南方財經全媒體記者 吳立洋 21世紀經濟報道記者 張雅婷 王俊 尤為 鄭雪 實習生譚硯文 上海、廣州、北京報道

隨著數字化成為我國社會發展中不可或缺的一部分，數據已被我國政府視為保障國家主權、對國家安全和經濟發展具有重大影響的一項重要資產。監管部門對數據跨境傳輸的合規情況亦越發關注。

2022年7月，國家互聯網信息辦公室正式發布《數據出境安全評估辦法》（下稱《評估辦法》），并于同年9月施行，且要求不符合規定的數據出境活動于6個月內完成整改。截至今年3月，《評估辦法》施行已達半年，企業落實政策要求、進行合規整改的實際成效如何將迎來初考。

為了解當下境內企業數據跨境的現狀與困境，探討如何建設更為安全高效的數據跨境傳輸渠道與監管機制，由環球律師事務所與南方財經全媒體集團合規科技研究院組成的聯合研究團隊結合問卷調查、深度訪談、案例分析等多種研究方法，對我國企業進行數據跨境傳輸和安全評估的實踐情況進行了調查。

在梳理當前涉及數據跨境法律法規的基礎上，研究團隊就調研結果中的典型問題進行了分析，并結合當前政府管理部門披露的公開數據與案例，最終撰寫完成《數據跨境現狀調查與分析報告——基礎問題與十個痛點的解決》（以下簡稱《報告》），希望為政策制定、執行和產業實踐提供參考。

在《報告》的上篇，研究團隊對我國數據跨境的基礎性問題進行了羅列，從判定數據處理者身份、識別數據類型、申報安全評估的方法等方面對我國數據跨境合規的全流程周期進行全景掃描，并突出法規要求中易被忽略的細節，從而全面展現數據跨境主體需要具備的知識圖譜。

主體身份與數據種類識別

在梳理數據跨境合規要求前，首先需要明確對數據跨境行為的定義，網信辦于2022年8月發布的《數據出境安全評估申報指南（第一版）》，將數據跨境傳輸的場景歸納如下：數據處理者將在境內運營中收集和產生的數據傳輸、存儲至境外；數據處理者收集和產生的數據存儲在境內，境外的機構、組織或者個人可以查詢、調取、下載、導出；網信辦規定的其他數據出境行為。

在整理上述三種行為的基礎上，結合實際操作中數據的采集、流通、存儲的流程要點，《報告》將企業實踐中涉及的數據出境行為進一步劃分為三種類型，具體為：（1）數據處理者將在境內運營中收集和產生的數據通過境內服務器或“直接”傳輸、存儲至境外；（2）數據處理者收集和產生的數據存儲在境內，境外的機構、組織或者個人可以訪問或者調用（公開信息、網頁訪問除外）；（3）境外產生收集的數據在境內存儲后再向境外傳輸。

此外，部分外實體或應用直接收集境內產生的數據等情況也屬于數據跨境傳輸場景，此類特殊情況應加以區分和明確。

值得注意的是，《報告》特別指出，如果企業運營的產品僅向境外提供服務，不涉及收集境內的數據，或境內的網絡運營者僅向境外機構、組織或個人開展業務、提供商品或服務，且不涉及境內公民個人信息和重要數據的，均不視為境內運營。

但涉及上述跨境傳輸場景的數據處理者，也并非所有都需要申報出境安全評估，在《評估辦法》中列出了需要開展數據出境安全評估的情形，具體包括數據處理者向境外提供重要數據；關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息；自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息；國家網信部門規定的其他需要申報數據出境安全評估的情形。

其中，“對重要數據的劃分感到無從下手”是研究團隊在訪談中提到次數最多的問題。調查問卷也顯示，有近半數受訪企業認為“對于重要數據、敏感個人信息等數據類型的標準認定存在模糊，難以做到準確地區分”。有8家企業沒有（或不清楚）一套識別重要數據的企業標準。

已在安全領域深耕多年的綠盟科技認為，目前數據出境合規工作中，企業對“重要數據”的定義和范圍不夠清晰，導致在出境數據自評估時不準確。綠盟科技提出，這種現狀需要國家監管及行業主管部門對重要數據做進一步的精細化分類。

一家在海外設有研發機構的車企在訪談中也提到了上述困惑，“由于我們涉及出境的數據主要是雙方研發涉及的代碼，而代碼究竟算不算重要數據，這讓我們在日常的工作中感到很困惑，最終只能不確定的都按照最嚴格的要求來處理?！?/p>

根據《數據安全法》第二十一條及《數據出境安全評估辦法》第十九條，重要數據指“一旦泄露可能直接影響國家安全、經濟安全、社會穩定、公共健康和安全的數據”。目前具體行業中，僅有汽車和基礎電信兩個領域在《汽車數據安全管理若干規定（試行）》《YD/T 3867-2021基礎電信企業重要數據識別指南》對重要數據制定了進一步指引。

對此《報告》建議，企業可參考上述兩項行業標準內容識別重要數據，針對是否屬于特定領域 、是否涉及特定群體 、是否涉及特定區域 、是否公開以及是否達到一定精度或規模 等方面進一步識別其是否屬于重要數據。

例如，對于代碼是否屬于重要數據的范疇，其需要根據其涉及的行業及泄露后的影響綜合判斷，若代碼中的內容涉及重要行業的信息，如與關鍵信息基礎設施相關的代碼，則很可能構成重要數據。

安全評估的基本要素

作為當前監管部門規范數據跨境傳輸行為的重要審批手段，數據出境安全評估是大部分企業進行跨境傳輸合規時重點關注的內容，自去年7月《評估辦法》發布以來，已有諸多企業進行了評估材料的準備與報送。

《評估辦法》第六條顯示，申報數據出境安全評估，應當提交申報書；數據出境風險自評估報告；數據處理者與境外接收方擬訂立的法律文件；安全評估工作需要的其他材料。

評估所需時常方面，根據《評估辦法》第七條、第十二條、第十三條的要求，整體評估時長為57+N天（N代表補充材料審核時間）；如涉及復評的，則為72+N天。

涉及復評的情形通常為需要數據處理者補充申報材料，《評估辦法》規定，國家網信部門可以要求數據處理者補充或者更正材料，如數據處理者無正當理由不補充或者更正的，國家網信部門可以終止安全評估。而企業對評估結果有異議的，數據處理者可以在收到評估結果15個工作日內向國家網信部門申請復評，該復評結果則為最終結論。

從問卷調查結果來看，本次調研的76%的受訪企業都進行了數據出境安全評估。但成本高、耗時長和缺乏系統指導是受訪企業談及處境安全評估時最長提及的詞語。某大型科技企業在訪談中表示，就自己正在經歷的出境安全評估來說，省級網信辦審查的顆粒度比自己預期高，且更嚴格，審核周期也比預想的時間長，且對報告形式要求高。

在跨境數據自評估具有實操申報經驗的國科華盾科技有限公司在訪談中表示，很多企業自評估時，由于多元化服務模型中涉及的系統關聯關系復雜、處理的數據類型豐富且方法差異大等原因，無法快速、精準、高效地完成自評估申報工作。隨著個人數據及重要數據監管的趨嚴，數據安全領域整體合規難度提高、涉及的評估及整改工作量大、周期長。建議企業特別是涉及數據出境的企業應制定長期目標，提早行動，盡快開始相關評估工作。

值得注意的是，企業在實踐中，往往遇到難以在多系統多場景下高效經濟地完成評估工作的問題，尤其對于境外主體的配合及溝通上有一定的難點。

對此，《報告》建議企業可以先將中國的合規要求及事項傳達至境外，在其充分理解評估事項的目的下，由其填寫盡職調查清單；同時在清單問題的設置上，盡量避免開放式的問題，采取選擇題等形式使境外接收方更容易填寫清單，減少反饋的時間。

此外，在《評估辦法》寬限企業完成合規整改的6個月時限到來之際，《報告》建議已經提交數據出境安全評估的企業密切關注評估結果 ；暫未啟動申報流程的企業應暫停數據出境活動，待通過出境安全評估后再另行開展，避免在寬限期屆滿后受到監管關注或處罰。企業可參考上文對申報時間的介紹，結合自身業務情況合理安排申報進度。

報告全文請點擊：《數據跨境現狀調查與分析報告——基礎問題與十個痛點的解決》

或掃描以下二維碼后臺留言獲取報告全文

【報告出品】斑馬數據合規研究中心

【報告撰寫】

環球律師事務所 孟潔 戴暢 王程 張楚淇 李晨瑜 田梓儀

南財合規科技研究院 吳立洋 王俊 張雅婷 尤一煒 鄭雪 譚硯文

【設計統籌】林軍明

【封面/排版】林潢 陳國麗

【校對】黃志明

2023年3月