热点追踪 | 促进数据跨境流动，共建安全、合规的数据出境环境

CETC电科网安 2024-04-01 15:53:42  65812

分类专栏：资讯

导读

Guide To Reading

数据跨境的合规问题一直受到国内外的高度关切。自2022年起，依据《网络安全法》《数据安全法》《个人信息保护法》，我国从国家和个人安全的角度陆续明确了常规的数据出境路径，也对个人信息和重要数据的出境路径作了明确，并相继出台《数据出境安全评估办法》《个人信息保护认证实施规则》《个人信息出境标准合同办法》，为数据处理者开展合规的数据出境工作提供可实施的指导。

综合维护国家安全、促进国际合作、减轻企业负担等多方面的考虑，2023年9月，网信办发布了《规范和促进数据跨境流动规定（征求意见稿）》，并于今年3月发布正式文件《促进和规范数据跨境流动规定》（以下简称“《规定》”，点击链接阅读相关资讯），综合国家安全、促进国际合作、减轻企业负担等多因素的考虑，形成了一个由数据处理者、自贸区、各级网信部门共同治理的数据合规管理环境。

《规定》的主要内容

PART ONE

《规定》整体思路为以促进正常的商业数据跨境流动、帮助企业减少数据跨境合规成本为主要目标，但同时保持对重要数据以及敏感个人信息的谨慎管理态度。在促进方面，通过多种“豁免场景”的设置，适当放宽数据跨境流动条件，适度收窄数据出境安全评估范围，并简化、优化申报流程，极大减轻数据处理者的合规负担。另一方面，《规定》聚焦重点关注的数据类型，强调各级、各方对数据环境风险水平的评估、管理，鼓励各方在数据出境管理工作中发挥各自的力量，使数据跨境流动既高效又可控。

1.豁免部分个人信息出境场景

《规定》对非关键信息基础设施运营者的个人信息出境合规从出境场景、出境数量方面做了优化和调整：明确了部分出境场景的豁免，个人信息的数量统计标准从原来企业拥有的个人信息量变为实际出境的个人信息量，避免了拥有大量个人信息的企业即使出境一条个人信息也需要申报数据出境安全评估的情况。需强调的是，关基运营者适用出境场景的豁免，但不适用出境数量的豁免。具体规定如下：

但要注意的是，特定情形下免于申报数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证不代表相关个人信息处理者无需履行《个人信息保护法》就个人信息出境设置的其他合规义务，如履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。

2.明确重要数据出境制度

针对重要数据出境的情形，《规定》延续了之前的要求，必须申报数据出境安全评估，不适用任何豁免。对于长期以来重要数据边界模糊的问题，《规定》明确“数据处理者应当按照相关规定识别、申报重要数据，未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估”，使得重要数据识别、备案机制与数据出境安全评估机制相对独立，帮助企业减轻管理负担和合规焦虑。

目前，各行业重要数据识别工作仍在推进过程中。总体来说，行业主管部门参考《数据安全技术数据分类分级规则》（GB/T 43697-2024）附录G 制定重要数据目录，企业按规定和行业主管部门要求开展重要数据识别、申报工作。有些行业、地区已发布清单并开展识别、备案试点工作。例如，汽车行业已通过《汽车数据安全管理若干规定（试行）》确定了重要数据识别标准与报送规则；上海通信管理局曾组织多家重点电信和互联网企业开展重要数据和核心数据识别认定及目录备案工作，确定了上海市电信和互联网行业首批重要数据和核心数据目录并报送工业和信息化部。

3.自贸区探索负面清单制度以及新型监管机制

《规定》第六条明确了自由贸易试验区（以下简称“自贸区”）在国家数据分类分级的框架下，可以制定需要纳入数据出境监管流程范围的数据清单，也就是“负面清单”的机制，这意味着在自贸区的数据处理者可使用更加简化的流程以及出境合规程序。与此同时，这也对自贸区的数据出境管理提出了更高、更动态、更细致的要求。

目前，已有自贸易区先行探索创新的数据出境模式。天津自贸区和上海临港片区相继发布了《中国（天津）自由贸易试验区企业数据分类分级标准规范》《中国（上海）自由贸易试验区临港新片区数据跨境流动分类分级管理办法（试行）》。

4.多方参与，共建数据出境全链路的安全、合规

《规定》强调了企业的个人信息合规和数据安全保护义务，同时，也增强了地方网信在数据出境安全管理体制中的任务和工作。

尽管《规定》通过简化流程、减轻企业负担，在一方面传递出减少企业受到的事前监管压力，促进商业发展的信号，但出境合规监管并不是完全开放不进行监管，而是转为企业自主完成自身合规义务。同时，地方网信指导并建立事前、事中和事后的全链条监管，中央网信监督检查。这意味着，数据出境监管是一件所有参与方都需要共同履行自身职责的事情，企业应将数据出境风险监测与安全保护的要求与全流程的业务开展活动有机融合，作为自身合规管理的一项重要工作。

企业数据跨境合规建议

PART TWO

1.建立数据出境常态化管理机制

涉及数据跨境的企业应将出境的合规管理纳入到企业的日常管理中，针对数据出境的监管要求和企业的业务场景特点，从人员、数据、信息系统、境外接收方等角度建立完善的企业管理制度，规范申报数据出境安全评估、与境外接收方签订合同、数据出境审批、安全防护、境外数据使用等场景下的工作要求，固化工作实施流程。

2.建立三位一体技术监测能力

企业的数据跨境业务，需要通过建立一系列技术方案来落实管理要求，保护数据跨境安全。总的来说可以分为三个方面，一是建立完备的安全防护技术手段，对涉及出境的数据加密或采取去标识化措施，通过采用安全的传输通道开展数据跨境传输，并对数据出境行为进行日志记录和审计；二是形成动态的数据跨境技术监测能力，从出境数据流量、流向、内容、保护状态、访问权限和操作行为等维度监测数据跨境风险；三是实时统计数据出境规模，掌握数据出境总体情况。

我们能提供的服务：帮助企业落实数据出境合规要求

PART THREE

1.帮助企业理清数据跨境场景细节，支撑企业开展“数据出境安全评估申报”、“个人信息出境标准合同备案”等合规工作。

2.根据企业业务形态，提供数据传输加密、文件加密服务，并提供静态脱敏、动态脱敏以及嵌入应用的应用级去标识化服务。

3.帮助企业梳理数据出境风险、建立数据出境监测体系，使企业随时掌握出境数据流向及合规状态，以便履行数据安全保护义务和留存合规证据。