【中国数据保护】中国提议放宽对大多数跨境数据流的安全审查，这让跨国公司松了一口气

• 新提案旨在“规范和促进数据的合法、有序和自由流动”，并将为面临不确定性的跨国公司带来救济
• 涉及向国外发送中国数据的大量商业和个人活动将不再接受CAC的安全评估

中国网络空间监管机构一年前实施了严格的跨境数据安全要求，给跨国公司带来了不确定性。周四，该机构做出了让步，放弃了对涉及这些数据流的大部分日常商业活动的安全评估。

根据中国网络空间管理局（CAC）发布的最新跨境数据流法规，涉及将中国数据发送到国外的绝大多数商业和个人活动将不再经过网络空间监管机构的安全评估，此举将使在中国运营的跨国公司的生活更轻松。

根据新提案，“贸易、学术、跨境制造和营销活动”产生的数据出口将不再接受监管安全评估或个人信息保护审查。该提案将在10月15日前征求公众反馈。新提案旨在“规范和促进数据的合法、有序和自由流动”。

跨境购物、汇款、机票购买、酒店预订和签证处理中提交的个人数据可以在无需安全评估的情况下导出，使外国零售商、银行和旅行社更容易处理中国客户的活动，同时与劳动合同有关的个人信息也可以自由导出，使区域人力资源部门更容易管理中国员工。

此外，根据该规定，与健康和安全有关的个人数据出口也将免于安全检查和审查，该条款旨在帮助外国保险公司和医疗机构为中国客户服务。

这项拟议的规定出台之际，北京正试图对外国投资者表现出友好的态度，而中国严格的数据安全要求可能会阻止外国企业投资这个世界第二大经济体。

香港大学法学副教授Angela Zhang表示，拟议的指导方针“对现有的跨境数据传输规则提供了重要的澄清”，并表明中国政府“对商界的投诉做出了回应，缓解了他们对中国更严格监管环境的担忧”。

张表示，近年来中国的数据法“不仅增加了合规成本，还给企业注入了高度的不确定性……一些外国公司甚至出于对合规性的担忧而选择退出中国市场”。

例如，去年9月生效的《中国跨境数据传输安全评估办法》，对必须经过CAC严格安全评估程序的海外传输“重要数据”一词的定义很模糊。

在定义哪些数据是重要的方面，这给企业和个人带来了沉重的负担。

新的拟议法规明确表示，除非中国监管机构或地方当局明确标注，否则从中国发送的所有数据都不会被视为“重要”。

此外，对于一年内涉及少于10000名中国人的数据出口，可以在不需要提交安全评估或个人信息保护审查的情况下出口此类数据。

对于涉及多达100万中国人的数据出口，出口必须使用标准出口合同，并在省级网络空间管理局登记，但可以放弃安全评估。根据拟议的规定，只有涉及100多万中国人的数据出口才会强制进行安全评估。

与此同时，根据新规定，中国政府指定的涵盖中国主要沿海城市的自由贸易区有权起草自己的数据出口安全审查“负面清单”，负面清单之外的数据出口无需通知CAC即可进行。