为持续加强数据出境安全管理政策宣贯,指导和帮助数据处理者高效合规开展数据出境活动,2025年4月9日,国家互联网信息办公室发布《数据出境安全管理政策问答(2025年4月)》(以下简称“《问答》”),对近期收到的一些有代表性的咨询问题和答复予以公布。《问答》共9条,整体来看可分为对重难点问题的释疑以及对未来立法与实践的展望。
本文将以实务为导向,对《问答》进行整合与评析,以期为有数据出境需求的企业提供有效参考。
一、重难点问题释疑
(一)中国数据出境安全管理制度设计
《问答》第一条指出我国数据出境安全管理制度的基本架构是三部基本法+配套制度与规则。《网络安全法》《数据安全法》《个人信息保护法》系在法律层面对数据出境活动作出明确规定。为落实前述法律规定,国家互联网信息办公室先后出台实施《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》,发布《关于实施个人信息保护认证的公告》及配套认证规则,明确数据出境安全评估、个人信息出境标准合同、个人信息保护认证等制度的实施路径。
此外,《问答》重申我国法律关于数据出境管理的规定,旨在保证在华企业因业务需要的数据跨境安全、自由流动,同时对涉及国家安全和公共政策目标的个人信息和重要数据跨境流动进行必要的监管。相关规定不是针对所有数据,只限于重要数据和个人信息。
- 对于确需出境的重要数据,法律作了制度上的安排,经数据出境安全评估认为不会危害国家安全和社会公共利益的,可以出境。
- 对于个人信息出境,法律规定了数据出境安全评估、个人信息保护认证、个人信息出境标准合同等多种途径。
- 对于不涉及个人信息或者重要数据的一般数据可以跨境自由流动。
(二)重要数据的识别与申报
如前所述,相关规定不是针对所有数据,只限于重要数据和个人信息。其中个人信息的概念在《个人信息保护法》中有明确规定,且易于理解。至于重要数据,很多企业存在识别和判断难题。
关于如何识别重要数据,《问答》第五条引用了《网络数据安全管理条例》第62条对重要数据的定义 1,并指出《数据安全技术 数据分类分级规则》(GB/T 43697-2024)附录G《重要数据识别指南》所述重要数据识别方法可以作为数据处理者识别申报重要数据的参考。
关于重要数据能否出境,《问答》第六条重申,经数据出境安全评估认为不会危害国家安全和社会公共利益的,可以出境,并给出了安全评估通过率供企业参考。截至2025年3月,国家互联网信息办公室共完成数据出境安全评估项目298个,其中,44个申报项目涉及重要数据,评估结果为不通过的7个,不通过率为15.9%;44个申报项目涉及509个重要数据项,评估后准予出境的重要数据项为325个,占申报数据项总数的63.9%。此外,《问答》特别说明,《促进和规范数据跨境流动规定》明确,数据处理者按照相关规定申报重要数据,未被相关部门、地区告知或者公开发布为重要数据的,不需要作为重要数据申报数据出境安全评估。
我们理解,无论是《网络数据安全管理条例》还是《数据出境安全评估办法》对重要数据下的定义,主要都是从“存在直接危害后果可能性”的角度来认定。至于如何在抽象的概念下具体认定重要数据,《数据安全法》、《网络数据安全管理条例》、GB/T43697-2024《数据安全技术 数据分类分级规则》等共同确立了自上而下推动制定具体目录的重要数据保护原则。
对企业来说,最直接的识别方式为(尤其对于内部数据分类分级流程、标准尚不成熟的企业而言),本地、本行业主管部门已经制定了重要数据具体目录的,企业可以以此识别公司的相关经营数据是否落入目录范围,重要数据目录未对外公开的,企业可向主管部门进行核实确认。最安全的识别方式为,企业主动申报、主管部门审定。对确认为重要数据的,相关地区、部门应当及时向企业告知或者公开发布。未被相关部门、地区告知或者公开发布为重要数据的,企业不需要作为重要数据申报数据出境安全评估。
(三)个人信息出境必要性的理解和判断
对于个人信息出境的必要性评估,开展过个人信息出境标准合同备案或者数据出境安全评估项目的企业并不陌生。“个人信息处理者和境外接收方处理个人信息的目的、范围、方式,及其合法性、正当性、必要性”是《个人信息出境标准合同备案指南(第二版)》必要评估内容之一;“数据出境及境外接收方处理数据的目的、范围、方式,及其合法性、正当性、必要性”是《数据出境安全评估申报指南(第二版)》必要评估内容之一。但过往企业或者第三方评估机构对“必要性”等概念的解读往往是在与主管部门的个案沟通中明确,而较少见到官方层面的公开解读。
《问答》引用了《个人信息保护法》第6条“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息”;以及第19条规定,“除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间”,指出判断“必要性”的考量因素包括与处理目的直接相关(出境活动本身的必要性)、对个人权益影响最小(涉及自然人规模的必要性、出境个人信息数据项范围的必要性)、限于实现处理目的的最小范围(出境个人信息数据项范围的必要性)、保存期限为实现处理目的所必要的最短时间(出境活动本身的必要性)等四方面。
司法实践中,法院在裁判个人信息出境是否具有必要性时也采用类似思路。例如在左某诉爱某商务咨询(上海)有限公司、雅某股份有限公司个人信息保护纠纷案 2中,被告之一雅某公司辩称,其个人信息处理的合法性基础是个人信息保护法第十三条第一款第二项规定的“履行合同所必需”,不需取得个人的同意。法院认为:
其一,就雅某公司收集处理的个人信息范围而言:
依照个人信息保护法第六条规定,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。本案中,爱某公司、雅某公司收集处理左某的姓名、电话号码、地址等基本信息,为预定酒店所必需的个人信息,可以认定为酒店服务业所需的最少类型、最少数量。根据国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局发布的《常见类型移动互联网应用程序必要个人信息范围规定》(国信办秘字〔2021〕14号),对于酒店类移动应用(APP)必要个人信息包括注册用户移动电话号码;住宿人姓名和联系方式、入住和退房时间、入住酒店名称。其中,邮箱、地址属于上述规定的联系方式。此外,银行卡号作为支付手段,对此进行收集也有其必要性。因此,爱某公司、雅某公司收集处理的个人信息范围符合个人信息保护法的规定。
其二,就爱某公司、雅某公司出境共享个人信息的接收方人员范围而言:
案涉《章程》对此列举了包括商业合作伙伴及营销部门人员等七类人员。根据个人信息保护法第十三条第一款第二项规定,“履行合同的必需”是客观上的必需,即个人信息处理者委托共享处理的主体范围对履行合同来说应当是正当且必要的。该必要性应基于合同目的来判断,即处理个人信息的范围及处理主体的范围均应当符合最小必要原则。本案中,从雅某公司出境共享个人信息的接收方的人员范围和地域范围看,不能认定酒店集团的所有商业合作伙伴及营销部门人员均为履行合同所必需,应当取得个人同意。根据雅某公司提供的境外接收方及信息传输列表,事实上已向位于美国和爱尔兰的某公司基于“营销传播目的”实施了信息传输及信息处理行为,该处理目的明显超出履行合同必要,且未取得个人同意,因而不具备个人信息处理的合法性基础。
《问答》对个人信息出境必要性的评估角度进行了归纳与总结,在给企业提供重要指引的同时,相信也会给司法审判提供较为统一的裁判思路。我们理解,企业在具体评估出境活动本身的必要性、涉及自然人规模的必要性以及出境个人信息数据项范围的必要性等方面时,可以参考《信息安全技术 个人信息安全规范》(GB/T 35273-2020)中关于“最小必要”等原则的要求(例如收集个人信息的最小必要、个人信息存储时间最小化)。
(四)集团化申报可行性
为提高数据出境工作效率,《问答》明确,境内多家子公司如同属一家集团公司且数据出境业务场景相似,可以由集团公司作为申报主体合并申报数据出境安全评估或者备案个人信息出境标准合同。
二、立法与实践展望
(一)保证不同自贸区负面清单的一致性
负面清单制度是对《促进和规范数据跨境流动规定》第6条 3 的落实,自贸区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。自贸区的负面清单通过调整个人信息出境的阈值,以及明确重要数据的范围等,使得数据出境的灵活度提高。
当前,天津、北京、上海、海南、浙江等地自贸试验区(港)已出台数据出境负面清单。在不同自贸区的负面清单中,其列明的数据类别存在一些区域特征。比如,《中国(上海)自由贸易试验区及临港新片区数据出境管理清单(负面清单)(2024版)》列入了再保险、国际航运等领域的重要数据和个人信息;《中国(浙江)自由贸易试验区数据出境管理清单(负面清单)(2024版)》中列入的则是电子商务行业(企业对企业)和清结算行业的重要数据和个人信息。
就不同自贸区如何参照适用其他自贸区正式发布的数据负面清单的问题,《问答》指出,针对同一领域,如果已经有自贸试验区发布负面清单,其余自贸试验区可以参照执行,不再重复制定,以保证不同自贸试验区负面清单标准的一致性。
(二)研究延长评估结果有效期的流程
《促进和规范数据跨境流动规定》将数据出境安全评估结果有效期由原来的2年延长至3年,同时明确有效期届满,需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的,数据处理者可以在有效期届满前60个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请,经国家网信部门批准,可以延长评估结果有效期3年。
《问答》指出,目前,国家互联网信息办公室正在积极听取各方意见,加快研究延长评估结果有效期的流程,计划通过修订发布相关政策文件的方式予以明确,为企业机构数据出境创造更为便利的条件。
(三)细化具体场景个人信息出境必要范围
在解答了如何评估个人信息出境必要性的基础上,《问答》进一步指出,数据出境涉及众多行业领域,国家互联网信息办公室会同相关行业主管部门,逐步细化明确具体行业领域的数据出境业务场景以及个人信息出境必要范围,为企业机构数据出境提供更为细化的政策指引。
(四)鼓励各方参与行业标准共建
在法律法规未触及细分行业领域的背景下,行业技术标准在数据出境实务工作中有重要参考意义。
在此背景下,《问答》指出,国家互联网信息办公室指导有关专业机构在制定行业技术标准过程中,高度重视并积极鼓励中外企业等各方参与,确保标准制定工作充分考虑国内外相关方需求。参与机制公开透明,标准工作程序公开透明。
(五)推动出台个人信息出境保护认证相关管理办法
前已述及,《问答》明确了一定条件下集团公司个人信息出境的集中申报。此举能够很大程度上便利集团公司跨境传输个人信息,但我们理解也会导致个人信息出境的数量级大幅增加,可能导致通过安全评估的难度加大。《问答》提及国家互联网信息办公室正在推动出台个人信息出境保护认证相关管理办法,或将解决集团公司集中申报的难题。
未来出台的个人信息出境保护认证相关管理办法,将指导第三方专业认证机构对个人信息出境活动进行认证,境内企业和境外接收方任意一方通过认证,企业即可在认证范围内开展个人信息出境活动,对于通过认证的跨国集团,可在集团内开展个人信息出境活动,无需分别与各国子公司单独签订个人信息出境标准合同。
Footnotes
1. 《网络数据安全管理条例》第62条:重要数据是指特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。
2. 一审判决书:广州互联网法院(2022)粤0192民初6486号;二审判决书:广州市中级人民法院(2023)粤01民终33217号。
3. 《促进和规范数据跨境流动规定》第6条:自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单,……,自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
