合规季 | 企业数据出境安全评估规则依据与申报指引

目次

一、数据出境企业合规的法律依据

《网络安全法》《个人信息保护法》《数据安全法》三部法律奠定了数据出境的法律框架和基础，从法律层面规范了数据出境的合规机制。

《中华人民共和国网络安全法》（“《网络安全法》”）最早提出了对于“关键信息基础设施运营者”（“CIIO”）的数据（无论是个人信息还是重要数据）均有本地化存储和必要情况下跨境传输时的评估义务要求，并授权国家网信部门会同国务院有关部门制定安全评估办法。

随后《数据安全法》和《个人信息保护法》也依次出台并生效，进一步完善了数据出境安全评估的上位法依据，拓展了申报数据出境安全评估的主体范围，即在CIIO基础上加入“处理个人信息达到国家网信部门规定数量的个人信息处理者”。

这两部法律从不同层面和角度规范了数据出境的合规机制，并通过《数据出境安全评估办法》最终落实了需要申报数据出境安全评估的规制对象即“个人信息及重要数据”和适用情形，根据不同情形参考不同上位法。因此，从目前数据合规的法律体系框架来看，针对数据出境的合规要求，需要考虑数据出境主体的不同身份以及拟出境数据的不同类型进行甄别，进而依照不同法律法规的要求制定合规要点。

（一）个人信息出境法律制度

《个人信息保护法》为个人信息数据出境提供具体的法律依据。其中第三十八条规定了个人信息出境的主要三条合规路径：国家网信部门组织的安全评估、国家网信部门规定的专业机构进行个人信息保护认证、国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务。

对于一些特殊的个人信息处理者，其出境行为还需要进行网络安全审查。《网络安全审查办法》规定，掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。

（二）重要数据出境法律制度

除个人信息数据外，《数据出境安全评估办法》和《数据出境安全评估申报指南》为其他“重要数据”的出境提供规制。任何数据处理者向境外提供的“重要数据”，都应当通过国家网信部门组织的安全评估。

而应对境外司法、执法机构关于提供数据的请求，《数据安全法》要求必须经过中国主管机关批准，方可向境外司法、执法机构提供存储于中国境内的数据。

（三）数据出境安全评估申报的法律依据

我国数据出境安全制度包括数据出境安全评估、数据出境标准化合同、专业安全认证以及其他法律专门规定的特殊机制。这四种制度是根据法律具体规定的情形选择适用的关系。《个人信息保护法》第三十八条确认了这一点，但是其调整对象仅针对“个人信息”，并不包括公共数据、商业数据等其他类型数据。

《数据安全法》第二十二及二十四条确立了建立“集中统一、高效权威的数据安全风险评估机制”和“数据安全审查制度”，但是均为原则性条款，缺乏具体指导。《网络安全法》第三十七条初步明晰了关键信息基础设施运营者（“CIIO”）向境外提供个人信息和重要数据需要进行安全评估。

《数据出境安全评估办法》和《数据出境安全申报指南》的出台进一步明确了需要适用数据出境安全评估的情形及操作方式，涵盖个人信息数据、重要数据、其他数据等，细化了《个人信息保护法》和《数据安全法》中有关数据出境的相关规定，从主体、数据敏感度和数据量三个维度明确了数据出境安全评估适用条件、评估流程以及申报材料，是当前数据出境安全评估最重要和具体的制度依据。

二、数据出境的界定

企业只有在涉及到法律意义上的“数据出境”才谈得上适用何种数据出境制度的问题，进而才能根据其数据情况、业务特点等方面考虑是否适用数据出境安全评估。因此，界定是否存在数据出境情形至关重要。判定是否构成《数据出境安全评估办法》项下的“数据出境”，需要从“数据出境主体”、“数据出境行为”和“数据出境标的”三个方面进行分析。

（一）数据出境制度的规范主体是“数据处理者”

数据出境规范的主体是“数据处理者”而非“数据主体”或“受委托处理者”。《数据出境安全评估办法》第二条规定：“数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估，适用本办法。”尽管该《办法》没有给出数据处理者的定义，但是参考《个人信息保护法》中关于“个人信息处理者”以及《网络数据安全管理条例（征求意见稿）》中关于“数据处理者”的定义，“数据处理者”应指在数据处理活动中自主决定处理目的和处理方式的个人和组织。

通常情况下，若个体向境外提供个人信息，自主决定数据处理目的和处理方式的应是境外数据接收方而非境内个人信息主体。因此，个人信息主体并不负有申报义务，个人主体向境外数据处理者提供个人信息，由于此时数据并非由数据处理者向境外提供，境外数据处理者也无需适用《数据出境安全评估办法》。尽管如此，境外数据处理者因跨境收集中国境内个人信息，仍需遵守《个人信息保护法》的规定。

可见，数据分析和处理活动是判断是否受法律规制的核心，单纯数据的流入流出是有可能并不落入《数据出境安全评估办法》的规制范围的。

（二）数据出境行为包括向境外提供或允许境外访问境内数据

《数据出境安全申报指南》第一条列举了数据出境行为，包括：

(1)数据处理者将在境内运营中收集和产生的数据传输、存储至境外（“向境外提供”）；

(2) 数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出（“从境外访问”）；

(3) 国家网信办规定的其他数据出境行为。

（三）数据出境安全评估申报的数据为“重要数据”和“个人信息”

《数据出境安全评估办法》第四条规定：“数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：

（1）数据处理者向境外提供重要数据；

（2）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；

（3）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；

（4）国家网信部门规定的其他需要申报数据出境安全评估的情形。”

根据该条规定，只有出境数据为“重要数据或个人信息”才适用数据出境安全评估并需要向国家网信部门申报，而企业的业务信息、统计数据等一般数据的出境，如不含有重要数据或个人信息，通常不属于待申报数据，但一般数据的处理活动仍受制于《网络安全法》和《数据安全法》。

因此，企业在开展出境活动时，需要着重考量和梳理出境的数据类别和数据等级，首先开展数据出境安全自评估，根据实际情况进行申报。

三、企业需要判断是否构成“关键信息基础设施运营者（CIIO）”及数据是否构成“重要数据”

根据《数据出境安全评估办法》第四条可知，判断企业数据出境是否应向网信部门申报数据出境安全评估，应根据数据处理者性质（是否为关键信息基础设施运营者/国家机关）、数据性质（是否为重要信息）以及个人信息的数量等标准进行确认。

出境数据若包含“重要数据”，或涉及到关键信息基础设施运营者出境个人信息的情形，则不论出境数据量多少，均触发出境安全评估。因此，判断企业是否构成关键信息基础设施运营者以及企业运营的数据是否为行业主管部门认定的“重要数据”具有重要意义。

但是，目前企业面对的情况是，绝大多数行业关键信息基础设施运营者和重要数据的认定规则和清单并未公布，行业主管部门也未发布具体规则或详尽的文件给予企业相关指导，因此针对这两项的认定对企业而言尚存较大的不确定性。在相关规则出台前，企业可以参考如下信息：

（一）“关键信息基础设施运营者”的认定

根据《关键信息基础设施安全保护条例》，关键信息基础设施运营者的认定规则及清单由各重要行业和领域的主管部门、监管部门制定。目前，尚未有部门公布认定规则或清单。

2016年6月发布的《国家网络安全检查操作指南》中提供了关键信息基础设施运营者识别与认定的三项参考标准，即：

(1) 确定关键业务；

(2) 确定支撑关键业务的信息系统或工业控制系统；

(3) 根据关键业务对信息系统或工业控制系统的依赖程度，以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。

企业可以参考《国家网络安全检查操作指南》提供的标准并结合行业主管部门的意见来衡量判断自身是否构成关键信息基础设施运营者。

（二）“重要数据”的认定

《数据出境安全评估申报指南（第一版）》第一条重申了《数据出境安全评估办法》第二条、第四条有关适用数据出境安全评估的范围，明确在出境数据涉及重要数据的情况下，安全评估是强制性。因此企业收集的非个人信息数据，是否落入向网信办申报数据出境安全评估的范围，最重要的衡量标准是其出境的数据是否属于“重要数据”。凡属于向境外提供的“重要数据”，除了服从相关行业主管部门的监管，还需在网信部门申报数据安全评估才能开展数据出境工作。

根据《数据出境安全评估办法》规定，所谓“重要数据”，是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。

目前，行业内对重要数据的相关规定仅有《汽车数据安全管理若干规定（试行）》，其中对汽车行业的重要数据进行了明确列举，其他行业尚未有主管部门发布重要数据目录。因此，对于其他行业的企业而言，在缺乏重要数据目录的情况下，是否涉及重要数据，需要企业根据现有的重要数据识别规则自行判定。

2022年4月，全国信息安全标准化技术委员会发布《信息安全技术 重要数据识别规则（征求意见稿）》（以下简称“《重要数据识别规则》”），其上第五条提供了重要数据的识别需要考虑的十九条因素，主要可以分成以下四个总体类别：

（1）国家安全利益相关，如（a）直接影响影响国家主权、政权安全、政治制度、意识形态安全，如用以实施社会动员的数据属于重要数据；（b）直接影响领土安全和国家统一，或反映国家自然资源基础情况，如未公开的领陆、领水、领空数据等属于重要数据。

（2） 战略经济相关，如（a）直接影响市场经济秩序或国家经济命脉安全，如支撑关键基础设施所在行业、领域核心业务运行或重要经济领域生产的数据等属于重要数据；（b）反映全局性或重点领域经济运行、金融活动状况，关系产业竞争力，可造成公共安全事故或影响公民生命安全，可引发群体性活动或影响群体情感与认知，如未公开的统计数据、重点企业商业秘密，以及危化品制作工艺、危险品储存地点等属于重要数据。

 （3） 自然资源与环境类，如（a）反映水资源、能源资源、土地资源、矿产资源等资源储备和开发、供给情况，如未公开的水文观测数据、未公开的耕地面积或质量变化情况等属于重要数据。

 （4）其他，如（a）反映我国语言文字、历史、风俗习惯、民族价值观念等特质，如历史文化遗产信息等属于重要数据；（b）未公开的政务数据、情报数据、执法司法数据，如未公开的统计数据等属于重要数据。

其他没有出台数据安全管理规定或重要数据识别标准的行业，可以结合上述国家标准，并参考行业主管部门意见判定。

需要注意的是，虽然单纯的个人信息一般不属于重要数据，但如个人信息数量达到一定规模、一定精度，例如个人信息的内容足以反映一定范围内的人口与健康情况，那么此等个人信息就可能构成重要数据。

但毋庸置疑，在数据出境安全评估制度语境下，“重要数据”是评估的核心，网信部门将会对重要数据加以判断或要求企业对是否处理重要数据加以判断。因此，企业需得做到心中有数，对重要数据的判断应基于其实际业务，参考各行业数据分类分级标准自主判断并主动申报。

四、数据安全评估申报的流程

《数据出境安全评估办法》要求申报评估首先经由省级网信办对申报材料进行完备性查验，申报材料齐全的，相关材料将报送至国家网信办。具体流程请参见下图。

对于已经通过安全评估、已出境的数据还有三种情况需要进行再评估：

（1）评估两年到期需要再评估；

（2）两年内数据出境发生重大变化，比如目的变更，或者是接收方改变，也需要再评估；

（3）出境活动已与实质不相符也需要再评估。

五、申报材料及要点

《数据出境安全评估申报指南》细化了评估申报材料的具体要求，并提供了相应的模板。

1. 细化的申请材料包括：

（1）统一社会信用代码证件；

（2）法定代表人身份证件；

（3）经办人身份证件；

（4） 经办人授权委托书（模板）；

（5）数据出境安全评估申报书（模板），包含《承诺书》与《数据出境安全评估申报表》两个部分；

（6）与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件；

（7）数据出境风险自评估报告（模板）；以及

（8）其他相关证明材料。

2. 申报材料注意要点

数据出境安全评估旨在控制数据出境后的风险，确保境外接收方能够提供同等水平的数据保护。根据这个目的，企业在实际申报时应以能够向审查部门展示完整出境场景、数据类型、实际保护措施为主要目标。在可提供的材料及条件允许范围内，尽可能将数据梳理及支撑材料的颗粒度做细化处理为宜，以免进一步补充资料。

此外，提交材料需根据《数据出境安全评估办法》的要求，保证材料内容的真实性、完整性、准确性、有效性。

结 语

《数据出境安全评估办法》及其《申报指南》的出台，显示国家在数据安全问题上日趋严格的把控，企业在开展数据业务时，应当更加重视数据合规，涉及到数据出境，有必要严格依照相关规定预判符合的情形，在运营中及时梳理数据类型和数据出境场景，提前进行风险自评估，补强可能造成信息泄露的薄弱点，并选取适合自身的数据出境安全制度。

若涉及到需要进行数据出境安全评估的几种情况，企业有义务依法向网信部门进行数据出境安全评估申报，避免出现不必要的合规风险。

2022年9月《数据出境安全评估办法》之前的企业数据出境活动，《办法》赋予的6个月的整改期目前已届期满，企业的申报业务亟待提上日程。2023年1月，全国首个通过数据出境安全评估的企业案例已经产生，之后各行业数据安全相关规定陆续出台和落实，将进一步保障和推动企业的数据出境安全评估工作向前发展，值得拭目以待。

冯超  律师

合伙人

业务领域：知识产权、数据保护、反垄断、争议解决

薛莲 律师

业务领域：知识产权、数据保护

陆益凡 

实习律师

业务领域：知识产权、数据保护

合规季文章推荐

ARTICAL