数据跨境现状调查与分析报告

1/54 我国数据跨境现状调查与分析报告 ——基础问题与十个痛点的解决 目录 上篇：基础问题篇4 一、我国有哪些数据跨境相关的法律法规要求？4 二、哪些行为属于数据跨境传输行为？5 三、哪些情况下需要开展数据出境安全评估？5 四、什么数据是重要数据？现阶段识别重要数据的参考依据有哪些？6 五、如何识别关键信息基础设施及其运营者？如何针对相关数据进行评估？6 六、哪些情况下需要开展个人信息出境安全评估？8 七、如何定义出境数据的“境外接收方”？9 八、哪些属于“法律、行政法规另有规定，依照其规定进行评估/批准”的情况？10 九、符合条件的企业应当向哪个/些机构申请数据出境安全评估？10 十、数据出境安全评估流程是怎样的，需要多长时间？11 十一、符合条件的企业申请数据出境安全评估时，应当准备哪些申请材料？11 十二、数据处理者与境外接收方拟订立的法律文件与个人信息出境标准合同有何区别？11 十三、完成数据出境评估后，有效期为多久？什么情况下需要再次申请安全评估？12 十四、应申请安全评估但未申请出境数据，有何罚则？12 十五、还有哪些应当注意的具体事项？13 下篇：调查分析篇14 一、如何准确识别数据跨境传输场景15 二、如何准确识别跨境传输数据的类型23 三、如何正确盘点跨境传输数据的数量27 四、如何确认采取哪种出境安全保障机制30 五、如何完成数据出境安全评估34 六、如何评估跨境传输相关法律文件完善程度38 七、如何评估数据处理者和境外接收方的技术和制度措施是否充分41 八、如何评估境外接收方法律与政策环境完善程度43 九、如何完成个人信息保护认证48 十、如何正确应对国际争议解决场景下取证所涉的数据跨境传输50 上篇：基础问题篇 一、我国有哪些数据跨境相关的法律法规要求？ 随着数字化成为我国重要的国家战略，数据正逐渐被我国政府视为保障国家主权、对国家安全和经济发展具有重大影响的重要资产。监管部门对数据跨境传输的合规情况亦越发关注。 自2017年6月1日起施行的《中华人民共和国网络安全法》（下称《网络安全法》）、2021年9月1日起施行的 《中华人民共和国数据安全法》（下称《数据安全法》）和2021年11月1日起施行的《中华人民共和国个人信息保护法》（下称《个人信息保护法》），均从法律层面对开展数据出境活动进行了规定。我国立法针对数据出境采用了“分层监管”的方式，即将关键信息基础设施运营者与一般网络运营者进行区分监管。 企业应当根据自身属性和出境数据的类型与性质的不同，判断需要相应承担的不同层次数据出境合规义务。从自身属性角度看，当数据出境主体构成关键信息基础设施运营者时，在境内运营期间收集和产生的个人信息与重要数据的出境活动是存在限制的；从数据类型角度看，个人信息、重要数据、国家核心数据、以及由特别法管辖下的特殊类型数据，则需要适用不同的出境规则。（具体内容请见《下篇：调查分析篇》“如何准确识别数据跨境传输的类型”部分） 为推动法律落地，在行政法规层面，国家互联网信息办公室（下称“网信办”）及相关中国数据保护和网络安全监管机构也陆续发布了一系列的规章、国家标准和指南等文件。网信办于2021年11月14日发布了《网络数据安全管理条例（征求意见稿）》（下称《网数条例（征求意见稿）》），设专章对“数据跨境安全管理”作出具体规定，其正式稿也有望于今年出台；在部门规章层面，2022年9月1日施行的《数据出境安全评估办法》对哪些数据出境主体需要申报数据出境安全评估以及申报的要求作出了规定，与之配套出台的《数据出境安全评估申报指南（第一版）》 （下称《指南（第一版）》）对申报材料的具体要求作出了指引（具体内容请见《下篇：调查分析篇》“如何完成数据出境安全评估”部分）。网信办于2023年2月24日发布、将于2023年6月1日施行的《个人信息出境标准合同办法》（下称《标准合同办法》），对数据出境主体向境外提供个人信息时在何种条件下才应与境外接收方签订标准合同作出了规定，同时也提供了标准合同模板（具体内容请见《下篇：调查分析篇》“如何评估跨境传输相关法律文件完善程度”部分）。此外，全国信息安全标准化技术委员会（TC260）（下称“信安标委”）于2017年8月25日发 布了《信息安全技术数据出境安全评估指南（征求意见稿）》（下称《安全评估指南（征求意见稿）》），在网信办未发布《数据出境安全评估办法》前规范数据出境安全评估流程、评估要点、评估方法等内容。同时信安标委在《个人信息跨境处理活动安全认证规范》（TC260-PG-20222A）的基础上于2022年12月16日发布了更新版本《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》（下称《认证规范V2.0》）。该认证规范旨在明确该认证机制的适用情况、专业机构认证的依据以及通过认证需要遵守的规则。 虽然上述法规、办法、标准中尚有个别未最终发布或生效，但这一系列文件为中国监管机构（如网信办、中国证监会）在审查数据跨境传输活动和境外上市企业时提供了参考依据。由此可见，涉及跨境传输数据的企业正面临新一轮合规挑战—在没有形成统一规则、缺乏最终清晰指引的情况下，其需要花费时间成本、人力、物力不断完善多个业务线或部门的工作流程、调整现有的全球数据战略规划、创建新的数据存储解决方案并修改或起草相关制度及合同文本等。 二、哪些行为属于数据出境？ 网信办于2022年8月31日发布的《指南（第一版）》第一部分“适用范围”中对属于“数据出境”的行为做出了描述，将数据跨境传输的场景归纳为三种行为： 1.数据处理者将在境内运营中收集和产生的数据传输、存储至境外； 2.数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；及 3.网信办规定的其他数据出境行为。 （具体内容请见《下篇：调查分析篇》“如何准确识别数据跨境传输场景”部分） 三、哪些情况下需要开展数据出境安全评估？ 根据《数据出境安全评估办法》第四条，有下列情形之一的，应当申报数据出境安全评估：1.数据处理者向境外提供重要数据； 2.关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息； 3.自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信 息； 4.国家网信部门规定的其他需要申报数据出境安全评估的情形。 （具体应如何判断请见《下篇：调查分析篇》“如何确认采取哪种出境安全保障机制”部分） 四、什么数据是重要数据？现阶段识别重要数据的参考依据有哪些？ 《数据安全法》首先提出了建立国家安全观以及数据安全制度体系，要求国家数据安全工作协调机制统筹协调制定国家重要数据目录，加强对重要数据的保护。因此，“什么是重要数据”以及“如何识别重要数据”成为影响当前国家数据安全工作进展的重大议题。《数据出境安全评估办法》第十九条也对重要数据进行了定义，即重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。 信安标委于2022年1月13日公布了调整后的《信息安全技术重要数据识别指南（征求意见稿）》。2022年4月26日，曾有专家在公众号发布《信息安全技术重要数据识别规则（征求意见稿）》（下称《重要数据识别规则（征求意见稿）》），作为《信息安全技术重要数据识别指南（征求意见稿）》的最新过程稿，其划分了重要数据的定义范围，规定重要数据是指“特定领域、特定群体、特定区域或达到一定精度和规模的数据，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全”。并且，《信息安全技术重要数据识别规则（征求意见稿）》指明识别重要数据的基本原则、明确重要数据的识别因素等，不仅为各行业、地区、部门制定本行业、本地区、本部门的重要数据具体目录提供参考，也为企业识别其自身掌握的重要数据提供实践指引，从而进一步为国家重要数据安全保护工作提供支撑。 工业和信息化部（下称“工信部”）也于去年底开始开展工业领域数据安全管理试点，其中要求试点企业按照《工业数据分类分级指南（试行）》《工业领域重要数据和核心数据识别规则（草案）》开展数据分类分级，制定重要数据清单，并向主管部门报备。 （关于如何识别与界定重要数据具体内容请见《下篇：调查分析篇》“如何准确识别跨境传输数据的类型”部分） 五、如何识别关键信息基础设施及其运营者？如何针对相关数据进行评估？ （一）识别关键信息基础设施（下称“CII”）和关键信息基础设施的运营者（下称“CIIO”）的法律依据有哪些？ 根据目前的立法现状，关于识别和认定CII和CIIO方面，企业可以综合参考《网络安全法》、由国务院发布并于2021年9月1日施行的《关键信息基础设施安全保护条例》（下称《保护条例》）、公安部于2020年发布的《贯 彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（下称《指导意见》）、网信办网络安全协调局于2016年6月公布的《国家网络安全检查操作指南》，以及2020年8月发布的国家标准《信息安全技术关键信息基础设施边界确定方法（征求意见稿）》（下称《CII边界确定方法》）。 （二）判断关键信息基础设施的运营者的思路及方式是什么？一般而言，通过以下三个步骤识别CIIO： 1.判断所涉业务是否涉及重要行业和领域 根据《网络安全法》第三十一条，CII所涉的重点行业和领域包括：公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的行业和领域。《保护条例》第二条则在《网络安全法》的基础上进一步补充，提出CII范围包括：“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。” 此外，根据公安部发布的《指导意见》，“基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象”有可能会被纳入CII。 因此，不难看出，国家针对CII所涉行业和领域的划分采用的是非穷尽列举式抽象定义，并以“视具体情况认定重点行业和领域”的情形留有余地。 2.识别关键业务及具体关键信息基础设施 在初步确认所涉业务可能会被认定为属于上述重要行业和领域之后，企业可以依据《CII边界确定方法》进一步评估其是否存在“一旦遭到破坏或者丧失功能，会严重危害国家安全、经济安全、社会稳定、公众健康和安全的”、并且依赖信息化运行的业务，来识别、筛选关键业务。即当一个企业的属性落入到第（1）点所列法规要求的CII所涉及的重点行业时，也不是该企业中的所有信息系统都是CII的范围。只有所列行业中的相关企业其高度支撑信息化运行且该系统的运行如果遭到破坏或者功能丧失有严重危害国家安全、经济安全、社会稳定、公众健康和安全后果的才有可能被纳入CII的范围。 在初步判断后，企业可以参考《保护条例》第九条来进一步梳理企业中“对本行业、本领域关键核心业务”“重要的”“一旦遭到破坏、丧失功能或者数据泄露对国家安全、社会稳定带来危害”的网络设施、信息系统；而该网络设施、信息系统则极大可能会被认定为CII。 3.明确CIIO 顺接上述第（2）点，需要进一步明确的是，支撑同一关键业务的CII可能属于一个运营者，也可能分属于多个运营者。因此，在识别出关键业务和CII之后，应当根据关键业务对信息化的依赖程度和依赖关系进行系统评估，梳理支撑同一关键业务的CII分布和运营情况，以明确对应到具体的CIIO。 需要提醒的是，从《网络安全审查办法》《指导意见》到《保护条例》，均明确了CII及CIIO的认定工作由各自行业的主管部门负责，所以企业是否属于我国认定的CIIO主要取决于主管机构的判定和通知。同时，考虑到CII的定义以及范围均