企业近年来始终面临数据出境合规的重要挑战，主要体现在：

1. 概念模糊、缺乏操作性。法律法规中的术语和定义模糊不清，比如“重要数据”的确切含义。同时，相关国家技术标准中的各项指标也因各个企业实际情况的不同而缺乏操作性。最终将导致企业只能更多地依赖相关政府部门的明确意见，以期解决上述问题。

2. 严格的要求和严厉的处罚措施。新的数据出境合规体系对于数据出境提出了许多前所未有的新要求，例如个人信息出境标准合同、个人信息跨境处理活动安全认证等。另一方面，违反数据合规的罚则又十分严厉，在某些情况下违法企业可能要承担“上一年度营业额百分之五以下罚款”。

3. 随之而来的高昂合规成本。为应对上述局面，为谨慎起见，企业不得不需要采取一系列高成本的措施以满足数据合规的最高要求，其中包括要改变其底层运营方式和管理逻辑。这对于任何企业都是难以短期内实现的。

因此可想而知，许多企业无奈仍在观望，并要求数据一律暂不出境。

新规给出了一些十分有参考意义的信号，预示着各家企业在数据出境这一问题上的挑战在新规生效后将一定程度地缓解。

1. 明确“数据出境三路径”的豁免情形

现有的“数据出境三路径”为：申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

•  “国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境，不包含个人信息或者重要数据的”；

• “不是在境内收集产生的个人信息向境外提供”；

• “预计一年内向境外提供不满 1 万人个人信息的”以及

• “为订立、履行个人作为一方当事人的合同所必需，如跨境购物、跨境汇款、机票酒店预订、签证办理等，必须向境外提供个人信息的”等。

对于国内有生产基地的跨国企业、以及向境外出口的贸易企业，在数据出境环节将可以采取更加灵活的合规措施，以尽可能维持当前的经营活动。

2. 反向明确“重要数据”的概念

如果企业手中的数据“未被相关部门、地区告知或者公开发布为重要数据，数据处理者不需要作为重要数据申报数据出境安全评估”。

这一规定吸取了国家关于外商投资负面清单的管理模式，在未被明确认定为重要数据的情况下，不需要作为重要数据申报数据出境安全评估。这将使企业更容易自我判断相关数据是否属于“重要数据”进而是否需要作出境安全评估。

有关部门已经对数据合规在企业中的反响作出了快速反应。该新规如果原文通过，那么对于许多在国内有生产基地的跨国企业，处理境外母公司数据的跨国企业，以及从事国际贸易和其他不涉及个人信息和重要信息的其他企业，可能将免于不必要的精力和金钱用于有关数据出境的合规。

但是，新规涵盖范围有限。例如，新规未豁免“个人信息保护影响评估”。少量（不满 1 万人） 个人信息的出境，尽管无需上述“数据出境三路径”，但还是需要事先进行“个人信息保护影响评估”。并且，关于数据出境的其他方面，还是应当遵守《 个人信息保护法》、《数据安全法》、《网络安全法》等法律法规。