安策数据加密保护-《数据出境安全评估办法》解读一

1.什么是“数据出境活动”？

虽然《个保法》《数据安全法》《网络安全法》均规定向境外提供数据的法律要求，但未解释“向境外提供”或“数据出境”的含义。此次网信部门有关负责人在《出境评估办法》答记者问中，明确解释了“数据出境”的含义。数据出境活动主要包括：一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。第二，数据处理器收集和生成的数据存储在中国，海外机构、组织或个人可以访问或调用。

▼物理转移：第一类是典型数据出境场景，即处理者收集在境内运营产生的数据，并将数据传输存储至境外服务器。例如，某跨境电商收集境内消费者的数据，并将该等数据传输存储至其境外服务器。

▼境外访问：第二类是境内运营产生的数据虽然存储在境内服务器，但境外的组织和个人可以访问、查看、调用。例如，某跨国公司员工个人信息存储在境外，但由于其全球统一管理的目的，境外的母公司有查看境内子公司服务器中员工个人信息的权限。

常见误解的澄清

1)数据传输至港澳台是否属于数据出境？

根据《出境入境管理法》第八十条第一款的规定，“出境，是指由中国内地前往其他国家或者地区，由中国内地前往香港特别行政区、澳门特别行政区，由中国大陆前往台湾地区。”在我国关于“出境”的语境下，“境外”包括“港澳台”。因“境外”而非“国外”因此，数据传输存储到港澳台仍属于数据出境。

2)境外主体通过公开网页访问境内数据算数据出境？

数据出境中的“境外访问”情形，一般是指对境内服务器或者系统内数据的访问、调用。对公开网页信息的访问，一般不会被认定属于数据出境。在《信息安全技术数据出境安全评估指南(征求意见稿)》中“网页访问，网页访问”排除在数据出境范围之外。

02哪些情形下需要申报安全评估？

1)只要涉及重要数据出境，则必须申报数据出境安全评估。《出境评估办法》正式规定了重要数据的定义，即可能危害国家安全、经济运行、社会稳定、公共卫生和安全的数据，一旦被篡改、破坏、泄露或非法获取、非法使用等。

2)数据处理者被认定为关基运营者的，向境外提供个人信息需要申报数据出境安全评估。根据《关键信息基础设施安全保护条例》，关基运营者是公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等的运营者。在实践中，通常根据主管部门的正式通知，如何确定是否构成关基运营商。

3)处理100万人以上个人信息的处理者，属于数据量较大的处理者，其数据出境活动所影响范围较广，可能造成损害的也较大，因此需要申报安全评估。

4)与此前《出境评估办法》的征求意见稿不同，正式发布的《出境评估办法》划定一个不超过2年的时间限制，即自上年1月1日起累计。这种制度设计避免了将大部分公司都纳入需申报安全评估的范围。

5)最后，《出境评估办法》也有一个底部条款，不能排除以后根据工作需要和实际情况提出其他评估条件的可能性。

常见误解的澄清

1)重要数据是对公司业务至关重要的数据？

重要数据的判断标准为遭到篡改、破坏、泄露或者非法获取、非法利用时，“是否可能危害国家安全、公共利益”，而非“是否对公司的业务经营至关重要”。哪些数据属于重要数据由主管政府部门认定，而非由企业自行认定。例如，《汽车数据安全管理条例（试行）》定义了汽车领域重要数据的范围，工业和信息化部发布的相关规则定义了工业领域重要数据的识别规则。其他行业和领域的重要数据范围仍需进一步明确。今后，各地区、各部门将根据《数据安全法》确定本地区、部门及相关行业的重要数据目录。

2)安全评估触发情形中的“100万”、“10万”、“1万”是指个人信息的条数？

《出境评估办法》明确规定“100万”、“10万”、“1万”的单位是人，因此是指对应个人信息主体的人数，而不是个人信息的条数。

版权声明: SafePloy安策利用网络资源获取的信息安全资料加上公司技术人员的理解整理产出的技术交 流文档，如有版权意见，请及时告知安策公司，我们将及时查证纠正错误，谢谢支持。有问题请及时电邮 market@ SafePloy.com

来源：SafePloy安策、安策加密技术部 | 关键词：数据安全  数据库安全  数据出境合规   | 受欢迎指数（）