國家互聯(lián)網(wǎng)信息辦公室持續(xù)加強數(shù)據(jù)出境安全管理政策宣貫，指導和幫助數(shù)據(jù)處理者高效合規(guī)開展數(shù)據(jù)出境活動。經(jīng)對近期收到的咨詢問題進行研究，現(xiàn)將一些有代表性的問題和答復公布如下。

1.如何理解中國數(shù)據(jù)出境安全管理制度設計？

答：隨著數(shù)據(jù)跨境流動活動的日益頻繁，世界上許多國家和地區(qū)從本國、本地區(qū)實際出發(fā)，對數(shù)據(jù)跨境流動安全管理作了制度性探索，制定出臺了一系列法律法規(guī)和規(guī)則標準。中國建立數(shù)據(jù)出境安全管理制度，是法律作出的規(guī)定?！毒W(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》在法律層面對數(shù)據(jù)出境活動作出明確規(guī)定。相關規(guī)定不是針對所有數(shù)據(jù)，只限于重要數(shù)據(jù)和個人信息。對于確需出境的重要數(shù)據(jù)，法律作了制度上的安排，經(jīng)數(shù)據(jù)出境安全評估認為不會危害國家安全和社會公共利益的，可以出境。對于個人信息出境，法律規(guī)定了數(shù)據(jù)出境安全評估、個人信息保護認證、個人信息出境標準合同等多種途徑?？偟膩砜矗袊申P于數(shù)據(jù)出境管理的規(guī)定，旨在保證在華企業(yè)因業(yè)務需要的數(shù)據(jù)跨境安全、自由流動，同時對涉及國家安全和公共政策目標的個人信息和重要數(shù)據(jù)跨境流動進行必要的監(jiān)管。對于不涉及個人信息或者重要數(shù)據(jù)的一般數(shù)據(jù)可以跨境自由流動，重要數(shù)據(jù)和達到規(guī)定數(shù)量的個人信息通過數(shù)據(jù)出境安全評估后可以依法跨境流動。

落實法律規(guī)定，國家互聯(lián)網(wǎng)信息辦公室先后出臺實施《數(shù)據(jù)出境安全評估辦法》《個人信息出境標準合同辦法》《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》，發(fā)布《關于實施個人信息保護認證的公告》及配套認證規(guī)則，明確數(shù)據(jù)出境安全評估、個人信息出境標準合同、個人信息保護認證等制度的實施路徑，會同各地、各部門依法有序開展數(shù)據(jù)出境安全管理工作。

2.如何保證不同自貿(mào)試驗區(qū)制定數(shù)據(jù)出境負面清單標準的一致性？

答：《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》明確，自貿(mào)試驗區(qū)可在國家數(shù)據(jù)分類分級保護制度框架下自行制定數(shù)據(jù)出境負面清單，經(jīng)省級網(wǎng)絡安全和信息化委員會批準，報國家網(wǎng)信部門、國家數(shù)據(jù)管理部門備案后實施，負面清單外數(shù)據(jù)出境將免予申報安全評估、訂立標準合同、通過保護認證，是促進和便利自貿(mào)試驗區(qū)數(shù)據(jù)跨境流動的一項創(chuàng)新舉措。負面清單制定過程中將充分征求相關主管部門意見，負面清單備案時國家互聯(lián)網(wǎng)信息辦公室會同國家數(shù)據(jù)局對清單進行審核，針對同一領域，如果已經(jīng)有自貿(mào)試驗區(qū)發(fā)布負面清單，其余自貿(mào)試驗區(qū)可以參照執(zhí)行，不再重復制定。上述工作確保負面清單符合國家數(shù)據(jù)分類分級保護制度要求，保證不同自貿(mào)試驗區(qū)負面清單標準的一致性。

3.自貿(mào)試驗區(qū)數(shù)據(jù)出境負面清單適用范圍如何覆蓋更多領域？

答：落實《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》，國家互聯(lián)網(wǎng)信息辦公室、國家數(shù)據(jù)局先后完成天津、北京、海南、上海、浙江等地自貿(mào)試驗區(qū)（港）數(shù)據(jù)出境負面清單備案，對汽車、醫(yī)藥、零售、民航、再保險、深海業(yè)、種業(yè)等17個領域數(shù)據(jù)跨境流動發(fā)揮促進作用。國家互聯(lián)網(wǎng)信息辦公室會同有關部門正在指導各自貿(mào)試驗區(qū)結合各自產(chǎn)業(yè)發(fā)展特點制定數(shù)據(jù)出境負面清單，隨著更多負面清單的發(fā)布實施，覆蓋的領域會越來越寬。關于自貿(mào)試驗區(qū)數(shù)據(jù)出境負面清單發(fā)布實施情況，可以關注國家互聯(lián)網(wǎng)信息辦公室官網(wǎng)（www.cac.gov.cn）和相關地方自貿(mào)試驗區(qū)網(wǎng)站進行了解。

4.如何理解和判斷個人信息出境必要性？

答：《個人信息保護法》第六條規(guī)定，“處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式。收集個人信息，應當限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息”；第十九條規(guī)定，“除法律、行政法規(guī)另有規(guī)定外，個人信息的保存期限應當為實現(xiàn)處理目的所必要的最短時間”。

根據(jù)上述法律規(guī)定，判斷“必要性”的考量因素包括與處理目的直接相關、對個人權益影響最小、限于實現(xiàn)處理目的的最小范圍、保存期限為實現(xiàn)處理目的所必要的最短時間等4方面。落實法律規(guī)定，國家互聯(lián)網(wǎng)信息辦公室在開展數(shù)據(jù)出境安全評估工作中，將充分考量數(shù)據(jù)處理者申報事項的業(yè)務場景和實際需求，對個人信息出境必要性進行評估，評估要點主要包括出境活動本身的必要性、涉及自然人規(guī)模的必要性以及出境個人信息數(shù)據(jù)項范圍的必要性等。

數(shù)據(jù)出境涉及眾多行業(yè)領域，國家互聯(lián)網(wǎng)信息辦公室會同相關行業(yè)主管部門，逐步細化明確具體行業(yè)領域的數(shù)據(jù)出境業(yè)務場景以及個人信息出境必要范圍，為企業(yè)機構數(shù)據(jù)出境提供更為細化的政策指引。

5.如何識別重要數(shù)據(jù)？

答：根據(jù)《網(wǎng)絡數(shù)據(jù)安全管理條例》第六十二條規(guī)定，重要數(shù)據(jù)是指特定領域、特定群體、特定區(qū)域或者達到一定精度和規(guī)模，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能直接危害國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全的數(shù)據(jù)。《數(shù)據(jù)安全技術 數(shù)據(jù)分類分級規(guī)則》（GB/T 43697-2024）附錄G《重要數(shù)據(jù)識別指南》提出了重要數(shù)據(jù)識別方法。數(shù)據(jù)處理者可依據(jù)相關法律法規(guī)、技術標準等識別申報重要數(shù)據(jù)。

6.重要數(shù)據(jù)是否意味著不能出境？

答：對于確需出境的重要數(shù)據(jù)，法律作了制度上的安排，經(jīng)數(shù)據(jù)出境安全評估認為不會危害國家安全和社會公共利益的，可以出境。截至2025年3月，國家互聯(lián)網(wǎng)信息辦公室共完成數(shù)據(jù)出境安全評估項目298個，其中，44個申報項目涉及重要數(shù)據(jù)，評估結果為不通過的7個，不通過率為15.9%；44個申報項目涉及509個重要數(shù)據(jù)項，評估后準予出境的重要數(shù)據(jù)項為325個，占申報數(shù)據(jù)項總數(shù)的63.9%。

特別說明的是，《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》明確，數(shù)據(jù)處理者按照相關規(guī)定申報重要數(shù)據(jù)，未被相關部門、地區(qū)告知或者公開發(fā)布為重要數(shù)據(jù)的，數(shù)據(jù)處理者不需要作為重要數(shù)據(jù)申報數(shù)據(jù)出境安全評估。

7.行業(yè)技術標準制定過程中如何發(fā)揮外資企業(yè)的作用？

答：國家互聯(lián)網(wǎng)信息辦公室指導有關專業(yè)機構在制定行業(yè)技術標準過程中，高度重視并積極鼓勵中外企業(yè)等各方參與，確保標準制定工作充分考慮國內(nèi)外相關方需求。一是參與機制公開透明。國家互聯(lián)網(wǎng)信息辦公室指導全國網(wǎng)絡安全標準化技術委員會堅持開放合作、廣泛參與的原則，面向社會長期公開征集工作組成員單位。委員及下設工作組成員覆蓋了一批有代表性的外資企業(yè)，其擁有和國內(nèi)企業(yè)機構在標準參與、研討方面平等的權利義務，作為工作組成員單位的外資企業(yè)能夠全程參與，可在標準研制各環(huán)節(jié)充分提出意見和建議。二是標準工作程序公開透明。通過面向社會公開征集標準需求和標準參編單位、就標準草案面向社會公開征求意見等方式，確保各相關方公平公正參與標準制定。

8.集團公司跨境傳輸個人信息有無更加便利的渠道？

答：一方面，境內(nèi)多家子公司如同屬一家集團公司且數(shù)據(jù)出境業(yè)務場景相似，可以由集團公司作為申報主體合并申報數(shù)據(jù)出境安全評估或者備案個人信息出境標準合同，提高數(shù)據(jù)出境工作效率。另一方面，國家互聯(lián)網(wǎng)信息辦公室正在推動出臺個人信息出境保護認證相關管理辦法，指導第三方專業(yè)認證機構對個人信息出境活動進行認證，境內(nèi)企業(yè)和境外接收方任意一方通過認證，企業(yè)即可在認證范圍內(nèi)開展個人信息出境活動，對于通過認證的跨國集團，可在集團內(nèi)開展個人信息出境活動，無需分別與各國子公司單獨簽訂個人信息出境標準合同。

9.申請延長數(shù)據(jù)出境安全評估結果有效期有無具體流程？

答：《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》將數(shù)據(jù)出境安全評估結果有效期由原來的2年延長至3年，同時明確有效期屆滿，需要繼續(xù)開展數(shù)據(jù)出境活動且未發(fā)生需要重新申報數(shù)據(jù)出境安全評估情形的，數(shù)據(jù)處理者可以在有效期屆滿前60個工作日內(nèi)通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門提出延長評估結果有效期申請，經(jīng)國家網(wǎng)信部門批準，可以延長評估結果有效期3年。目前，國家互聯(lián)網(wǎng)信息辦公室正在積極聽取各方意見，加快研究延長評估結果有效期的流程，計劃通過修訂發(fā)布相關政策文件的方式予以明確，為企業(yè)機構數(shù)據(jù)出境創(chuàng)造更為便利的條件。

來源：“網(wǎng)信中國”微信公眾號