【原】工业和信息化领域数据及出境安全评估相关办法的解读及合规建议

文/上海德禾翰通律师事务所

董红曼 夏思秋

目次

    

一、明确工业和信息化领域重要数据及核心数据的出境安全评估要求

二、工业和信息化领域数据的分类分级管理制度

三、数据出境安全评估申报

四、违规数据出境的法律责任

五、数据出境活动的三种情形

六、适用数据出境安全评估的场景

七、数据出境监管下的重要数据、核心数据

八、数据出境安全自评估重点事项

九、数据出境活动整体情况自评估说明

十、数据出境安全评估申报流程

十一、数据出境自我评估及持续监测

工业和信息化部于2022年12月13日发布的《工业和信息化领域数据安全管理办法（试行）》（以下称“管理办法”），将于2023年1月1日起施行。国家互联网信息办公室（“国家网信办”）7月7日发布的《数据出境安全评估办法》（以下称“评估办法“），8月31日发布的《数据出境安全评估申报指南（第一版）》（以下称“申报指南“）均已于2022年9月1日生效。

本文结合工业和信息化领域数据安全管理、数据出境安全评估及申报指南等相关法律法规进行解读，以期为企业数据出境管理提供合规建议和实务指引。

一、明确工业和信息化领域重要数据及核心数据的出境安全评估要求

管理办法明确定义了“工业和信息化领域数据”、“工业和信息化领域数据处理者”。

工业和信息化领域数据包括工业数据、电信数据和无线电数据。

针对工业和信息化领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据，法律、行政法规有境内存储要求的情形，规定应当在境内存储。非经工业和信息化部批准，工业和信息化领域数据处理者不得向外国工业、电信、无线电执法机构提供存储于中华人民共和国境内的工业和信息化领域数据。如若确需向境外提供的，应当依法依规进行数据出境安全评估^[1]。

二、工业和信息化领域数据的分类分级管理制度

管理办法明确数据分类分级管理制度，工作和信息化领域数据分为一般数据、重要数据和核心数据。同时明确由工业和信息化部组织负责制定工业和信息化领域数据分类分级、重要数据和核心数据识别认定、数据分级防护等标准规范，制定行业重要数据和核心数据具体目录；地方行业监管部负责确定、更新本地区重要数据和核心数据目录并上报工业和信息部；工业和信息化领域数据处理者负责将本单位重要数据和核心数据目录向本地区行业监管部门备案。

对于央企及其所属企业的情形，在涉及重要数据和核心数据目录备案、核心数据跨主体处理风险评估、风险信息上报、年度数据安全事件处置报告、重要数据和核心数据风险评估等工作，既应履行属地管理要求，还应全面梳理并汇总集团本部及所属企业的数据安全相关情况，并及时报送工业和信息化部。

三、数据出境安全评估申报

根据评估办法^[2]，数据处理者应当在2023年3月1日前完成2022年9月1日前已经开展的不符合规定的数据出境活动的整改。因此建议企业应及时梳理并审查对其此前及现在的数据出境活动，开展数据出境安全评估并尽早整改不合规情况。

数据处理者应当在数据出境活动发生前申报并通过数据出境安全评估。如需要与境外接收方签订合同等相关法律文件的，应当在该等法律文件签订之前申报数据出境安全评估。若签订在先申报在后的，建议明确以数据出境安全评估申报通过作为合同生效前提条件。

对于通过数据出境安全评估的结果有效期2年届满之后，仍需要继续开展数据出境活动的情形，数据处理者应当在有效期届满60个工作日前重新申报评估。

此外，在国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求，书面通知数据处理者终止数据出境活动的情况下，数据处理者要继续开展数据出境活动的，则应当按照要求整改，整改完成后重新申报评估。

四、违规数据出境的法律责任

依管理办法规定，行业监管部门有权按规定权限和程序对工业和信息化领域数据处理者进行约谈，并要求采取措施进行整改。针对违反管理办法的行为^[3]，行业监管部门可以根据情节严重程度给予没收违法所得、罚款、暂停业务、停业整顿、吊销业务许可证等行政处罚；构成犯罪的，依法追究刑事责任。

违反评估办法的行为，将依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规处理；构成犯罪的，依法追究刑事责任。若违反《中华人民共和国数据安全法》第三十一条规定，向境外提供重要数据的，由有关主管部门责令改正，给予警告，可以并处10-100万元罚款，对直接负责的主管人员和其他直接责任人员可以处1-10万元罚款；情节严重的，处100-1000万元罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处10-100万元罚款^[4]。

五、数据出境活动的三种情形

评估办法第二条规定，数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的情形应进行安全评估。属于数据出境行为的情形，如申报指南规定，包括：

（一）数据处理者将在境内运营中收集和产生的数据传输、 存储至境外。如境内的数据处理者通过传输、存储、上载、递送等动作，将其在境内运营中收集和产生的数据提供至境外，包括通过软件或硬件介质等方式，如电子邮件、U盘、移动硬盘、笔记本电脑等；

（二）数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出。如访问包含重要数据或个人信息的公开网页、境外主体在境外对存储于境内的数据进行访问、下载或调用；

（三）国家网信办规定的其他数据出境行为。

六、适用数据出境安全评估的场景

数据处理者需要审查其数据出境活动是否触发评估办法规定的数据安全评估申报，需要注意的是，如跨国企业或跨境商业活动中的日常工作的文件或数据跨境传输，包括电子邮件往来、境内/增外服务器或数据库信息的传输及调用。如前所述数据出境行为包括数据处理者将在境内运营中收集和产生的数据传输、存储至境外；以及数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出。

按评估办法规定，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估^[5]的情形，包括：

（一）数据处理者向境外提供重要数据；

（二）关键信息基础设施运营者CIIO和处理100万人以上个人信息的数据处理者向境外提供个人信息；

（三）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；

（四）国家网信部门规定的其他需要申报数据出境安全评估的情形。

七、数据出境监管下的重要数据、核心数据

关于重要数据的定义，评估办法中规定是指“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”。《信息安全技术 重要数据识别指南》中，重要数据（critical data）指“以电子方式存在的，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据“。需要注意的是，重要数据不包括国家秘密和个人信息。而基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。

识别重要数据的原则，包括聚集安全影响、突出保护重点、衔接既有规定、综合考虑风险、定量定性结合、动态识别复评等^[6]。如从聚集安全影响原则出发，从国家安全、经济运行、社会稳定、公共健康和安全等角度识别重要数据。

在描述重要数据时，除基本信息之外，应对以其重要性描述为重点，包括该等数据对国家安全、公共利益的影响，即重要数据之所以“重要”的理由；该等数据在保密性、完整性、可用性、真实性、准确性等方面可能面临的安全威胁；该等数据维持“重要性”的时间长度，时效过后便不再属于重要数据等。同时应对该等数据的数量、来源、用途、共享情况及保护情况予以说明。仅仅对组织自身而言重要或敏感的数据，例如企业内部管理相关数据，则不属于重要数据。

识别重要数据的考量因素^[7]，还包括反映国家战略储备、应急动员能力的情形，如战略物资产能、储备量属于重要数据；还包括反映群体健康生理状况、族群特征、遗传信息等的基础数据的情形，如人口普查资料、人类遗传资源信息、基因测序原始数据属于重要数据；包括其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据等。

管理办法中，以“根据数据遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益等造成的危害程度”作为工作和信息化领域数据的分级依据，分为一般数据、重要数据和核心数据。

工业和信息化领域重要数据，是指危害程度符合下列条件之一的数据：

（一）对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成威胁，影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域；

（二）对工业和信息化领域发展、生产、运行和经济利益等造成严重影响；

（三）造成重大数据安全事件或生产安全事故，对公共利益或者个人、组织合法权益造成严重影响，社会负面影响大；

（四）引发的级联效应明显，影响范围涉及多个行业、区域或者行业内多个企业，或者影响持续时间长，对行业发展、技术进步和产业生态等造成严重影响；

（五）经工业和信息化部评估确定的其他重要数据。

工业和信息化领域核心数据，是指危害程度符合下列条件之一的数据 ：

（一）对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成严重威胁，严重影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域；

（二）对工业和信息化领域及其重要骨干企业、关键信息基础设施、重要资源等造成重大影响；

（三）对工业生产运营、电信网络和互联网运行服务、无线电业务开展等造成重大损害，导致大范围停工停产、大面积无线电业务中断、大规模网络与服务瘫痪、大量业务处理能力丧失等；

（四）经工业和信息化部评估确定的其他核心数据。或可以理解为，向境外提供除了管理办法第九条规定的一般数据之外的其他工业和信息化领域数据，较大可能属于应当依法依规进行数据出境安全评估的重要数据、核心数据。

八、数据出境安全自评估重点事项

数据出境安全评估包括两步骤：先自行开展自评估，然后再提出申报，由网信部门进行数据出境安全评估。在向境外提供数据之前、在申报数据出境安全评估之前，数据处理者应事先开展数据出境风险自评估，逐项说明风险评估情况，重点说明评估发现的问题和风险隐患，以及所采取的整改措施、整改效果。

数据出境安全自评估报告中应当包括出境行为的合法性、境外接收方的义务、数据出境相关合同合规性及出境行为风险等要点。其中的六项重点评估事项^[8]分别为：

• 数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；
• 出境数据的规模、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；
• 境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全；
• 数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险，个人信息权益维护的渠道是否通畅等；
• 与境外接收方拟订立的数据出境相关合同等法律文件是否充分约定了数据安全保护责任义务；
• 其他可能影响数据出境安全的事项。

九、数据出境活动整体情况自评估说明

数据处理者提供的自评估报告应说明数据出境活动整体情况。即详细说明数据处理者的基本情况及其安全保障能力；描述数据出境涉及业务和系统的情况；写明拟出境数据的情况；描述境外接收方的情况,包括基本情况、处理数据的用途、方式、数据安全保障能力、所在国家或地区的数据保护环境等；描述数据出境法律文件及其约定的数据安全保护责任义务情况等。

还应说明拟出境数据情况、说明拟出境数据的数据处理者的安全保障能力情况。如说明数据出境及境外接收方处理数据的目的、范围、方式，及其合法性、正当性、必要性；说明出境数据的规模、范围、种类、敏感程度；拟出境数据在境内存储的系统平台、数据中心等情况，计划出境后存储的系统平台、数据中心等；数据出境后向境外其他接收方提供的情况。如说明数据安全管理能力，包括管理组织体系和制度建设情况、数据安全技术能力、数据安全保障措施有效性证明、遵守数据和网络安全相关法律法规的情况。

十、数据出境安全评估申报流程

数据处理者申报时应提交的材料^[9]，包括统一社会信用代码证件影印件、法定代表人身份证件影印件、经办人身份证件影印件、授权委托书、数据出境安全评估申报书、与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件影印件、数据出境风险自评估报告、其他相关证明材料。由国家网信办受理并根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估^[10]。

数据处理者通过所在地省级网信办申报数据出境安全评估。省级网信办在收到申报材料后5个工作日内完成申报材料的完备性查验。通过完备性查验的，省级网信办将申报材料上报国家网信办。国家网信办自收到上报申报材料之日起7个工作日内确定是否受理并书面通知。数据处理者如被告知补充或者更正申报材料，应当及时按照要求补充或者更正材料。无正当理由不补充或者更正申报材料的，安全评估将会终止。情况复杂的，数据处理者将被告知评估预计延长的时间。

评估完成后，数据处理者将收到评估结果通知书。对评估结果无异议的，数据处理者须按照数据出境安全管理相关法律法规和评估结果通知书的有关要求，规范相关数据出境活动。对评估结果有异议的，数据处理者可以在收到评估结果通知书15个工作日内向国家网信办申请复评，复评结果为最终结论。

十一、数据出境自我评估及持续监测

数据出境安全评估结果有效期为自评估结果出具之日起2年。数据处理者应当持续对其数据出境行为进行自我监测和审查管理，以避免或防范前述事项发生，或及时采取应对或弥补措施，必要时重新评估。

在有效期两年内出现以下情形之一的，按评估办法规定应当重新申报评估：

• 向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的，或者延长个人信息和重要数据境外保存期限的；
• 境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的；
• 出现影响出境数据安全的其他情形。

综上，企业作为数据处理者应结合自身业务情况，按规定对其数据跨境活动进行梳理、审查和及时评估，切实做好数据出境风险自评估和申报，尤其是涉及工业和信息化领域数据的重要数据、核心数据，应注意行业监管部门如工信部相关规定。如若发现有不合规的，应及时整改或采取补救措施，积极与监管相关部门沟通，及时跟进申报进度，以确保企业数据出境合规。

注释（上下滑动阅览）

【1】《工业和信息化领域数据安全管理办法（试行）》第二十一条，工业和信息化领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据，法律、行政法规有境内存储要求的，应当在境内存储，确需向境外提供的，应当依法依规进行数据出境安全评估。

【2】《数据出境安全评估办法》第二十条，本办法自2022年9月1日起施行。本办法施行前已经开展的数据出境活动，不符合本办法规定的，应当自本办法施行之日起6个月内完成整改。

【3】《管理办法》第三十六条 有违反本办法规定行为的，由行业监管部门按照相关法律法规，根据情节严重程度给予没收违法所得、罚款、暂停业务、停业整顿、吊销业务许可证等行政处罚；构成犯罪的，依法追究刑事责任。

【4】《中华人民共和国数据安全法》第四十六条。《中华人民共和国数据安全法》第三十一条规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。

【5】《数据出境安全评估办法》第四条

【6】《信息安全技术 重要数据识别指南》（征求意见稿），2022年1月27日

【7】《信息安全技术 重要数据识别指南》（征求意见稿），2022年1月27日

【8】《数据出境安全评估办法》第五条

【9】《数据出境安全评估申报指南（第一版）》

【10】《数据出境安全评估办法》第十条

作者简介

董红曼，上海德禾翰通律师事务所管理合伙人、律师。

联系方式：hmdong@dehehantong.com

作者简介

夏思秋，上海德禾翰通律师事务所专利代理师。

联系方式：sqxia@dehehantong.com

作者：董红曼 夏思秋