國家互聯(lián)網(wǎng)信息辦公室持續加強數據出境安全管理政策宣貫����,指導和幫助數據處理者高效合規開(kāi)展數據出境活動(dòng)�。經(jīng)對近期收到的咨詢(xún)問(wèn)題進(jìn)行研究����,現將一些有代表性的問(wèn)題和答復公布如下����。
1.如何理解中國數據出境安全管理制度設計��?
答:隨著(zhù)數據跨境流動(dòng)活動(dòng)的日益頻繁�����,世界上許多國家和地區從本國�����、本地區實(shí)際出發(fā)�,對數據跨境流動(dòng)安全管理作了制度性探索����,制定出臺了一系列法律法規和規則標準��。中國建立數據出境安全管理制度�,是法律作出的規定�����?!毒W(wǎng)絡(luò )安全法》《數據安全法》《個(gè)人信息保護法》在法律層面對數據出境活動(dòng)作出明確規定�。相關(guān)規定不是針對所有數據��,只限于重要數據和個(gè)人信息���。對于確需出境的重要數據�,法律作了制度上的安排����,經(jīng)數據出境安全評估認為不會(huì )危害國家安全和社會(huì )公共利益的���,可以出境�����。對于個(gè)人信息出境�����,法律規定了數據出境安全評估��、個(gè)人信息保護認證����、個(gè)人信息出境標準合同等多種途徑�����?��?偟膩?lái)看���,中國法律關(guān)于數據出境管理的規定�����,旨在保證在華企業(yè)因業(yè)務(wù)需要的數據跨境安全�、自由流動(dòng)���,同時(shí)對涉及國家安全和公共政策目標的個(gè)人信息和重要數據跨境流動(dòng)進(jìn)行必要的監管��。對于不涉及個(gè)人信息或者重要數據的一般數據可以跨境自由流動(dòng)�,重要數據和達到規定數量的個(gè)人信息通過(guò)數據出境安全評估后可以依法跨境流動(dòng)����。
落實(shí)法律規定����,國家互聯(lián)網(wǎng)信息辦公室先后出臺實(shí)施《數據出境安全評估辦法》《個(gè)人信息出境標準合同辦法》《促進(jìn)和規范數據跨境流動(dòng)規定》���,發(fā)布《關(guān)于實(shí)施個(gè)人信息保護認證的公告》及配套認證規則�,明確數據出境安全評估����、個(gè)人信息出境標準合同�����、個(gè)人信息保護認證等制度的實(shí)施路徑��,會(huì )同各地�、各部門(mén)依法有序開(kāi)展數據出境安全管理工作����。
2.如何保證不同自貿試驗區制定數據出境負面清單標準的一致性����?
答:《促進(jìn)和規范數據跨境流動(dòng)規定》明確�����,自貿試驗區可在國家數據分類(lèi)分級保護制度框架下自行制定數據出境負面清單�����,經(jīng)省級網(wǎng)絡(luò )安全和信息化委員會(huì )批準�,報國家網(wǎng)信部門(mén)�����、國家數據管理部門(mén)備案后實(shí)施��,負面清單外數據出境將免予申報安全評估��、訂立標準合同���、通過(guò)保護認證�����,是促進(jìn)和便利自貿試驗區數據跨境流動(dòng)的一項創(chuàng )新舉措���。負面清單制定過(guò)程中將充分征求相關(guān)主管部門(mén)意見(jiàn)���,負面清單備案時(shí)國家互聯(lián)網(wǎng)信息辦公室會(huì )同國家數據局對清單進(jìn)行審核�,針對同一領(lǐng)域��,如果已經(jīng)有自貿試驗區發(fā)布負面清單�����,其余自貿試驗區可以參照執行����,不再重復制定�����。上述工作確保負面清單符合國家數據分類(lèi)分級保護制度要求�,保證不同自貿試驗區負面清單標準的一致性����。
3.自貿試驗區數據出境負面清單適用范圍如何覆蓋更多領(lǐng)域����?
答:落實(shí)《促進(jìn)和規范數據跨境流動(dòng)規定》���,國家互聯(lián)網(wǎng)信息辦公室�、國家數據局先后完成天津���、北京�����、海南���、上海�����、浙江等地自貿試驗區(港)數據出境負面清單備案��,對汽車(chē)����、醫藥�、零售����、民航����、再保險�、深海業(yè)�����、種業(yè)等17個(gè)領(lǐng)域數據跨境流動(dòng)發(fā)揮促進(jìn)作用�。國家互聯(lián)網(wǎng)信息辦公室會(huì )同有關(guān)部門(mén)正在指導各自貿試驗區結合各自產(chǎn)業(yè)發(fā)展特點(diǎn)制定數據出境負面清單�,隨著(zhù)更多負面清單的發(fā)布實(shí)施��,覆蓋的領(lǐng)域會(huì )越來(lái)越寬�。關(guān)于自貿試驗區數據出境負面清單發(fā)布實(shí)施情況����,可以關(guān)注國家互聯(lián)網(wǎng)信息辦公室官網(wǎng)(www.cac.gov.cn)和相關(guān)地方自貿試驗區網(wǎng)站進(jìn)行了解�����。
4.如何理解和判斷個(gè)人信息出境必要性����?
答:《個(gè)人信息保護法》第六條規定����,“處理個(gè)人信息應當具有明確�����、合理的目的��,并應當與處理目的直接相關(guān)�����,采取對個(gè)人權益影響最小的方式�����。收集個(gè)人信息���,應當限于實(shí)現處理目的的最小范圍�,不得過(guò)度收集個(gè)人信息”�;第十九條規定���,“除法律����、行政法規另有規定外����,個(gè)人信息的保存期限應當為實(shí)現處理目的所必要的最短時(shí)間”�。
根據上述法律規定�����,判斷“必要性”的考量因素包括與處理目的直接相關(guān)���、對個(gè)人權益影響最小��、限于實(shí)現處理目的的最小范圍����、保存期限為實(shí)現處理目的所必要的最短時(shí)間等4方面����。落實(shí)法律規定�,國家互聯(lián)網(wǎng)信息辦公室在開(kāi)展數據出境安全評估工作中�����,將充分考量數據處理者申報事項的業(yè)務(wù)場(chǎng)景和實(shí)際需求��,對個(gè)人信息出境必要性進(jìn)行評估��,評估要點(diǎn)主要包括出境活動(dòng)本身的必要性���、涉及自然人規模的必要性以及出境個(gè)人信息數據項范圍的必要性等�����。
數據出境涉及眾多行業(yè)領(lǐng)域�����,國家互聯(lián)網(wǎng)信息辦公室會(huì )同相關(guān)行業(yè)主管部門(mén)�����,逐步細化明確具體行業(yè)領(lǐng)域的數據出境業(yè)務(wù)場(chǎng)景以及個(gè)人信息出境必要范圍����,為企業(yè)機構數據出境提供更為細化的政策指引���。
5.如何識別重要數據����?
答:根據《網(wǎng)絡(luò )數據安全管理條例》第六十二條規定����,重要數據是指特定領(lǐng)域�、特定群體��、特定區域或者達到一定精度和規模��,一旦遭到篡改��、破壞�、泄露或者非法獲取��、非法利用��,可能直接危害國家安全���、經(jīng)濟運行�����、社會(huì )穩定�����、公共健康和安全的數據�?���!稊祿踩夹g(shù) 數據分類(lèi)分級規則》(GB/T 43697-2024)附錄G《重要數據識別指南》提出了重要數據識別方法����。數據處理者可依據相關(guān)法律法規����、技術(shù)標準等識別申報重要數據��。
6.重要數據是否意味著(zhù)不能出境����?
答:對于確需出境的重要數據�����,法律作了制度上的安排��,經(jīng)數據出境安全評估認為不會(huì )危害國家安全和社會(huì )公共利益的��,可以出境�����。截至2025年3月�����,國家互聯(lián)網(wǎng)信息辦公室共完成數據出境安全評估項目298個(gè)�,其中�,44個(gè)申報項目涉及重要數據����,評估結果為不通過(guò)的7個(gè)�����,不通過(guò)率為15.9%��;44個(gè)申報項目涉及509個(gè)重要數據項���,評估后準予出境的重要數據項為325個(gè)��,占申報數據項總數的63.9%���。
特別說(shuō)明的是��,《促進(jìn)和規范數據跨境流動(dòng)規定》明確����,數據處理者按照相關(guān)規定申報重要數據�����,未被相關(guān)部門(mén)�����、地區告知或者公開(kāi)發(fā)布為重要數據的����,數據處理者不需要作為重要數據申報數據出境安全評估�����。
7.行業(yè)技術(shù)標準制定過(guò)程中如何發(fā)揮外資企業(yè)的作用�����?
答:國家互聯(lián)網(wǎng)信息辦公室指導有關(guān)專(zhuān)業(yè)機構在制定行業(yè)技術(shù)標準過(guò)程中�����,高度重視并積極鼓勵中外企業(yè)等各方參與�,確保標準制定工作充分考慮國內外相關(guān)方需求��。一是參與機制公開(kāi)透明���。國家互聯(lián)網(wǎng)信息辦公室指導全國網(wǎng)絡(luò )安全標準化技術(shù)委員會(huì )堅持開(kāi)放合作���、廣泛參與的原則�,面向社會(huì )長(cháng)期公開(kāi)征集工作組成員單位��。委員及下設工作組成員覆蓋了一批有代表性的外資企業(yè)���,其擁有和國內企業(yè)機構在標準參與�、研討方面平等的權利義務(wù)�,作為工作組成員單位的外資企業(yè)能夠全程參與���,可在標準研制各環(huán)節充分提出意見(jiàn)和建議��。二是標準工作程序公開(kāi)透明���。通過(guò)面向社會(huì )公開(kāi)征集標準需求和標準參編單位���、就標準草案面向社會(huì )公開(kāi)征求意見(jiàn)等方式�����,確保各相關(guān)方公平公正參與標準制定��。
8.集團公司跨境傳輸個(gè)人信息有無(wú)更加便利的渠道����?
答:一方面���,境內多家子公司如同屬一家集團公司且數據出境業(yè)務(wù)場(chǎng)景相似���,可以由集團公司作為申報主體合并申報數據出境安全評估或者備案個(gè)人信息出境標準合同�,提高數據出境工作效率�。另一方面��,國家互聯(lián)網(wǎng)信息辦公室正在推動(dòng)出臺個(gè)人信息出境保護認證相關(guān)管理辦法�����,指導第三方專(zhuān)業(yè)認證機構對個(gè)人信息出境活動(dòng)進(jìn)行認證���,境內企業(yè)和境外接收方任意一方通過(guò)認證��,企業(yè)即可在認證范圍內開(kāi)展個(gè)人信息出境活動(dòng)��,對于通過(guò)認證的跨國集團��,可在集團內開(kāi)展個(gè)人信息出境活動(dòng)����,無(wú)需分別與各國子公司單獨簽訂個(gè)人信息出境標準合同��。
9.申請延長(cháng)數據出境安全評估結果有效期有無(wú)具體流程�����?
答:《促進(jìn)和規范數據跨境流動(dòng)規定》將數據出境安全評估結果有效期由原來(lái)的2年延長(cháng)至3年���,同時(shí)明確有效期屆滿(mǎn)����,需要繼續開(kāi)展數據出境活動(dòng)且未發(fā)生需要重新申報數據出境安全評估情形的����,數據處理者可以在有效期屆滿(mǎn)前60個(gè)工作日內通過(guò)所在地省級網(wǎng)信部門(mén)向國家網(wǎng)信部門(mén)提出延長(cháng)評估結果有效期申請��,經(jīng)國家網(wǎng)信部門(mén)批準���,可以延長(cháng)評估結果有效期3年����。目前����,國家互聯(lián)網(wǎng)信息辦公室正在積極聽(tīng)取各方意見(jiàn)�,加快研究延長(cháng)評估結果有效期的流程����,計劃通過(guò)修訂發(fā)布相關(guān)政策文件的方式予以明確����,為企業(yè)機構數據出境創(chuàng )造更為便利的條件���。
