中国数据治理的顶层架构是从国家安全的角度进行设计，把数据安全视为国家安全，并以数据出境安全评估申报和个人信息标准合同备案作为主要监管手段，对企业的数据出境采取较为严格的管控。这一数据治理理念集中体现在《数据安全法》《个人信息保护法》以及与之相配套的《数据出境安全评估办法》《个人信息出境标准合同办法》等规范性文件中。然而，在2021年8月20日《个人信息保护法》通过后，中国随即于2021年9月和11月分别申请加入《全面与进步跨太平洋伙伴关系协定》（CPTPP）和《数字经济伙伴关系协定》（DEPA）。这两部协定均要求缔约国允许并尽可能推进数据跨境流动，减少数据本地化存储的要求，在促进数据自由流动与提高数据保护、鼓励数据创新与风险防范中实现双重治理平衡。

而根据中国现行法律法规的要求，具有数据跨境传输需求的企业特别是跨国企业，需要依法向国家网信办进行数据出境安全申报，或者向省级以上地方网信部门申请个人信息出境标准合同备案。国家网信办专门发布《数据出境安全评估办法》，为数据出境安全申报设定六个月的整改期并于2023年2月28日结束。此后，国家网信办又发布《个人信息出境标准合规规定》，为个人信息出境标准合同备案也设定六个月的整改期并于2023年12月1日结束。在上述整改期内，很多企业启动数据合规管理体系建设，相当一部分企业也完成了数据出境安全评估申报或合同备案，涵盖航空、医疗、电子商务、信息软件、汽车、快速消费品等多个行业，且以欧美外资企业居多。

为优化外商投资环境，加大吸引外商投资力度，也是为避免与我国将要加入的两部协定所要履行的国际义务相抵触，国家网信办在对标国际高标准经贸规则的基础上，于2023年9月28日公布《规范和促进数据跨境流动规定（征求意见稿）》。该征求意见稿体现了新的国家数据安全观，进一步贯彻了《数据安全法》所确立的“安全、自由流动原则”，也符合《个人信息保护法》中关于“中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行”的规定，从而为企业的数据跨境便利化传输提供了新的可能。该征求意见稿实质性地调整了个人信息出境标准合同备案和数据出境安全评估的触发条件，放宽了个人信息流动的目的限定和规模限制，  同时对企业多个数据出境场景进行申报豁免，降低了企业合规成本，减轻了企业负担。该征求意见稿的导向作用非常明显，很多企业审时度势立即变更数据跨境传输的申报策略和路径，甚至做出暂停或不予申报的决定，同时也在观望新规的出台。在地方层面，2023年12月13日，国家网信办联合香港创新科技及工业局发布《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》，免除了粤港间个人信息出境安全评估要求、简化了个人信息保护影响评估的内容、降低了境外接收方的义务等。大湾区创新的监管模式促进了粤港间数据自由流动，同时也给大湾区之外的企业在个人信息出境便捷化方面带来了新的期待。

目前，企业亟需更加确定的政策和指引，在可预期、合法、正当、必要的条件下实现正常的数据跨境自由流动，满足企业日常管理和业务发展的基本需求。然而迄今为止，出台该征求意见稿还没有明确的时间表，悬而未决的法规让一些企业的数据跨境传输项目进退维谷，合规风险仍然存在。在此背景下，建议企业仍应继续夯实数据合规基础，分场景做好个人信息影响评估、内部数据安全与隐私政策的优化、数据安全管理方案的整改等工作。数据密集型技术类企业或处于敏感行业的公司，应继续推进数据出境安全评估申报或个人信息标准合同备案；处于非敏感行业的公司且未达到该征求意见稿规定的申报或备案触发条件的，可以继续观望，静待花开。

“重要数据”的概念最早出现在《网络安全法》，其规定网络运营者在针对重要数据的安全层面需要进行备份，针对在境内收集和产生的重要数据原则上需要在境内进行存储。其后的《数据安全法》进一步要求国家建立数据分类分级保护制度，各地区、各部门负责确定重要数据具体目录。而《数据出境安全评估办法》则要求如果存在向境外提供重要数据情形，需要通过所在地省级网信部门向国家网信部门申报数据出境安全评估。但《数据出境评估办法》第十九条仅对“重要数据”做了原则性规定，即“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”。对于重要数据的识别，尽管各部门之间达成初步的共识，摈弃了以数据规模、个人信息数量为参数的判断标准，把对国家安全、经济运行等影响后果作为基本原则，但在现实层面欠缺可操作性的标准，重要数据的识别与保护成为难题。

在此背景下，2022年1月《信息安全技术 重要数据识别指南（征求意见稿）》出台，列举了重要数据的主要分布场所，包括政务部门、关键信息基础设施运营者在内的重点行业企业、公共服务机构、权威专业机构、科研机构、互联网企业以及实体经济企业等。之后，前述标准更名为《信息安全技术 重要数据识别规则（征求意见稿）》，指出重要数据识别因素侧重于从后果角度，而不是从数据类型角度。识别重要数据应遵循的原则，包括聚焦安全影响、突出保护重点、衔接既有规定、综合考虑风险、定量定性结合、动态识别复评，并明确了重要数据应具备的因素等。而《网络安全标准实践指南——网络数据分类分级指引》规定了与重要数据相关的国家安全、公共安全的危害标准。以上国家标准或指南，对重要数据的界定进行了有益的尝试，但仍未形成可操作性的具体标准，导致重要数据的识别仍存在较大不确定性。

基于《数据安全法》确立的部门管辖分配原则，即由各主管部门负责本行业、本领域数据安全监管职责，工业和信息化部2023年1月1日实施《工业和信息化领域数据安全管理办法（试行）》，开始组织制定工业和信息化领域数据分类分级、重要数据和核心数据识别认定、数据分级防护等标准规范，制定行业重要数据和核心数据具体目录。中国人民银行2023年7月发布《中国人民银行业务领域数据安全管理办法（征求意见稿）》，指导数据处理者开展数据分类分级各项工作，统筹确定重要数据具体目录。中国（上海）自由贸易试验区临港新片区2024年2月制定《数据跨境流动分类分级管理办法（试行）》，规定在数据跨境流动、跨境离岸金融等领域，临港新片区管委会负责制定纳入数据出境安全评估管理范围的重要数据目录，适用于临港新片区范围内登记注册的或开展数据跨境流动相关活动数据处理者。数据处理者对重要数据目录内的数据，可通过临港新片区数据跨境服务中心申报数据出境安全评估。但对于企业来说，数据的加工和利用等处理活动不局限在特定领域，也不受限于特定领域，需要在国家层面“自上而下”统一重要数据目录编制的标准，预防各部门、各行业间出现重要数据识别标准的差异和保护水准的失衡。

面对重要数据识别标准的不统一，以及对跨境数据传输造成的困扰等窘境，我国需要尽快在重要数据识别与保护方面出台相关法规和国家标准，让重要数据的识别更加具有可操作性，让企业所担负的重要数据保护义务更好地与企业日常合规管理相融合。与个人信息保护相比，对重要数据的保护更加事关国家安全，未来几年将成为执法监管部门关注的重点，企业也将担负起更多的合规义务，包括但不限于备案义务、培训义务、定期风险评估与提交报告义务等，逐步把企业数据合规管理的重心向重要数据的保护转移。结合《网络数据安全管理条例（征求意见稿）》，本文梳理了重要数据处理者的合规义务，企业可以参考合规要点进行查漏补缺，未雨绸缪。

个人信息保护合规审计是基于企业数据处理活动的风险评估，是对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。一方面，合规审计作为企业数据合规“三道防线”的第三道防线，让企业自我发现风险并自我完善，从而检验企业数据合规管理体系的有效性，形成企业合规管理的闭环。另一方面，合规审计作为执法部门的监管手段，使未合规的企业向公众暴露其合规风险，并在外部压力下整改合规漏洞并承担相应法律责任。

我国《个人信息保护法》对个人信息保护的“自主审计”和“外部强制审计”做出了明确规定。该法第54条要求，个人信息处理者定期对其处理个人信息遵守法律、行政法规的情况进行合规审计；第64条规定，履行个人信息保护职责的部门在履行职责中，发现“个人信息处理活动存在较大风险”或者“发生个人信息安全事件”的，可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。2023年8月3日，为指导、规范个人信息保护合规审计活动，国家网信办起草并发布了《个人信息保护合规审计管理办法（征求意见稿）》及配套的《个人信息保护合规审计参考要点》，落实《个人信息保护法》第54条和第64条项下的个人信息保护合规审计要求。根据该征求意见稿的规定，处理超过100万人信息的个人信息处理者，至少1年开展1次合规审计（自主审计），其他个人信息处理者至少2年开展1次合规审计。

“自主审计”的范围应包括制度建设、组织架构设置、安全能力、数字产品与服务、个人信息全生命周期管理各个环节等。“外部强制审计”由执法部门根据《个人信息保护法》第64条依职权触发，执法部门可以依照发现的风险因素或个人信息安全事件的影响来确定审计范围。执法部门依据《网信部门行政执法程序规定》等部门规章，在监督检查中发现案件线索、收到投诉、申诉、举报、企业网络和信息系统遭受攻击或发送数据泄露、出现重大个人信息保护问题的舆情事件、个人信息权益保护公益诉讼等，均会触发对企业进行数据合规审计。《个人信息保护合规审计参考要点》中明确的141个审计要点作为审计基准，也可以作为企业数据合规有效性的测试和合规建设指引。具体包括：个人信息处理活动的合法性基础条件、个人信息处理规则、告知义务履行、利用自动化决策处理个人信息的透明度和结果的公平性、公正性、处理敏感个人信息、处理不满十四周岁未成年人个人信息、向境外提供个人信息、个人信息删除权保障情况、保障个人行使个人信息权益的权利、个人信息保护影响评估、个人信息安全事件应急响应处置情况等等。

个人信息保护合规审计无疑将会给企业的经营管理带来影响，特别是触发外部强行审计时，执法部门除了调查企业个人信息处理活动中的不合规事件外，也会向企业提出相应的合规整改要求。为满足监管与合规要求，企业可能需要通过调整业务模式和IT技术架构、变更业务流程、删除相关数据甚至停止数据跨境传输等，这会给企业带来合规成本的增加，也会给经营活动带来困扰，甚至还存在中止经营活动的风险。为此，建议企业应当在完善数据合规管理体系的基础上，建立起一套企业内部的个人信息合规审计制度，实现常规化的个人信息自主审计，更加主动承担数据合规责任，履行个人信息保护义务。在企业的个人信息审计制度中，明确个人信息保护合规审计的方式、流程和要求，明确审计部门和相关部门的工作职责，确定第三方审计机构的选择标准，以及配合外部强制审计的工作分工等。借助制度化的管理措施和自主审计，企业可以主动识别和评估个人信息处理过程中存在的风险，完善内部管措施，在面对外部强制性审计时，可以从容应对，更好地化解由此对业务经营带来的挑战和影响。