国家互联网信息办公(gong)室持续加强数据(ju)出境安全管理政策宣贯,引导和帮助数据(ju)处理者(zhe)高效合规开展数据(ju)出境活动(dong)。经对(dui)近期收到的咨询问题进行研究,现将一些有代表性的问题和答(da)复公(gong)布(bu)如下。
1.如何理解中(zhong)国数据(ju)出境安全管理制度(du)设计?
答(da):随着数据(ju)跨境流动(dong)活动(dong)的日益频繁,世界上许多(duo)国家和地(di)区从本国、本地(di)区实际出发,对(dui)数据(ju)跨境流动(dong)安全管理作了制度(du)性探索,制定出台了一系(xi)列法律法规和规则标(biao)准。中(zhong)国建立数据(ju)出境安全管理制度(du),是法律作出的规定。《网络安全法》《数据(ju)安全法》《个人信息保护法》在法律层面对(dui)数据(ju)出境活动(dong)作出明(ming)确规定。相关规定不是针对(dui)所(suo)有数据(ju),只限于重要(yao)数据(ju)和个人信息。对(dui)于确需(xu)出境的重要(yao)数据(ju),法律作了制度(du)上的安排,经数据(ju)出境安全评估认为不会危害国家安全和社会公(gong)共利益的,可以出境。对(dui)于个人信息出境,法律规定了数据(ju)出境安全评估、个人信息保护认证、个人信息出境标(biao)准合同等多(duo)种途径。总的来看,中(zhong)国法律关于数据(ju)出境管理的规定,旨在保证在华(hua)企业(ye)因业(ye)务需(xu)要(yao)的数据(ju)跨境安全、自由流动(dong),同时对(dui)涉及国家安全和公(gong)共政策目标(biao)的个人信息和重要(yao)数据(ju)跨境流动(dong)进行必要(yao)的监管。对(dui)于不涉及个人信息或者(zhe)重要(yao)数据(ju)的一般数据(ju)可以跨境自由流动(dong),重要(yao)数据(ju)和达到规定数量的个人信息通过数据(ju)出境安全评估后可以依法跨境流动(dong)。
落实法律规定,国家互联网信息办公(gong)室先(xian)后出台实施《数据(ju)出境安全评估办法》《个人信息出境标(biao)准合同办法》《促进和规范数据(ju)跨境流动(dong)规定》,发布(bu)《关于实施个人信息保护认证的公(gong)告》及配套(tao)认证规则,明(ming)确数据(ju)出境安全评估、个人信息出境标(biao)准合同、个人信息保护认证等制度(du)的实施路径,会同各(ge)地(di)、各(ge)部门依法有序开展数据(ju)出境安全管理工作。
2.如何保证不同自贸试验区制定数据(ju)出境负面清(qing)单标(biao)准的一致性?
答(da):《促进和规范数据(ju)跨境流动(dong)规定》明(ming)确,自贸试验区可在国家数据(ju)分类分级保护制度(du)框架(jia)下自行制定数据(ju)出境负面清(qing)单,经省级网络安全和信息化委员会批准,报国家网信部门、国家数据(ju)管理部门备案后实施,负面清(qing)单外数据(ju)出境将免予申报安全评估、订立标(biao)准合同、通过保护认证,是促进和便利自贸试验区数据(ju)跨境流动(dong)的一项创(chuang)新举措。负面清(qing)单制定过程中(zhong)将充分征求相关主管部门意见,负面清(qing)单备案时国家互联网信息办公(gong)室会同国家数据(ju)局(ju)对(dui)清(qing)单进行审核,针对(dui)同一领域,如果已经有自贸试验区发布(bu)负面清(qing)单,其余自贸试验区可以参照(zhao)实行,不再重复制定。上述工作确保负面清(qing)单符合国家数据(ju)分类分级保护制度(du)要(yao)求,保证不同自贸试验区负面清(qing)单标(biao)准的一致性。
3.自贸试验区数据(ju)出境负面清(qing)单适用范围如何覆盖更多(duo)领域?
答(da):落实《促进和规范数据(ju)跨境流动(dong)规定》,国家互联网信息办公(gong)室、国家数据(ju)局(ju)先(xian)后完成天津、北京(jing)、海南、上海、浙江等地(di)自贸试验区(港)数据(ju)出境负面清(qing)单备案,对(dui)汽车、医药、零售、民航、再保险、深海业(ye)、种业(ye)等17个领域数据(ju)跨境流动(dong)发挥促进作用。国家互联网信息办公(gong)室会同有关部门正在引导各(ge)自贸试验区结合各(ge)自产业(ye)发展特点制定数据(ju)出境负面清(qing)单,随着更多(duo)负面清(qing)单的发布(bu)实施,覆盖的领域会越来越宽。关于自贸试验区数据(ju)出境负面清(qing)单发布(bu)实施情况(kuang),可以关注国家互联网信息办公(gong)室官网(www.cac.gov.cn)和相关地(di)方自贸试验区网站进行了解。
4.如何理解和判断个人信息出境必要(yao)性?
答(da):《个人信息保护法》第六(liu)条规定,“处理个人信息应当具有明(ming)确、合理的目的,并应当与处理目的直接相关,采取(qu)对(dui)个人权益影响(xiang)最(zui)小的方式(shi)。收集个人信息,应当限于实现处理目的的最(zui)小范围,不得过度(du)收集个人信息”;第十九条规定,“除法律、行政法规另(ling)有规定外,个人信息的保存期限应当为实现处理目的所(suo)必要(yao)的最(zui)短时间”。
根据(ju)上述法律规定,判断“必要(yao)性”的考量因素包(bao)括与处理目的直接相关、对(dui)个人权益影响(xiang)最(zui)小、限于实现处理目的的最(zui)小范围、保存期限为实现处理目的所(suo)必要(yao)的最(zui)短时间等4方面。落实法律规定,国家互联网信息办公(gong)室在开展数据(ju)出境安全评估工作中(zhong),将充分考量数据(ju)处理者(zhe)申报事项的业(ye)务场景和实际需(xu)求,对(dui)个人信息出境必要(yao)性进行评估,评估要(yao)点主要(yao)包(bao)括出境活动(dong)本身的必要(yao)性、涉及自然人规模的必要(yao)性以及出境个人信息数据(ju)项范围的必要(yao)性等。
数据(ju)出境涉及众(zhong)多(duo)行业(ye)领域,国家互联网信息办公(gong)室会同相关行业(ye)主管部门,逐步细化明(ming)确具体行业(ye)领域的数据(ju)出境业(ye)务场景以及个人信息出境必要(yao)范围,为企业(ye)机构数据(ju)出境提供更为细化的政策指引。
5.如何识别重要(yao)数据(ju)?
答(da):根据(ju)《网络数据(ju)安全管理条例》第六(liu)十二条规定,重要(yao)数据(ju)是指特定领域、特定群体、特定区域或者(zhe)达到一定精度(du)和规模,一旦遭到篡改、破坏、泄(xie)露或者(zhe)非法获(huo)取(qu)、非法利用,可能直接危害国家安全、经济运行、社会稳定、公(gong)共健康和安全的数据(ju)。《数据(ju)安全技(ji)术 数据(ju)分类分级规则》(GB/T 43697-2024)附(fu)录G《重要(yao)数据(ju)识别指南》提出了重要(yao)数据(ju)识别方法。数据(ju)处理者(zhe)可依据(ju)相关法律法规、技(ji)术标(biao)准等识别申报重要(yao)数据(ju)。
6.重要(yao)数据(ju)是否意味着不能出境?
答(da):对(dui)于确需(xu)出境的重要(yao)数据(ju),法律作了制度(du)上的安排,经数据(ju)出境安全评估认为不会危害国家安全和社会公(gong)共利益的,可以出境。截至2025年3月,国家互联网信息办公(gong)室共完成数据(ju)出境安全评估项目298个,其中(zhong),44个申报项目涉及重要(yao)数据(ju),评估结果为不通过的7个,不通过率为15.9%;44个申报项目涉及509个重要(yao)数据(ju)项,评估后准予出境的重要(yao)数据(ju)项为325个,占申报数据(ju)项总数的63.9%。
特别说明(ming)的是,《促进和规范数据(ju)跨境流动(dong)规定》明(ming)确,数据(ju)处理者(zhe)按照(zhao)相关规定申报重要(yao)数据(ju),未被相关部门、地(di)区告知或者(zhe)公(gong)开发布(bu)为重要(yao)数据(ju)的,数据(ju)处理者(zhe)不需(xu)要(yao)作为重要(yao)数据(ju)申报数据(ju)出境安全评估。
7.行业(ye)技(ji)术标(biao)准制定过程中(zhong)如何发挥外资企业(ye)的作用?
答(da):国家互联网信息办公(gong)室引导有关专业(ye)机构在制定行业(ye)技(ji)术标(biao)准过程中(zhong),高度(du)重视并积极鼓励(li)中(zhong)外企业(ye)等各(ge)方参与,确保标(biao)准制定工作充分考虑国内(nei)外相关方需(xu)求。一是参与机制公(gong)开透明(ming)。国家互联网信息办公(gong)室引导全国网络安全标(biao)准化技(ji)术委员会坚(jian)持开放合作、广泛参与的原则,面向社会长期公(gong)开征集工作组成员单位。委员及下设工作组成员覆盖了一批有代表性的外资企业(ye),其拥有和国内(nei)企业(ye)机构在标(biao)准参与、研讨(tao)方面平等的权利义务,作为工作组成员单位的外资企业(ye)能够全程参与,可在标(biao)准研制各(ge)环(huan)节充分提出意见和建议。二是标(biao)准工作程序公(gong)开透明(ming)。通过面向社会公(gong)开征集标(biao)准需(xu)求和标(biao)准参编单位、就(jiu)标(biao)准草案面向社会公(gong)开征求意见等方式(shi),确保各(ge)相关方公(gong)平公(gong)正参与标(biao)准制定。
8.集团公(gong)司跨境传输个人信息有无更加便利的渠道?
答(da):一方面,境内(nei)多(duo)家子公(gong)司如同属(shu)一家集团公(gong)司且数据(ju)出境业(ye)务场景相似,可以由集团公(gong)司作为申报主体合并申报数据(ju)出境安全评估或者(zhe)备案个人信息出境标(biao)准合同,提高数据(ju)出境工作效率。另(ling)一方面,国家互联网信息办公(gong)室正在推动(dong)出台个人信息出境保护认证相关管理办法,引导第三方专业(ye)认证机构对(dui)个人信息出境活动(dong)进行认证,境内(nei)企业(ye)和境外接收方任意一方通过认证,企业(ye)即(ji)可在认证范围内(nei)开展个人信息出境活动(dong),对(dui)于通过认证的跨国集团,可在集团内(nei)开展个人信息出境活动(dong),无需(xu)分别与各(ge)国子公(gong)司单独签(qian)订个人信息出境标(biao)准合同。
9.申请延长数据(ju)出境安全评估结果有效期有无具体流程?
答(da):《促进和规范数据(ju)跨境流动(dong)规定》将数据(ju)出境安全评估结果有效期由原来的2年延长至3年,同时明(ming)确有效期届满,需(xu)要(yao)继(ji)续开展数据(ju)出境活动(dong)且未发生(sheng)需(xu)要(yao)重新申报数据(ju)出境安全评估情形的,数据(ju)处理者(zhe)可以在有效期届满前60个工作日内(nei)通过所(suo)在地(di)省级网信部门向国家网信部门提出延长评估结果有效期申请,经国家网信部门批准,可以延长评估结果有效期3年。目前,国家互联网信息办公(gong)室正在积极听取(qu)各(ge)方意见,加快研究延长评估结果有效期的流程,计划通过修订发布(bu)相关政策文件的方式(shi)予以明(ming)确,为企业(ye)机构数据(ju)出境创(chuang)造(zao)更为便利的条件。