2023年数据出境合规年鉴.docx

目录451、法律规定81.1 网络安全法、数据安全法81.2 数据出境安全评估办法91.3 网络安全标准实践指南一个人信息跨境处理活动安全认证规范9L4个人信息出境标准合同办法102、指南规则112.1 数据出境的路径112.2 数据出境安全评估申报指南（第一版）（摘引）122.3 重点省（直辖市）基于标准合同签署和备案的指南（概要）172.4 个人信息保护认证实施规则（摘引）182.5 个人信息出境标准合同备案指南（第一版）（摘引）203、出境现状263.1 已经通过评估情况263.2 已经通过备案的情况344、合规要求与示范364.1 指南文件的一般性规范整理364.2 如何确定适用评估或备案364.3 如何认定数据出境行为（活动）374.4 如何识别数据处理者（境内）374.5 如何确定境外数据接收方384.6 如何理解数据出境方式的公网和专线394.7 出境链路描述示范（含云）404.8 确定数据安全负责人的注意事项（境内和境外）414.9 出境合同与业务主合同关系及其他注意事项414.10 附加考虑：不同行业的重要数据识别与安全进展424.11 附加考虑：应当由哪方描述境外数据安全法律政策环境432023公安企联”大中华区版权M，65、数据安全保障能力4451"攵455.2 x1P彳465.3 使用475.4 加工485.5 传输485.6 提供495.7 共享505.8 册IJ除516、有效的资质认证526.1 网络安全等级保护526.2 ISO27001526.3 ISO270175353536.4 BCR6.5 PIP-CB1、法律规定中国数据出境的法律依据主要由网络安全法数据安全法个人信息保护法等基本法律，数据出境安全评估办法个人信息出境标准合同办法（含配套标准合同）、网络安全标准实践指南一个人信息跨境处理活动安全认证规范等多位阶的法规、规范性法律文件构成。1.1 网络安全法、数据安全法2021年9月1日起施行的数据安全法代表了中国数字安全领域法律政策的新努力，特别是数据分类分级保护制度、重要数据目录管理等都将成为监管和执法的新方向，也成为数字行业密切关注的新焦点。围绕数据安全法，目前中国正在构造相应的配套制度体系，包括政务数据安全与开放、数据安全审查、数字交易中介规则等，促进数字经济的安全、规范发展。对于数据出境评估制度，数据安全法第三十一条明确：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用中华人民共和国网络安全法的规定1；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定”。这一对“重要数据”的规定，与个人信息保护法第三十八条对“个人信息”规定的：“个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；U）按照国家网信部门的规定经专业机构进行个人信息保护认证；（）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；（三）法律、行政法规或者国家网信部门规定的其他条件”共同构成了数据出境监管的基本法律来源。1网络安全法第三十七条规定：关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。*2023盟大中国版权所仃81.2 数据出境安全评估办法2022年5月，作为上述基本法律重要配套制度的数据出境安全评估办法（以下简称“办法”）通过，自2022年9月1日起施行。该办法旨在落实网络安全法数据安全法和个人信息保护法的出境监管要求，规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动。按照办法，数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息，在触发相应条件时需要进行法定安全评估。数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合，防范数据出境安全风险，保障数据依法有序自由流动，特别是（1）对重要数据明确“数据处理者向境外提供重要数据，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估，”形成监管闭环；（2）规定两种量级的个人信息出境适用安全评估做出规定，设定了对个人信息适用（最严格的）评估监管时的“上限”标尺。1.3 网络安全标准实践指南一个人信息跨境处理活动安全认证规范2022年6月，全国信息安全标准化技术委员会发布网络安全标准实践指南一个人信息跨境处理活动安全认证规范（12月发布2.0版），规定了个人信息的两种出境场景：（1）跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动；Q）个人信息保护法第三条第二款2适用的个人信息处理活动，正式回应了个人信息保护法规定的“按照国家网信部门的规定经专业机构进行个人信息保护认证”的出境条件。该规范和更早发布的GB/T35273信息安全技术个人信息安全规范，20222个人信息保护法第三条第二款规定：在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用本法：（一）以向境内自然人提供产品或者服务为目的：U）分析、评估境内自然人的行为；（）法律、行政法规规定的其他情形。V2.0规范对此略有调整，但整体上适用范围等同。年11月标准（工作文件）层面的个人信息保护认证实施规则信息安全技术个人信息跨境传输认证要求（至本报告发布日，为征求意见稿）等，共同完成了个人信息出境安全认证路径的监管规范要求。1.4 个人信息出境标准合同办法2023年6月个人信息出境标准合同办法正式发布，规定了个人信息出境监管的量化“下限”：个人信息处理者通过订立标准合同的方式向境外提供个人信息的，应当同时符合下列情形：（一）非关键信息基础设施运营者；U）处理个人信息不满100万人的；）自上年1月1日起累计向境外提供个人信息不满10万人的；（B）自上年1月1日起累计向境外提供敏感个人信息不满1万人的。与之配套的标准合同和备案制度也被广泛认为是中国版个人信息出境标准合同（SCC）。至此可以认为，数据出境安全评估办法个人信息跨境处理活动安全认证规范和个人信息出境标准合同在具有可操作性的规范性法律文件层面一并完成了中国数据出境监管规则体系的构建。2023年9月，为对上下限之外的情形做出进一步澄清，国家网信办发布了规范和促进数据跨境流动规定（征求意见稿），明确了无需适用三种出境路径（不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证，但一般不免除需征得个人主体同意的前提条件）的情况：（1）国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境，不包含个人信息或者重要数据；（2）不是在境内收集产生的个人信息向境外提供；G）为订立、履行个人作为一方当事人的合同所必需，如跨境购物3、跨境汇款、机票酒店预订、签证办理等，必须向境外提供个人信息的；（4）按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理，必须向境外提供内部员工个人信息；（5）紧急情况下为保护自然人的生命健康和财产安全等；（6）预计一年内向境外提供不满1万人个人信息。尽管有解读认为是对上述规定意味着出境监管的放3例如目前对软硬件在线激活方式中，头部企业已经大量调整了用户条款和隐私政策：用户点击同意，即完成数据出境，而无需再履行标准合同、认证或评估程序，并不再履行本地化存储等义务。2023A安个联加大；化又版权初仃10松，但本质上，并未超出个人信息保护法第十三条规定的范围，因此本报告更倾向于认为属于法律规定的澄清而非重大调整。2、指南规则1.1 数据出境的路径如上所述，中国数据出境规则实际上构筑了三种不同的路径（汇总如表一所示），且均以有相对完备的规范性法律文件进行界定和约束。实务中，为了指导企业识别自身具体数据情形，规范出境合规动作，提高监管效能，国家网信办进一步通过各个层面制定了更为详细的指引文件。数据出境路径申报数据出境安全评估通过个人信息保护认证订立个人信息出境标准合同适用情形数据处理者向境外提供数个人信息处理者开展个据，有下列情形之一的，人信息跨境处理活动，应当通过所在地省级网信包括以下主体：部门向国家网信部门申报（）跨国公司或者同数据出境安全评估：一经济、事业实体下属（一）数据处理者向境外子公司或关联公司；提供重要数据；（二）个人信息保护（二）关键信息基础设施法第三条第二款规定运营者和处理100万人以的境外个人信息处理者上个人信息的数据处理者（即在中国境外处理中向境外提供个人信息；华人民共和国境内自然人个人信息以分析、评（三）自上年1月1日起*估境内自然人的行为的累计向境外提供10万人个个人信息处理者通过订立标准合同的方式向境外提供个人信息的，应当同时符合下列情形：（一）非关键信息基础设施运营者；（二）处理个人信息不满100万人的；（三）自上年1月1日起累计向境外提供个人信息不满10万人的；（四）自上年1月1日起累计向境外提供敏感个人信息不满1万人的。法律、行政法规或者国家网信部门人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；（四）国家网信部门规定的其他需要申报数据出境安全评估的情形。活动）另有规定的，从其规定。个人信息处理者不得采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。数据类型个人信息/重要数据个人信息个人信息有效期2年3年依合同约定法律依据数据出境安全评估办法数据出境安全评估申报指南个人信息保护认证实施规则个人信息跨境处理活动安全认证规范V2.O个人信息出境标准合同备案指南（第一版）（表一）本报告对主要的指引文件内容做部分摘录分析，详细原文可见报告末尾援引链接或进一步在网络上检索。1.2 数据出境安全评估申报指南（第一版）嫡引）2022年9月，国家网信办（包括主要的省级网信办）陆续出台了配合数据出境安全评估办法的指南文件二、数据出境安全评估申报指南（第一版）（“指南”）。指南文件对评估路径的适用范围、申报方式、流程、申报文件体系、解答咨询联系方式等进行了完整规范，成为企业可参照的模板、手册式指导。大部分触发评估条件的企业均有参考或按照指南进行申报准备。一、适用范围数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信办向国家网信办申报数据出境安全评估：数据处理者向境外提