哪些數據受到出境監管？企業數據出境有哪些誤區？_風聞

走出去智庫觀察

9月1日，《數據出境安全評估管理辦法》（《辦法》）正式實施。《辦法》明確了數據出境安全評估的目的、原則、範圍、程序和監督機制等具體規定，對保護我國國家安全、公共利益、個人合法利益和促進數字經濟發展具有重要的里程碑意義。

走出去智庫(CGGT)特約法律專家、中倫律師事務所顧問賈申指出，根據《辦法》，企業需要在2023年3月1日前完成對已開展的數據出境活動的整改。在重要數據目錄正式出台之前，建議企業對標重要數據的定義、行業性法規和國家標準中的規定，初步識別自身是否可能被認定為掌握重要數據，判斷該等可能被認定為重要數據的數據是否存在出境情形。如有，則企業應及早開展該等數據出境的安全評估工作，甚至可積極主動與行業主管部門和網信部門進行溝通，尋求指導，而不應心存僥倖，導致企業在數據出境合規工作出現重大紕漏。

數據出境如何做好合規管理？今天，走出去智庫(CGGT)刊發中倫律師事務所李瑞、賈申、李夢涵的文章，供關注跨境數據合規管理的讀者參閲。

要 點

CGGT，CHINA GOING GLOBAL THINKTANK

1、由於重要數據的目錄尚待出台，目前，識別重要數據最主要的依據是現有的國家標準徵求意見稿以及部分行業的法規。

2、在實務中，對於自身掌握的部分信息，企業可能會因為無法單獨依據這部分信息識別、定位到特定自然人，而認為這些信息不屬於個人信息，這是一種常見的誤區。

3、在明確自身存在數據出境場景後，準確梳理和識別出境的數據類型以及對應的出境監管要求，是企業數據出境合規的關鍵步驟。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

文/李瑞、賈申**、李夢涵**

中倫律師事務所

數據跨境流動是近年來全球各法域的監管熱點問題，我國也陸續出台了《網絡安全法》《數據安全法》《個人信息保護法》《數據出境安全評估辦法》等法律法規，以及《網絡安全標準實踐指南——個人信息跨境處理活動安全認證規範》《數據出境安全評估申報指南（第一版）》《個人信息出境標準合同規定（徵求意見稿）》等規範性文件，中國數據出境監管機制初步搭建成形。時值《數據出境安全評估辦法》落地實施之際，我們結合相關法律法規要求和來自一線的實務觀察，推出“數據出境合規解讀”系列文章，詳細拆解我國的數據出境監管框架，以期為相關企業開展數據出境合規工作提供實務指引。

在本系列的第一篇文章中，我們解讀了企業實務中常見的數據出境場景（詳見：企業數據出境合規系列解讀（一）：盤點常見數據出境風險場景）。然而，並非所有數據的出境都會受到法律法規的限制。企業在明確自身存在數據出境場景後，下一步需要評估的就是相關數據的出境是否受到相關法律法規的限制。

2022年9月1日正式生效的《數據出境安全評估辦法》（“《辦法》”）中明確了重要數據和符合一定條件的個人信息的出境，需要向網信部門申請數據出境安全評估。因此，重要數據和個人信息，是兩類首當其衝的受制於出境監管的數據。但是，在中國數據出境監管機制的總體框架下，還有其他數據類型（如國家秘密、特定行業中的特定數據）可能受制於出境監管要求；在某些場景下（如司法協助），所有數據類型都會受制於出境監管要求。與此同時，也並非所有個人信息的出境都會受制於監管要求。

本文將聚焦數據出境的“客體”，針對受制於出境監管的數據類別，解讀如何識別相關數據，澄清實務中常見的誤區，以期為企業提供進一步的指引。

一、重要數據

重要數據監管是國家數據安全分類分級制度的核心。《數據出境安全評估辦法》細化和落實了《網絡安全法》和《數據安全法》中對於重要數據出境的監管要求，即重要數據原則上應存儲在中國境內，確需出境的，應當向國家網信部門申報出境安全評估。由於重要數據事關國家安全和公共利益，重要數據是我國數據出境監管機構最為關注的數據類型之一。

1. 重要數據的定義

對重要數據的定義和識別應放在數據分類分級體系的總體框架下進行。《數據安全法》第21條明確規定，根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數據實行分類分級保護，並提出有關部門將基於這一原則制定重要數據目錄。但是，《數據安全法》及相關法律並未給出重要數據的窮盡列舉性定義，相關部門的重要數據目錄也尚未出台。

目前，對於重要數據的定義主要參見國家標準《信息安全技術 重要數據識別規則（徵求意見稿）》（2022年3月16日版本）（“《重要數據識別規則》”）。其中提出重要數據的定義為“特定領域、特定羣體、特定區域或達到一定精度和規模的數據，一旦被泄露或篡改、損毀，可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全。”特別需要注意的是，重要數據並不包括國家秘密。

2. 重要數據的識別方法

由於重要數據的目錄尚待出台，目前，識別重要數據最主要的依據是現有的國家標準徵求意見稿以及部分行業的法規。在國家標準層面，《重要數據識別規則》第5條提出了19類識別重要數據因素，對於企業實務具有重要的參考意義。下面僅試舉3類作為示例：

·直接影響影響國家主權、政權安全、政治制度、意識形態安全，如用以實施社會動員的數據屬於重要數據；

·直接影響領土安全和國家統一，或反映國家自然資源基礎情況，如未公開的領陸、領水、領空數據等屬於重要數據；

·可被其他國家或組織利用發起對我國的軍事打擊，或反映我國戰略儲備、應急動員、作戰等能力，如滿足一定精度指標的地理信息或戰略物資產能、儲備量信息等屬於重要數據。

此外，對於部分特別的行業而言，主管部門制定的法規可成為識別本行業重要數據的有益參考。例如，《汽車數據安全管理若干規定（試行）》中明確列舉的重要數據包括如下幾類，是目前的行業立法中可見的對重要數據最為直接、明確的描述：

軍事管理區、國防科工單位以及縣級以上黨政機關等重要敏感區域的地理信息、人員流量、車輛流量等數據；

·車輛流量、物流等反映經濟運行情況的數據；

·汽車充電網的運行數據；

·包含人臉信息、車牌信息等的車外視頻、圖像數據；

·涉及個人信息主體超過10萬人的個人信息。

3. 常見誤區——重要數據目錄暫未出台，企業自身無法認定，就無需自主識別重要數據

重要數據與“關鍵信息基礎設施”不同，不是由主管部門統一進行認定。而如前所述，由於重要數據目錄尚待出台，目前很多企業對於如何識別重要數據存在諸多困惑。在實務中最常見的一種誤區是，部分企業認為由於上述情況的存在，暫時無需識別自身是否存在重要數據，或者可以先被動等待重要數據目錄出台，再啓動重要數據的識別和合規工作。這種做法將給企業的數據出境合規工作帶來很大的困擾。

根據《辦法》，企業需要在2023年3月1日前完成對已開展的數據出境活動的整改。在重要數據目錄正式出台之前，我們建議企業對標上述重要數據的定義、行業性法規和國家標準中的規定，初步識別自身是否可能被認定為掌握重要數據，再結合企業數據出境合規系列解讀（一）：盤點常見數據出境風險場景一文，判斷該等可能被認定為重要數據的數據是否存在出境情形。如有，則企業應及早開展該等數據出境的安全評估工作，甚至可積極主動與行業主管部門和網信部門進行溝通，尋求指導，而不應心存僥倖，導致企業在數據出境合規工作出現重大紕漏。

二、個人信息

根據《個人信息保護法》，個人信息出境的監管機制為“1+2”體系，即：

·“1”：處理個人信息達到國家網信部門規定數量的個人信息處理者向境外提供個人信息，應當通過國家網信部門組織的安全評估。《辦法》明確，落入本項要求的個人信息出境的情形包括：（1）關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息；（2）自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息。

·“2”：其他情況下的個人信息出境，應當經專業機構進行個人信息保護認證；或者與境外接收方訂立國家網信部門發佈的標準合同，約定雙方的權利義務。目前，全國信息安全標準化技術委員會於2022年6月24日發佈的《網絡安全標準實踐指南——個人信息跨境處理活動安全認證規範》和國家網信辦於2022年6月30日發佈的《個人信息出境標準合同規定（徵求意見稿）》分別規定了個人信息保護認證和制定個人信息出境標準合同的具體要求。

需説明的是，根據《個人信息保護法》的規定，自然人因個人或者家庭事務處理個人信息而發生出境的，不落入《個人信息保護法》規制範圍。

下文不在此詳細展開個人信息出境的具體方法，而將着眼於個人信息的定義、識別方式和常見的實務誤區。

1. 個人信息的定義

個人信息的定義，清晰見於《個人信息保護法》第四條，即“以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理後的信息。”

個人信息中最特別的類型是敏感個人信息，即“一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬户、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。”對於敏感個人信息的保護應高於一般個人信息，也受制於更嚴格的出境監管（例如，觸發出境安全評估的敏感個人信息量級遠遠低於一般個人信息）。

2. 個人信息的識別方法

國家標準GB/T 35273-2020《信息安全技術 個人信息安全規範》中明確，判定某項信息是否屬於個人信息，有“識別/可識別”和“關聯”兩條路徑，符合二者之一的信息均應判定為個人信息：

·識別/可識別：即從信息到個人，由信息本身的特殊性識別出特定自然人，個人信息應有助於識別出特定個人；

·關聯：從個人到信息，如已知特定自然人，由該自然人在其活動中產生的信息（如個人位置信息、個人通話記錄、個人瀏覽記錄等）即為個人信息。

特別要注意的是，在某些情況下，大量的個人信息還可能構成重要數據而受制於出境安全評估要求。

3. 常見誤區——企業自身無法依據掌握的信息定位到特定個人，則該信息就不屬於個人信息

在實務中，對於自身掌握的部分信息，企業可能會因為無法單獨依據這部分信息識別、定位到特定自然人，而認為這些信息不屬於個人信息，這是一種常見的誤區。例如，某些企業掌握不具名的醫療信息、或在不知曉司機身份的情況下僅掌握某一車輛的行程軌跡。

就個人信息的“識別”和“關聯”兩條路徑而言：首先，“識別”不侷限於企業自身進行識別，如原信息和其他輔助信息相結合，就能夠定位到特定自然人，無論企業自身是否掌握該等輔助信息，均不影響原信息被認定為個人信息；其次，從“關聯”的方法來看，儘管企業無法單獨依靠原信息識別到特定個人，但其是由自然人在活動中產生的信息，與自然人相關聯，也應認定為個人信息。

此外，國家標準GB/T 35273-2020《信息安全技術 個人信息安全規範》對於個人信息及敏感個人信息字段進行了詳細列舉，在實踐中判定個人信息及/或敏感個人信息時，企業還可基於國家標準，比照自身掌握的可能落入個人信息以及敏感個人信息的字段進行判斷。需要説明的是，由於商務實踐進展較快，如果出現了某一類未記載於上述國家標準、但符合個人信息及/或敏感個人信息定義和識別原則的字段，企業仍應將其作為個人信息及/或敏感個人信息來處理。

三、其他受到出境管制的特定場景和特定數據

1. 第一種情形：司法協助

《數據安全法》第三十六條和《個人信息保護法》第四十一條為我國提供了應對外國機構長臂管轄的封阻法令，所有向外國司法或者執法機構提供境內存儲的包括個人信息在內的數據的行為，應當經國內主管機關批准。

需要強調的是，在司法協助這種特殊的場景下，受到出境限制的數據為存儲於境內的所有類型的數據，而不侷限於重要數據或個人信息。

2. 第二種情形：國家秘密

根據《保守國家秘密法》，任何組織和個人不得郵寄、託運國家秘密載體出境，未經有關主管部門批准，不得攜帶、傳遞國家秘密載體出境。因此，國家秘密也是受到嚴格出境限制的一種數據類型。

首先，國家秘密的識別應遵循《保守國家秘密法》中對於國家秘密的原則性規定，即：

·國家事務重大決策中的秘密事項；

·國防建設和武裝力量活動中的秘密事項；

·外交和外事活動中的秘密事項以及對外承擔保密義務的秘密事項；

·國民經濟和社會發展中的秘密事項；

·科學技術中的秘密事項；

·維護國家安全活動和追查刑事犯罪中的秘密事項；

·經國家保密行政管理部門確定的其他秘密事項。

其次，根據《保守國家秘密法》，國家秘密載體和屬於國家秘密的設備和產品，應當做出國家秘密標誌，因此，在實踐中還可通過國家秘密標誌進行識別。

最後，除《保守國家秘密法》以外，各個行業也有關於國家秘密的特殊規定，例如《石油、石化工業國家秘密及其密級具體範圍的規定》《電力工業工作中國家秘密及其密級具體範圍的規定》等，也應作為企業識別國家秘密的重要參考規範。

3. 第三種情形：受到特殊行業出境監管要求的數據

一些特殊行業對於數據出境也有專門的要求。對於特殊行業的出境限制數據，除根據相關行業監管要求履行相關義務以外，在出境前也需判斷是否會觸發網信辦數據出境安全評估要求；如果需要，則除非網信辦與相關行業主管機構達成一致協議並做出釋明，否則企業需要同時滿足特殊行業監管要求及網信辦數據出境安全評估要求方可將數據傳輸出境，而不可想當然認為滿足其一即可。

以下是一些典型的存在特殊行業監管要求的數據類型：

（1）人類遺傳資源

人類遺傳資源包括人類遺傳資源材料和人類遺傳資源信息，前者是指含有人體基因組、基因等遺傳物質的器官、組織、細胞等遺傳材料；後者是指利用人類遺傳資源材料產生的數據等信息資料。根據《中華人民共和國人類遺傳資源管理條例》以及原國家衞生計生委於2014年5月印發的《人口健康信息管理辦法（試行）》，將我國人類遺傳資源材料運送、郵寄、攜帶出境的，應當取得國務院科學技術行政部門出具的人類遺傳資源材料出境證明，並憑人類遺傳資源材料出境證明辦理海關手續。

（2）網約車業務採集的個人信息和生成的業務數據

根據《網絡預約出租汽車經營服務管理暫行辦法》，網約車平台公司所採集的個人信息和生成的業務數據，應當在中國內地存儲和使用，保存期限不少於2年，除法律法規另有規定外，個人信息和業務數據不得外流。

（3）其他部分行業的數據本地化要求

部分行業還設置了對服務器和數據存儲設備的本地化要求。例如，根據《地圖管理條例》，互聯網地圖服務單位應當將存放地圖數據的服務器設在境內；根據《網絡出版服務管理規定》，從事網絡出版服務所需的必要的技術設備相關服務器和存儲設備必須存放在境內。

綜上所述，在明確自身存在數據出境場景後，準確梳理和識別出境的數據類型以及對應的出境監管要求，是企業數據出境合規的關鍵步驟。希望本文對受制於出境限制要求的數據類型及實踐中的常見誤區進行的梳理，對企業有所幫助。在本系列的下一篇文章中，我們將貼合企業實務，針對企業如何滿足數據出境監管要求進行拆解與分析。

來源：中倫視界