在积极推动制定数据跨境便利规则，如2024年1月19上海自贸区临港新片区发布的《临港新片区数据跨境流动分类分级管理办法（试行）》，结合上海“五个中心”建设，围绕汽车、金融、航运、生物医药等重点领域以及临港新片区相关行业的发展要求，以跨境需求最迫切的典型场景为切入口，对跨境数据进行分类管理，按照《数据安全法》要求，跨境数据分级从高到低依次分为核心数据、重要数据、一般数据3 个级别，核心数据禁止跨境，重要数据形成重要数据目录，一般数据形成一般数据清单。

五、调整数据出境安全评估结果有效期

根据《数据出境安全评估办法》， 通过数据出境安全评估的结果有效期为2年，自评估结果出具之日起计算。正式稿将数据出境安全评估结果有效期调整为3年，自评估结果出具之日起计算。降低申报频率一定程度上降低了企业的合规成本，促进了数据跨境流动。

另外，根据《数据出境安全评估办法》，有效期届满，需要继续开展数据出境活动的，数据处理者应当在有效期届满60个工作日前重新申报评估。正式稿修改为有效期届满，需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的，数据处理者可以在有效期届满前60个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请。经国家网信部门批准，可以延长评估结果有效期3年。

六、更加强调数据处理者个人信息出境的其他合规义务

正式稿明确数据处理者向境外提供个人信息的，应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。数据处理者向境外提供数据的，应当遵守法律、法规的规定，履行数据安全保护义务，采取技术措施和其他必要措施，保障数据出境安全。发生或者可能发生数据安全事件的，应当采取补救措施，及时向省级以上网信部门和其他有关主管部门报告。该规定和《数据安全法》《个人信息保护法》等保持一致。

七、监管处置措施的变化

在征求意见稿基础上，正式稿明确了各地方网信部门健全完善数据出境安全评估制度，优化评估流程的工作，提出事前事中事后全链条全领域监管。在发现数据出境活动存在较大风险或者发生安全事件后的处置措施上，从“要求数据处理者进行整改消除隐患；对拒不改正或者导致严重后果的，依法责令其停止数据出境活动”修改为“要求数据处理者进行整改，消除隐患；对拒不改正或者造成严重后果的，依法追究法律责任”。征求意见稿在规范数据处理违规行为的法律后果方面仅提到了“禁止数据出境活动”，但正式稿中“依法追究法律责任”表述更为宽泛，鉴于目前数据安全与合规方面除了常用的“三驾马车”作为执法依据外，还涉及《刑法》《民法典》所规范的法律责任及后果；尽管该表述修改后可以理解为违反后果并未直接禁止数据出境活动，也是监管思想中促进数据跨境流动的表现，但对于数据处理者而言处置措施并未因此放松。

八、更新和优化了申报流程

正式稿出台后，国家互联网信息办公室第一时间更新发布了《数据出境安全评估申报指南（第二版）》和《个人信息出境标准合同备案指南（第二版）》。另外在答记者问中明确，申报数据出境安全评估、备案个人信息出境标准合同可以登录数据出境申报系统，网址：https://sjcj.cac.gov.cn。已经通过线下方式提交安全评估申报、标准合同备案材料的，不需要通过数据出境申报系统进行重新提交。申请个人信息保护认证可以登录个人信息保护认证管理系统，网址：https://data.isccc.gov.cn。关键信息基础设施运营者或者其他不适合通过数据出境申报系统申报数据出境安全评估的，采用线下方式通过所在地省级网信部门向国家网信部门申报数据出境安全评估。

促进数据跨境流动即是中国经济进一步融入全球化的要求，也是新质生产力发展的重要支持。中国数字经济的发展既要促进中国数据跨境流动，也要引进境外优质数据。从“三驾马车”、《数据出境安全评估办法》《个人信息出境标准合同办法》《个人信息保护认证实施规则》以及《规范和促进数据跨境流动规定（征求意见稿）》到新规正式稿的细微变化，可以看出中国数据治理水平的提高，也体现促进数据跨境流动的顶层治理思想和维护数据安全原则的统一。新规的细节变化影响深远，新规的出台定是引发新一轮关注和热议，对于数据处理者，在处理数据出境时，依然要保持谨慎的态度，于合规中行进，于行进中合规。