《促进和规范数据跨境流动规定》于2024年3月22日出台并生效，在新规出台的背景下，针对数据出境，近期兰迪数字经济团队收到不少与之相关的咨询与提问，借此机会，我们将常见问题整理成文，以供企业在实施出境合规工作时参考。

当然，其中不乏部分问题在实践之中可能仍无一个统一或者明确的解决方案，我们在这里暂先给出一个倾向性的回复与建议。

《促进和规范数据跨境流动规定》的第3条至第6条对豁免情形作出了明确规定，可总结如下图：

企业落入豁免情形仅意味着企业可以免于进行个人信息标准合同备案/个人信息保护认证/数据跨境申报义务企业仍需履行其他合规义务，具体包括：

（4）根据《个人信息保护法》第五十五对所涉及的个人信息出境情形进行记录。

《个人信息保护法》第三条第二款，在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用本法：

关于情形二“分析、评估境内自然人的行为”情形的典型场景举例：法国咨询公司为了协助国内商场进行人流分析测试，通过WiFi探针技术追踪分析自然人的行动轨迹、流动数据等，该情形即为典型的分析、评估境内自然人的行为。

在此情形下，实际申报时会面临一个问题，境外个人信息处理者直接跨境收集个人信息而引发的信息出境行为，导致这个场景下似乎没有一个境外接收方，这个时候SCC如何签署？PIA如何实施？

结合我们向网信办的咨询结果及其他实践，这种情形下可采取的方式为，境外个人信息处理者根据《个人信息保护法》第五十三条规定，指定其境内的代表机构申报，由该境内代表机构代为申报。

不过实践之中，我们在具体项目实施过程之中电话咨询属地网信办，以上海网信办为例，其提及，在适用集中申报时，可能存在系列限制条件，例如集团内的数据出境行为是否是因为使用同一系统等行为引发的等系列因素。此外，我们还建议，在进行集中申报时，位于不同省份的企业涉及不同的属地网信办，建议与各地属地网信办致电并核实该思路。

这种情形下，我们一般建议选择跨国集团的境外总部作为境外接收方，这是考虑到该跨境场景下，可能涉及使用多个境外系统，例如HR系统、网盘系统等等，综合考虑到SCC签署方式、PIA评估维度等，选择境外总部作为境外接收方是较为好的选择。

个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

（1）me.surname@company.com，这类邮箱信息以员工姓名为命名规则，可以识别至特定个人，属于个人信息；

（2）信息类info@company.com、人力资源类hr@company.com，这类邮箱信息属于企业内部共用的邮箱信息，无法识别至特定个人，一般不纳入员工个人信息范畴。

（3）豁免情形不计入总数。

实践之中，评估出境必要性是需要综合出境的具体字段以及该字段的使用目的而决定的。以“婚育信息”为例，如为了决定是否录用，而跨境传输应聘者“婚育信息”，则违反了必要性原则；如为了便于了解职级较高的员工（如其领导涉及位于亚太总部的新加坡公司的管理者）是否需休婚假，则跨境传输婚育信息，则未违反必要性原则。