数据跨境安全评估摸底考①：重要数据识别与安全评估标准细则亟待进一步完善

南方财经全媒体记者 吴立洋 21世纪经济报道记者 张雅婷 王俊 尤为 郑雪 实习生谭砚文 上海、广州、北京报道

随着数字化成为我国社会发展中不可或缺的一部分，数据已被我国政府视为保障国家主权、对国家安全和经济发展具有重大影响的一项重要资产。监管部门对数据跨境传输的合规情况亦越发关注。

2022年7月，国家互联网信息办公室正式发布《数据出境安全评估办法》（下称《评估办法》），并于同年9月施行，且要求不符合规定的数据出境活动于6个月内完成整改。截至今年3月，《评估办法》施行已达半年，企业落实政策要求、进行合规整改的实际成效如何将迎来初考。

为了解当下境内企业数据跨境的现状与困境，探讨如何建设更为安全高效的数据跨境传输渠道与监管机制，由环球律师事务所与南方财经全媒体集团合规科技研究院组成的联合研究团队结合问卷调查、深度访谈、案例分析等多种研究方法，对我国企业进行数据跨境传输和安全评估的实践情况进行了调查。

在梳理当前涉及数据跨境法律法规的基础上，研究团队就调研结果中的典型问题进行了分析，并结合当前政府管理部门披露的公开数据与案例，最终撰写完成《数据跨境现状调查与分析报告——基础问题与十个痛点的解决》（以下简称《报告》），希望为政策制定、执行和产业实践提供参考。

在《报告》的上篇，研究团队对我国数据跨境的基础性问题进行了罗列，从判定数据处理者身份、识别数据类型、申报安全评估的方法等方面对我国数据跨境合规的全流程周期进行全景扫描，并突出法规要求中易被忽略的细节，从而全面展现数据跨境主体需要具备的知识图谱。

主体身份与数据种类识别

在梳理数据跨境合规要求前，首先需要明确对数据跨境行为的定义，网信办于2022年8月发布的《数据出境安全评估申报指南（第一版）》，将数据跨境传输的场景归纳如下：数据处理者将在境内运营中收集和产生的数据传输、存储至境外；数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；网信办规定的其他数据出境行为。

在整理上述三种行为的基础上，结合实际操作中数据的采集、流通、存储的流程要点，《报告》将企业实践中涉及的数据出境行为进一步划分为三种类型，具体为：（1）数据处理者将在境内运营中收集和产生的数据通过境内服务器或“直接”传输、存储至境外；（2）数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以访问或者调用（公开信息、网页访问除外）；（3）境外产生收集的数据在境内存储后再向境外传输。

此外，部分外实体或应用直接收集境内产生的数据等情况也属于数据跨境传输场景，此类特殊情况应加以区分和明确。

值得注意的是，《报告》特别指出，如果企业运营的产品仅向境外提供服务，不涉及收集境内的数据，或境内的网络运营者仅向境外机构、组织或个人开展业务、提供商品或服务，且不涉及境内公民个人信息和重要数据的，均不视为境内运营。

但涉及上述跨境传输场景的数据处理者，也并非所有都需要申报出境安全评估，在《评估办法》中列出了需要开展数据出境安全评估的情形，具体包括数据处理者向境外提供重要数据；关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；国家网信部门规定的其他需要申报数据出境安全评估的情形。

其中，“对重要数据的划分感到无从下手”是研究团队在访谈中提到次数最多的问题。调查问卷也显示，有近半数受访企业认为“对于重要数据、敏感个人信息等数据类型的标准认定存在模糊，难以做到准确地区分”。有8家企业没有（或不清楚）一套识别重要数据的企业标准。

已在安全领域深耕多年的绿盟科技认为，目前数据出境合规工作中，企业对“重要数据”的定义和范围不够清晰，导致在出境数据自评估时不准确。绿盟科技提出，这种现状需要国家监管及行业主管部门对重要数据做进一步的精细化分类。

一家在海外设有研发机构的车企在访谈中也提到了上述困惑，“由于我们涉及出境的数据主要是双方研发涉及的代码，而代码究竟算不算重要数据，这让我们在日常的工作中感到很困惑，最终只能不确定的都按照最严格的要求来处理。”

根据《数据安全法》第二十一条及《数据出境安全评估办法》第十九条，重要数据指“一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据”。目前具体行业中，仅有汽车和基础电信两个领域在《汽车数据安全管理若干规定（试行）》《YD/T 3867-2021基础电信企业重要数据识别指南》对重要数据制定了进一步指引。

对此《报告》建议，企业可参考上述两项行业标准内容识别重要数据，针对是否属于特定领域 、是否涉及特定群体 、是否涉及特定区域 、是否公开以及是否达到一定精度或规模 等方面进一步识别其是否属于重要数据。

例如，对于代码是否属于重要数据的范畴，其需要根据其涉及的行业及泄露后的影响综合判断，若代码中的内容涉及重要行业的信息，如与关键信息基础设施相关的代码，则很可能构成重要数据。

安全评估的基本要素

作为当前监管部门规范数据跨境传输行为的重要审批手段，数据出境安全评估是大部分企业进行跨境传输合规时重点关注的内容，自去年7月《评估办法》发布以来，已有诸多企业进行了评估材料的准备与报送。

《评估办法》第六条显示，申报数据出境安全评估，应当提交申报书；数据出境风险自评估报告；数据处理者与境外接收方拟订立的法律文件；安全评估工作需要的其他材料。

评估所需时常方面，根据《评估办法》第七条、第十二条、第十三条的要求，整体评估时长为57+N天（N代表补充材料审核时间）；如涉及复评的，则为72+N天。

涉及复评的情形通常为需要数据处理者补充申报材料，《评估办法》规定，国家网信部门可以要求数据处理者补充或者更正材料，如数据处理者无正当理由不补充或者更正的，国家网信部门可以终止安全评估。而企业对评估结果有异议的，数据处理者可以在收到评估结果15个工作日内向国家网信部门申请复评，该复评结果则为最终结论。

从问卷调查结果来看，本次调研的76%的受访企业都进行了数据出境安全评估。但成本高、耗时长和缺乏系统指导是受访企业谈及处境安全评估时最长提及的词语。某大型科技企业在访谈中表示，就自己正在经历的出境安全评估来说，省级网信办审查的颗粒度比自己预期高，且更严格，审核周期也比预想的时间长，且对报告形式要求高。

在跨境数据自评估具有实操申报经验的国科华盾科技有限公司在访谈中表示，很多企业自评估时，由于多元化服务模型中涉及的系统关联关系复杂、处理的数据类型丰富且方法差异大等原因，无法快速、精准、高效地完成自评估申报工作。随着个人数据及重要数据监管的趋严，数据安全领域整体合规难度提高、涉及的评估及整改工作量大、周期长。建议企业特别是涉及数据出境的企业应制定长期目标，提早行动，尽快开始相关评估工作。

值得注意的是，企业在实践中，往往遇到难以在多系统多场景下高效经济地完成评估工作的问题，尤其对于境外主体的配合及沟通上有一定的难点。

对此，《报告》建议企业可以先将中国的合规要求及事项传达至境外，在其充分理解评估事项的目的下，由其填写尽职调查清单；同时在清单问题的设置上，尽量避免开放式的问题，采取选择题等形式使境外接收方更容易填写清单，减少反馈的时间。

此外，在《评估办法》宽限企业完成合规整改的6个月时限到来之际，《报告》建议已经提交数据出境安全评估的企业密切关注评估结果 ；暂未启动申报流程的企业应暂停数据出境活动，待通过出境安全评估后再另行开展，避免在宽限期届满后受到监管关注或处罚。企业可参考上文对申报时间的介绍，结合自身业务情况合理安排申报进度。

报告全文请点击：《数据跨境现状调查与分析报告——基础问题与十个痛点的解决》

【报告出品】斑马数据合规研究中心

【报告撰写】

环球律师事务所 孟洁 戴畅 王程 张楚淇 李晨瑜 田梓仪

南财合规科技研究院 吴立洋 王俊 张雅婷 尤一炜 郑雪 谭砚文

【设计统筹】林军明

【封面/排版】林潢 陈国丽

【校对】黄志明

2023年3月

更多内容请下载21财经APP