数据出境的安全合规思考

数据已成为新型国家战略性资产，其经济和战略价值在全球数字经济发展中愈加凸显。跨境数据流动既是重要的经济纽带，又是新兴的经济秩序博弈焦点，对于推动经济全球化发展意义重大。然而，跨境数据流动也面临诸多问题与挑战，如数据安全保护和监管合规等方面。随着全球主要经济体对跨境数据流动提出越来越多的监管要求，企业必须合规开展跨境数据流动。

一、我国持续推进数据出境的法律建设

我国对境内企业数据出境的监管，始于2017年6月1日生效的《网络安全法》，此后又分别于2021年9月1日和2021年11月1日正式实施《数据安全法》《个人信息保护法》，并在多个特殊领域由行业主管机构先后发布了行政法规、部门规章、规范性文件及团体/行业标准。而随着一系列法律法规、国家标准的出台，逐渐形成了数据出境的合规路径体系。

其中，《数据出境安全评估办法》更是落实 《网络安全法》、《数据安全法》、《个人信息保护法》有关数据出境规定的重要举措，目的是进一步规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动。

二、数据出境安全评估

（一）数据出境安全评估情形

《数据出境安全评估办法》明确了4种应当申报数据出境安全评估的情形：

1.数据处理者向境外提供重要数据；

2.关键信息基础设施运营者和处理 100 万人以上个人信息的数据处理者向境外提供个人信息；

3.自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；

4.国家网信部门规定的其他需要申报数据出境安全评估的情形。

（二）数据出境行为

《数据出境安全评估申报指南(第一版)申报指南》明确指出，以下情形属于数据出境行为：

1.数据处理者将在境内运营中收集和产生的数据传输、存储至境外;

2.数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出;

3.国家网信办规定的其他数据出境行为。

（三）受监管的数据类型

《数据出境安全评估办法》中明确了重要数据和符合一定条件的个人信息的出境，需要向网信部门申请数据出境安全评估。因此，重要数据和个人信息，是两类首当其冲的受制于出境监管的数据。

1.重要数据：一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。如未公开的政府信息，大面积人口、基因健康、地理、矿产资源等。

2.个人信息：以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

3.个人敏感信息：一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。

但是，在中国数据出境监管机制的总体框架下，还有其他数据类型（如国家秘密、特定行业中的特定数据）可能受制于出境监管要求；在某些场景下（如司法协助），所有数据类型都会受制于出境监管要求。与此同时，也并非所有个人信息的出境都会受制于监管要求。

（四）数据出境安全评估申报

2022年8月31日，在《数据出境安全评估办法》正式施行的前夜，网信办出台了《数据出境安全评估申报指南(第一版)》，对数据出境安全评估申报方式、申报流程、申报材料等方面做出了具体说明。

1.申报流程

2.申报材料

数据处理者申报数据出境安全评估，应当提交如下材料：

(1)统一社会信用代码证件（影印件加盖公章）

(2)法定代表人身份证件（影印件加盖公章）

(3)经办人身份证件（影印件加盖公章）

(4)经办人授权委托书 (原件)

(5)数据出境安全评估申报书 (原件)

(6)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件（影印件加盖公章）

(7)数据出境风险自评估报告 (原件)

(8)其他相关证明材料 (原件或影印件加盖公章)

《指南》与《办法》要求提供的申报材料，对比如下：

（五）数据出境风险自评估：实现数据出境合规的必由之路

《办法》的出台，标志着涉及数据出境的相关企业将受到严格的监管。因此，企业在数据活动出境前的风险自评估尤为关键，开展自评估是申报出境安全评估的前提。

1.如何开展数据出境风险自评估?

第1步：出境场景识别

依据数据出境场景，明确自评估触发条件和时机。为避免影响业务运行，企业应预留充分的评估时间。

第2步：出境目的评估

数据出境目的“合法性、正当性必要性”成为数据出境合规的“红线”，需要企业首先加以关注。

第3步：评估要素分析

从数据发送方以及数据接收方的技术和管理能力、安全保护能力等角度逐分析评价各项评估要素。

第4步：安全风险综合评估

从影响程度和安全事件发生的可能性两个维度，对数据出境风险进行逐项判定和计量。

2.数据出境安全评估难点

(1)出境数据难识别

办法明确提出了受到监管的数据包括重要数据、个人信息和敏感个人信息。有些数据属于无特征数据，难以通过传统工具或方法进行有效识别。

(2)出境内容缺统计

由于数据识别和接口监管能力缺失，导致企业缺乏对出境内容进行全面统计的能力，无法快速掌握出境目的地、数据类型、敏感程度和规模等评估重点关注的内容。

(3)评估机制不完善

针对办法中提到的数据出境风险自评估和境外数据接收方能力评估，由于经验的缺失，制度、流程的不完善，企业难以评估数据跨境风险和控制措施的有效性，难以构建一套合理完善的评估机制，严重制约数据出境安全评估的有效落地。

(4)评估申报成本高

处理评估、整改和申报相关手续及流程的时间周期过长，对企业的业务开展造成很大的影响。且履行评估、整改和申报义务所花费的经济成本较高，企业难以承受。

三、芯盾时代数据出境服务

为帮助企业顺利的进行数据出境安全评估申报工作，芯盾时代“数据出境安全评估服务”为各大企业提供数据出境安全全流程的咨询、培训、申报、整改等服务，帮助各大企业基于所属行业现状及法律法规环境，形成数据出境安全可行性路径，护航企业数据出境合规。

（一）数据出境安全咨询及培训

专家提供对数据安全相关法律法规的解读；提供数据安全出境评估工作过程中涉及到的相关管理、咨询工作；提供数据安全相关的培训服务。

（二）数据出境管理框架建设

协助企业建立数据出境活动管理和评估框架，制定相关制度、流程和工具。

（三）数据出境安全评估及整改

帮助企业对现有的网络和信息系统进项数据安全评估、数据出境的风险评估、数据安全能力评估以及数据出境相关法律文件的合规评估。

（四）数据出境日常管理及持续监督

协助企业持续开展出境活动记录盘点、自评估、整改辅导、管理培训等日常出境活动管理运行支持。

（五）数据出境安全评估申报支持

协助企业梳理申报材料及申报流程；助力企业完成申报工作。

芯盾时代服务优势

芯盾时代长期服务于金融、政府、运营商、大型企业、互联网等行业的头部客户，具备丰富的安全咨询规划和检测评估项目经验，能够切实把握各行业开展数据出境安全评估申报工作中的痛点难点，有效的对数据出境场景和出境数据进行精准识别，帮助客户顺利开展数据出境安全评估的申报工作，防范数据安全风险，规避出境的合规风险，切实保障客户数据出境业务的安全可持续发展。

审核编辑 ：李倩