“网信中国(guo)”微信公众号(hao)4月9日消息,国(guo)家互联网信息办公室持续(xu)加强数据出境(jing)安全管理政(zheng)策宣贯,引导和帮助数据处理者高效合(he)规(gui)开展数据出境(jing)活动(dong)。经对近期收(shou)到的咨(zi)询(xun)问题进行研究(jiu),现(xian)将一些有代表(biao)性的问题和答复公布如下(xia)。
1.如何理解中国(guo)数据出境(jing)安全管理制度设计?
答:随着数据跨境(jing)流动(dong)活动(dong)的日益频繁,世界(jie)上许(xu)多国(guo)家和地区从本国(guo)、本地区实际(ji)出发,对数据跨境(jing)流动(dong)安全管理作了制度性探索,制定出台(tai)了一系列法律法规(gui)和规(gui)则标准。中国(guo)建立数据出境(jing)安全管理制度,是法律作出的规(gui)定。《网络安全法》《数据安全法》《个人信息保护法》在法律层面对数据出境(jing)活动(dong)作出明确规(gui)定。相(xiang)关规(gui)定不是针对所有数据,只限于重要数据和个人信息。对于确需出境(jing)的重要数据,法律作了制度上的安排,经数据出境(jing)安全评(ping)估(gu)认为不会危害国(guo)家安全和社会公共利益的,可以出境(jing)。对于个人信息出境(jing),法律规(gui)定了数据出境(jing)安全评(ping)估(gu)、个人信息保护认证、个人信息出境(jing)标准合(he)同等多种途径。总的来(lai)看(kan),中国(guo)法律关于数据出境(jing)管理的规(gui)定,旨在保证在华企业因业务需要的数据跨境(jing)安全、自由流动(dong),同时对涉及国(guo)家安全和公共政(zheng)策目标的个人信息和重要数据跨境(jing)流动(dong)进行必要的监管。对于不涉及个人信息或者重要数据的一般数据可以跨境(jing)自由流动(dong),重要数据和达到规(gui)定数量的个人信息通(tong)过数据出境(jing)安全评(ping)估(gu)后可以依法跨境(jing)流动(dong)。
落(luo)实法律规(gui)定,国(guo)家互联网信息办公室先后出台(tai)实施(shi)《数据出境(jing)安全评(ping)估(gu)办法》《个人信息出境(jing)标准合(he)同办法》《促(cu)进和规(gui)范数据跨境(jing)流动(dong)规(gui)定》,发布《关于实施(shi)个人信息保护认证的公告》及配套认证规(gui)则,明确数据出境(jing)安全评(ping)估(gu)、个人信息出境(jing)标准合(he)同、个人信息保护认证等制度的实施(shi)路径,会同各地、各部门依法有序开展数据出境(jing)安全管理工作。
2.如何保证不同自贸(mao)试验区制定数据出境(jing)负(fu)面清单标准的一致性?
答:《促(cu)进和规(gui)范数据跨境(jing)流动(dong)规(gui)定》明确,自贸(mao)试验区可在国(guo)家数据分类分级保护制度框架下(xia)自行制定数据出境(jing)负(fu)面清单,经省级网络安全和信息化委员会批准,报国(guo)家网信部门、国(guo)家数据管理部门备案(an)后实施(shi),负(fu)面清单外(wai)数据出境(jing)将免予申(shen)报安全评(ping)估(gu)、订立标准合(he)同、通(tong)过保护认证,是促(cu)进和便利自贸(mao)试验区数据跨境(jing)流动(dong)的一项创新举措(cuo)。负(fu)面清单制定过程中将充分征求相(xiang)关主管部门意见(jian),负(fu)面清单备案(an)时国(guo)家互联网信息办公室会同国(guo)家数据局对清单进行审核,针对同一领(ling)域,如果已经有自贸(mao)试验区发布负(fu)面清单,其余自贸(mao)试验区可以参照实行,不再重复制定。上述工作确保负(fu)面清单符合(he)国(guo)家数据分类分级保护制度要求,保证不同自贸(mao)试验区负(fu)面清单标准的一致性。
3.自贸(mao)试验区数据出境(jing)负(fu)面清单适用范围如何覆盖更多领(ling)域?
答:落(luo)实《促(cu)进和规(gui)范数据跨境(jing)流动(dong)规(gui)定》,国(guo)家互联网信息办公室、国(guo)家数据局先后完成天津(jin)、北(bei)京、海南、上海、浙江等地自贸(mao)试验区(港(gang))数据出境(jing)负(fu)面清单备案(an),对汽(qi)车、医药、零售(shou)、民航、再保险、深(shen)海业、种业等17个领(ling)域数据跨境(jing)流动(dong)发挥促(cu)进作用。国(guo)家互联网信息办公室会同有关部门正在引导各自贸(mao)试验区结(jie)合(he)各自产业发展特点制定数据出境(jing)负(fu)面清单,随着更多负(fu)面清单的发布实施(shi),覆盖的领(ling)域会越来(lai)越宽。关于自贸(mao)试验区数据出境(jing)负(fu)面清单发布实施(shi)情况,可以关注国(guo)家互联网信息办公室官网(www.cac.gov.cn)和相(xiang)关地方自贸(mao)试验区网站进行了解。
4.如何理解和判(pan)断个人信息出境(jing)必要性?
答:《个人信息保护法》第(di)六(liu)条(tiao)规(gui)定,“处理个人信息应当具有明确、合(he)理的目的,并应当与(yu)处理目的直接相(xiang)关,采取对个人权益影(ying)响(xiang)最小的方式。收(shou)集个人信息,应当限于实现(xian)处理目的的最小范围,不得过度收(shou)集个人信息”;第(di)十九条(tiao)规(gui)定,“除法律、行政(zheng)法规(gui)另(ling)有规(gui)定外(wai),个人信息的保存期限应当为实现(xian)处理目的所必要的最短时间”。
根(gen)据上述法律规(gui)定,判(pan)断“必要性”的考量因素包括(kuo)与(yu)处理目的直接相(xiang)关、对个人权益影(ying)响(xiang)最小、限于实现(xian)处理目的的最小范围、保存期限为实现(xian)处理目的所必要的最短时间等4方面。落(luo)实法律规(gui)定,国(guo)家互联网信息办公室在开展数据出境(jing)安全评(ping)估(gu)工作中,将充分考量数据处理者申(shen)报事(shi)项的业务场(chang)景和实际(ji)需求,对个人信息出境(jing)必要性进行评(ping)估(gu),评(ping)估(gu)要点主要包括(kuo)出境(jing)活动(dong)本身的必要性、涉及自然人规(gui)模的必要性以及出境(jing)个人信息数据项范围的必要性等。
数据出境(jing)涉及众多行业领(ling)域,国(guo)家互联网信息办公室会同相(xiang)关行业主管部门,逐步细(xi)化明确具体行业领(ling)域的数据出境(jing)业务场(chang)景以及个人信息出境(jing)必要范围,为企业机构数据出境(jing)提(ti)供(gong)更为细(xi)化的政(zheng)策指引。
5.如何识别重要数据?
答:根(gen)据《网络数据安全管理条(tiao)例》第(di)六(liu)十二条(tiao)规(gui)定,重要数据是指特定领(ling)域、特定群体、特定区域或者达到一定精度和规(gui)模,一旦遭到篡改(gai)、破(po)坏(huai)、泄露或者非法获取、非法利用,可能直接危害国(guo)家安全、经济运行、社会稳定、公共健康和安全的数据。《数据安全技(ji)术 数据分类分级规(gui)则》(GB/T 43697-2024)附录G《重要数据识别指南》提(ti)出了重要数据识别方法。数据处理者可依据相(xiang)关法律法规(gui)、技(ji)术标准等识别申(shen)报重要数据。
6.重要数据是否意味着不能出境(jing)?
答:对于确需出境(jing)的重要数据,法律作了制度上的安排,经数据出境(jing)安全评(ping)估(gu)认为不会危害国(guo)家安全和社会公共利益的,可以出境(jing)。截至(zhi)2025年3月,国(guo)家互联网信息办公室共完成数据出境(jing)安全评(ping)估(gu)项目298个,其中,44个申(shen)报项目涉及重要数据,评(ping)估(gu)结(jie)果为不通(tong)过的7个,不通(tong)过率为15.9%;44个申(shen)报项目涉及509个重要数据项,评(ping)估(gu)后准予出境(jing)的重要数据项为325个,占申(shen)报数据项总数的63.9%。
特别说明的是,《促(cu)进和规(gui)范数据跨境(jing)流动(dong)规(gui)定》明确,数据处理者按照相(xiang)关规(gui)定申(shen)报重要数据,未被相(xiang)关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申(shen)报数据出境(jing)安全评(ping)估(gu)。
7.行业技(ji)术标准制定过程中如何发挥外(wai)资企业的作用?
答:国(guo)家互联网信息办公室引导有关专业机构在制定行业技(ji)术标准过程中,高度重视并积极鼓励中外(wai)企业等各方参与(yu),确保标准制定工作充分考虑国(guo)内外(wai)相(xiang)关方需求。一是参与(yu)机制公开透明。国(guo)家互联网信息办公室引导全国(guo)网络安全标准化技(ji)术委员会坚持开放(fang)合(he)作、广泛参与(yu)的原则,面向社会长期公开征集工作组成员单位(wei)。委员及下(xia)设工作组成员覆盖了一批有代表(biao)性的外(wai)资企业,其拥有和国(guo)内企业机构在标准参与(yu)、研讨方面平等的权利义务,作为工作组成员单位(wei)的外(wai)资企业能够全程参与(yu),可在标准研制各环节充分提(ti)出意见(jian)和建议。二是标准工作程序公开透明。通(tong)过面向社会公开征集标准需求和标准参编单位(wei)、就标准草案(an)面向社会公开征求意见(jian)等方式,确保各相(xiang)关方公平公正参与(yu)标准制定。
8.集团(tuan)企业(si)跨境(jing)传(chuan)输(shu)个人信息有无更加便利的渠道?
答:一方面,境(jing)内多家子(zi)企业(si)如同属一家集团(tuan)企业(si)且数据出境(jing)业务场(chang)景相(xiang)似,可以由集团(tuan)企业(si)作为申(shen)报主体合(he)并申(shen)报数据出境(jing)安全评(ping)估(gu)或者备案(an)个人信息出境(jing)标准合(he)同,提(ti)高数据出境(jing)工作效率。另(ling)一方面,国(guo)家互联网信息办公室正在推动(dong)出台(tai)个人信息出境(jing)保护认证相(xiang)关管理办法,引导第(di)三(san)方专业认证机构对个人信息出境(jing)活动(dong)进行认证,境(jing)内企业和境(jing)外(wai)接收(shou)方任意一方通(tong)过认证,企业即可在认证范围内开展个人信息出境(jing)活动(dong),对于通(tong)过认证的跨国(guo)集团(tuan),可在集团(tuan)内开展个人信息出境(jing)活动(dong),无需分别与(yu)各国(guo)子(zi)企业(si)单独(du)签订个人信息出境(jing)标准合(he)同。
9.申(shen)请(qing)延长数据出境(jing)安全评(ping)估(gu)结(jie)果有效期有无具体流程?
答:《促(cu)进和规(gui)范数据跨境(jing)流动(dong)规(gui)定》将数据出境(jing)安全评(ping)估(gu)结(jie)果有效期由原来(lai)的2年延长至(zhi)3年,同时明确有效期届满,需要继续(xu)开展数据出境(jing)活动(dong)且未发生(sheng)需要重新申(shen)报数据出境(jing)安全评(ping)估(gu)情形的,数据处理者可以在有效期届满前60个工作日内通(tong)过所在地省级网信部门向国(guo)家网信部门提(ti)出延长评(ping)估(gu)结(jie)果有效期申(shen)请(qing),经国(guo)家网信部门批准,可以延长评(ping)估(gu)结(jie)果有效期3年。目前,国(guo)家互联网信息办公室正在积极听取各方意见(jian),加快研究(jiu)延长评(ping)估(gu)结(jie)果有效期的流程,计划通(tong)过修订发布相(xiang)关政(zheng)策文件的方式予以明确,为企业机构数据出境(jing)创造更为便利的条(tiao)件。