中问｜数据合规合辑之（二）——哪些数据出境情形须申报安全评估？

2022年7月国家互联网信息办公室发布第11号令《数据出境安全评估办法》（以下称《评估办法》），并于2022年9月1日起施行。该《评估办法》依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规制定，主要细化落实该等法律中数据出境安全管理有关规定，规范并指引数据处理者向境外提供在境内运营中收集和产生的重要数据和个人信息的安全评估。

本专辑主要围绕《评估办法》第四条有关安全评估适用情形的规定展开，对按规定须申报安全评估的数据出境情形作进一步的解析，供广大读者参考。 

一、数据出境安全评估适用范围

（一）适用范围

1.依据《评估办法》第二条的规定，安全评估适用的对象是数据处理者向境外提供在境内运营中收集和产生的重要数据和个人信息；

2.依据《评估办法》第四条、《数据出境安全评估申报指南（第一版）》（以下称《申报指南》）的规定，数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：（一）数据处理者向境外提供重要数据；（二）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；（三）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；（四）国家网信部门规定的其他需要申报数据出境安全评估的情形。

（二）问题的提出

基于前述，须申报数据出境安全评估的情形主要包括下述：

1.个人信息处理者向境外提供个人信息并达到规定数量（该情形的具体适用见本合辑前一专辑内容）；

2.关键信息基础设施运营者向境外提供个人信息。问题：什么是关键信息基础设施运营者？

3.数据处理者向境外提供重要数据。问题：什么是重要数据？

二、什么是关键信息基础设施？

（一）要点解读

依据2017年生效实施的《网络安全法》、2021年生效实施的《关键信息基础设施安全保护条例》等有关法律法规的规定：

1.定义：关键信息基础设施指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

2.认定主体：重要行业和领域的主管部门、监督管理部门作为负责关键信息基础设施安全保护工作的部门，结合本行业、本领域实际制定关键信息基础设施认定规则，负责组织认定本行业本领域的关键信息基础设施，及时将认定结果通知运营者。

3.认定规则考虑因素：网络设施、信息系统对本行业、本领域关键核心业务的重要程度；遭到破环、丧失功能或数据泄露可能带来的危害程度；对其他行业领域的关联性影响。

（二）实务建议

1.基于前述解读，我们理解，无论是已明确的公共通信和信息服务、能源、交通等重要行业领域的重要网络设施、信息系统，还是其他可能被认定为关键信息基础设施的情形，均应由行业主管部门、监管部门制定认定规则并负责认定。

并且，一旦被认定为关键信息基础设施，主管部门将及时通知运营者。该运营者作为关键信息基础设施运营者，其向境外提供个人信息（对处理个人信息的数量无要求），即须按要求申报安全评估。

2.在尚未收到主管部门有关认定通知前，建议数据处理者根据自身所处行业领域、参照认定规则及其考虑因素、向行业主管部门咨询等途径综合预判认定结果，为后续个人信息出境可能须履行安全评估申报程序作好应对预案。

三、什么是重要数据？

（一）要点解读

依据《数据安全法》、《评估办法》、2022年发布的《信息安全技术 重要数据识别指南（征求意见稿）》等有关规定：

1.定义：重要数据指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。

2.范围：不包括国家秘密；一般不包括个人信息，但达到一定规模的个人信息或基于海量个人信息加工形成统计数据、衍生数据，可能属于重要数据。

重要数据可能分布在政务部门、关键信息基础设施运营者在内的重点行业企业、医院高校等公共服务机构、科研机构、互联网企业等。

3.识别考虑因素：反映国家战略储备、应急动员能力，支撑关键基础设施运行或重点领域工业生产，反映关键信息基础设施网络安保情况，关系出口管制物项等。

4.认定主体：各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。

（二）实务建议

1.基于前述解读，我们理解，是否为重点数据一般以各地区、各部门确定的重要数据具体目录为准。以汽车行业为例，2021年生效实施的《汽车数据安全管理若干规定（实行）》中较为明确具体地罗列了汽车重要数据。

对于尚不确定是否涉重要数据的数据处理者，可依据《信息安全技术 重要数据识别指南（征求意见稿）》中有关重要数据识别的原则、考虑因素，参考汽车等有关行业中已明确的重要数据目录，并结合向有关部门的咨询结果等，综合预判是否涉重要数据。

2.《评估办法》未对重要数据处理者进行主体区分，关键信息基础设施运营者、个人信息处理者或其他数据处理者向境外提供重要数据的，均需申报安全评估。

3.《评估办法》未对处理重要数据的数量作出要求，我们理解，单条数据遭到篡改、破坏、泄露等可能危害国家安全、社会稳定等的，向境外提供该单条数据亦需申报安全评估。

四、数据出口管制的其他情形

除就个人信息、重要数据等出境采取强制安全评估等管制措施外，下述方面数据出境亦受不同程度的数据出境管控。

1.核心数据

依据《数据安全法》的规定，国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度、遭到破坏等造成的危害程度等，对数据分级为一般数据、重要数据、核心数据。国家加强对重要数据的保护，并对核心数据实行更加严格的管理制度。

2.国家秘密

如前文提及，重要数据不包括国家秘密。2010年生效实施的《中华人民共和国保守国家秘密法》中规定，任何组织和个人不得邮寄、托运国家秘密载体出境，不得未经有关主管部门批准携带、传递国家秘密载体出境。

3.司法协助数据

依据《数据安全法》、《个人信息保护法》等规定，非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据；个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。

特别提示：

本文观点基于个人对截止撰稿日的法律规定的理解和把握，仅供参考，不作为处理具体案件的法律意见。具体到个案，应根据个案实际情况进行专业研判，建议必要时征询专业法律人员出具专项法律意见。