北京市企业数据出境合规指引（全文）

2024年8月30日，北京市网信办等三部门发布了“关于印发自由贸易试验区数据出境负面清单管理办法、负面清单（2024版）的通知”，并同时推出了《北京市数据跨境流动便利化服务指南（2024版）》，该指南中包含北京市网信办为指导和帮助企业依法有序开展数据出境活动所制定的《北京市企业数据出境合规指引》。

《指引》为企业提供了开展数据出境合规、数据跨境合规治理的一般性方法论，明确了免申报数据出境安全评估、个人信息保护认证、个人信息出境标准合同的七种情形，详细阐述了企业开展数据出境合规实施流程，包括数据出境场景识别、数据类型判断、风险评估等，并强调了企业如何在组织架构、管理制度和技术防护措施三个层面建立数据跨境合规治理体系。

《北京市企业数据出境合规指引》全文

根据《网络安全法》《数据安全法》《个人信息保护法》以及国家互联网信息办公室（以下简称“国家网信办”）《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》《中国（北京）自由贸易试验区数据出境负面清单管理办法（试行）》等相关法律法规规定要求，指导和帮助企业依法有序开展数据出境活动，北京市互联网信息办公室（以下简称“市网信办”）制定本指引。

一、数据出境合规路径

根据我国现行法律法规政策规定，企业在数据出境时应结合自身的主体类型、出境数据类型和规模等因素，综合判断选择数据出境安全评估、个人信息出境标准合同备案、个人信息保护认证三条路径合规出境。

企业不得采取数量拆分等手段，将依法通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。

符合以下情形之一的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:

（1）国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供，不包含个人信息或者重要数据的；

（2）数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供，处理过程中没有引入境内个人信息或者重要数据的；

（3）为订立、履行个人作为一方当事人的合同，如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等，确需向境外提供个人信息的；

（4）按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的；

（5）紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息的；

（6）关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10 万人个人信息（不含敏感个人信息）的；

（7）中国（北京）自由贸易试验区负面清单管理机制中明确的免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形。

第（3）（4）（5）（6）条形所称向境外提供的个人信息，不包括重要数据。数据处理者向境外提供个人信息的，应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。

二、数据出境合规实施流程

1.明确数据处理者主体，确定数据出境业务范围。

根据数据出境的目的、处理方式出境业务持有合法经营牌照、集团公司之间管理关系等情况，确定数据处理者主体、数据出境涉及的业务范围。

在中国（北京）自由贸易试验区登记注册、开展数据跨境流动等相关活动的企业，可按照本市自由贸易试验区数据出境负面清单相关管理要求开展数据出境活动。

需开展数据出境安全评估的企业，可申请进入北京市数据跨境“绿色通道”，高效开展数据出境安全评估。

2.选择适宜的数据出境合规路径。

分析数据出境行为，包括：数据处理者将其在境内运营中收集和产生的数据传输至境外；数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；符合《个人信息保护法》第三条第二款情形在境外处理境内自然人个人信息等其他数据处理活动。根据《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》规定，判断企业向境外提供数据是否满足需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形。

3.识别数据出境场景，梳理出境数据。

通过调研、访谈等形式识别已开展或拟开展业务的全部数据出境场景，按照不同场景列出出境数据清单。场景识别和数据梳理可以从多个维度展开，其中数据出境场景应按照数据出境的业务目的进行识别和划分，数据理包括但不限于:盘点数据出境所涉及的系统、系统间数据流转情况、系统所涉及的数据存储情况等；盘点出境数据的种类和数据项名称，结构化数据（如数据库表等）的数据项应为不可继续拆分的字段，非结构化数据（如图表文件等）的数据项应为文件名及文件包含或隐含的字段或内容，并提供每个数据项的样例。

4.判断出境数据是否包含重要数据或个人信息。

根据行业主管部门、地区关于重要数据的管理要求，参考国家标准、行业标准等识别出境数据中是否包含重要数据。关于个人信息的识别及敏感程度判定,可参照 GB/T 35273-2020《信息安全技术个人信息安全规范》、GB/T43697-2024《数据安全技术数据分类分级规则》等国家标准。

5.统计出境数据规模。

按照行业主管部门有关认定要求统计拟出境重要数据的数据规模，及已出境和拟出境个人信息涉及的自然人人数，统计周期为自当年1月1日起累计，数量以自然人为单位去重后的统计结果为准。拟出境数据量需分别明确其中包含当年已出境数量和未来新增数量。

6.明确数据出境涉及的系统、数据中心、出境链路等情况。

通过前期调研，明确数据出境涉及的系统、数据中心、出境链路，记录相关信息，包括但不限于系统名称、数据传输方式、数据中心（云平台）名称、物理位置、出境链路提供商、链路类型、链路数量与带宽、IP 地址等信息。

从收集、处理、传输等环节详细阐述涉及的业务系统及数据流转情况，需包含数据出境直接业务系统与间接业务系统，结合实际情况绘制数据流转各环节的数据流转图。

7.梳理论证数据出境及境外接收方处理数据目的、范围、方式的合法、正当、必要性。

论证数据出境业务的合法性,重点论证满足《网络安全法》《数据安全法》《个人信息保护法》的情况及法律法规实施以来的整改情况，以及符合行业法律法规的情况，重点收集数据来源的合法性证明；论证数据出境活动的正当性，是否为正当的业务往来；论证数据出境活动的必要性，并提供每个数据项出境的必要性说明。

8.调研境外接收方情况，拟定法律文件。

与境外接收方沟通，调研相关信息，包括但不限于境外接收方的基本情况，境外接收方的数据安全保障能力、所取得的相关资质及认证，境外接收方所在国家或地区的网络和数据安全法律法规情况，境外接收方处理数据的全生命周期过程等。根据《数据出境安全评估办法》《个人信息出境标准合同办法》要求与境外接收方拟定法律文件，可参考个人信息出境标准合同拟定，但至少应包含《数据出境安全评估办法》第九条涉及的六项内容；若适用个人信息出境标准合同备案,需使用《个人信息出境标准合同》模板。

9.梳理数据处理者的数据安全保障能力情况。

梳理数据处理者在数据全生命周期的数据安全管理能力、数据安全技术能力等情况，若涉及去标识化、名化等情况，需详细说明。梳理包括但不限于相关制度、技术保障措施截图、数据安全有效性证明等文件。

10.开展数据出境风险自评估与个人信息保护影响评估。

根据《数据出境安全评估办法》第五条、《个人信息出境标准合同办法》第五条规定，重点评估数据出境和境外接收方处理数据的合法性、正当性、必要性，数据出境可能带来的风险，境外接收方承诺承担的责任义务，以及其他可能影响数据出境安全等相关事项。

11.编写评估报告，整理所需材料。

按照评估指南及备案指南现有模板，编制《数据出境风险自评估报告》或《个人信息保护影响评估报告（出境版），报告需涵盖模板要求的全部内容。按照《数据出境安全评估申报指南（第二版）》《个人信息出境标准合同备案指南（第二版）》要求，编制、整理申报数据出境安全评估及个人信息出境标准合同备案所需的其他材料。

12.向省级网信部门申报数据出境安全评估或个人信息出境标准合同备案。

数据处理者应当通过所在地省级网信部门申报数据出境安全评估或申请个人信息出境标准合同备案，若省级网信部门要求补充或修改材料，应按照要求进行补充、修改。省级网信部门将在相应期限内通知数据处理者评估或备案结果。

三、企业数据跨境合规治理体系建设

（一）组织架构建设

数据跨境合规治理需要企业在内部建设和完善相应的组织架构，明确数据跨境合规治理相关职能部门职责，并指定数据跨境安全管理负责人。

1.职能设置

数据安全和个人信息保护部门负责统筹数据跨境事项，协调业务部门推进数据跨境合规治理，监督检查数据跨境传输情况，及时发现潜在的安全风险和问题以及应对处置数据安全事件等。

法务部门负责制定数据跨境管理规划和制度，对数据跨境合法性、正当性、必要性等开展审核；协助落实数据安全保护法律法规追踪、法律文件拟定、专项培训等相关工作。

信息技术部门负责支持业务应用程序和 IT 服务的服务器、终端、存储和网络。数据跨境传输活动中，采取技术措施保障数据安全，并定期开展技术培训等相关工作。

业务部门按照数据跨境传输要求实施数据跨境活动，安全合规开展数据跨境业务。

2.人员设置

数据安全负责人需由具备数据安全专业知识和相关管理工作经验的管理层担任，并负责向网信部门和主管、监管部门报告数据安全情况。

个人信息保护负责人需由具备个人信息保护专业知识和相关管理工作经验的管理层担任，对个人信息处理活动以及采取的保护措施等进行监督，对个人信息处理活动的合规性负责。（应当公开个人信息保护负责人的姓名及联系方式，并报送省级网信部门、行业主管监管部门等履行个人信息保护职责的部门）

（二）管理制度建设

1.数据跨境专项管理制度

企业宜建立数据跨境管理办法、操作指南、清单与报告等制度体系，为数据跨境安全管理工作提供指导和依据，促进数据跨境管理工作标准化、流程化、规范化。

针对数据跨境管理的具体工作事项，设计与操作流程配套的流程表单、记录、报告模板等文件。相关表单、模板可包括数据出境活动清单、数据出境风险自评估报告、个人信息出境标准合同及其相应的模板等。

2.数据安全管理制度

企业应根据数据安全法律法规和标准，结合企业实际情况，建立覆盖数据全生命周期的安全防护、权限管理、日志留存、风险监测预警、安全评估监督检查等的数据安全制度体系。

3.数据分类分级管理制度

企业应建立数据分类分级管理制度，在数据出境前需要依据数据分类分级制度判断出境数据的类别和级别。在数据出境中和出境后，需要依据有关要求采取相应的防护举措并做好风险监测等工作。

4.应急管理制度

企业应根据数据出境业务情况建立针对性的数据安全事件应急预案，明确数据安全事件级别、应急响应流程、责任体系等，并定期开展应急演练。紧急事件发生后，能够立即采取补救措施，并按照规定及时告知用户并向省级网信部门、行业主管监管部门等职能部门报告。

5.数据合规培训制度

企业宜在内部加强对数据跨境流动政策、安全保障技术、案例应用等方面的教育培训，加强员工对数据跨境政策的认识，提升合规意识，强化安全保障措施以及风险防范与应对能力，规范数据跨境安全治理工作开展。

（三）技术防护措施建设

1.数据加密

企业宜采用数据存储、传输加密技术，防止数据库高权限账号泄漏、黑客攻击等风险事件而造成的数据泄密。依据数据分类分级的标准，确定需要存储、传输加密的数据。

2.数据脱敏、防泄漏

企业宜通过数据静态脱敏技术，对原始数据进行处理，提升即将跨境数据的机密性。

在数据跨境传输的过程中，也可通过数据动态脱敏技术，防止数据的跨境泄露。

在数据跨境流动的应用场景下，针对不同的数据传输方向，企业宜在境内传输边界节点应用数据防泄漏技术或采用其它监测技术手段，以有效监管非授权外设传输、拷贝、跨境外发等高风险操作。

3.数字签名

企业宜采用数字证书的数字签名对数据传输过程中的文件信息进行签名，杜绝数据伪造、滥用，保障数据传输过程中的安全性、完整性、保密性。

4.数据库审计

在数据跨境流通之前，宜对所有数据库系统、数据操作日志进行统一收集、记录、全局审计。通过数据审计监控、行为分析、溯源追踪、权限管控等技术手段,在发生安全事件时可迅速准确定位责任人，保存有效证据。

原文来自《北京市数据跨境流动便利化服务指南》。

产品服务

前瞻研究

中心动态

数据信任与治理

“数据信任与治理”由下一代互联网国家工程中心运营。放眼全球数据治理前沿理论与实践进展，探索可信数据治理的中国模式，促进数据要素有序流通，释放数字经济红利。

TDG focuses on the cutting-edge theory and practice of global data governance, explores the Chinese model of trusted data governance, promotes global data flow, and fulfills the potential of the digital economy.