权威解答来了！国家网信办就数据出境安全管理相关问题进行答复

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线：010-82341063

国家互联网信息办公室持续加强数据出境安全管理政策宣贯，指导和帮助数据处理者高效合规开展数据出境活动。经对近期收到的咨询问题进行研究，现将一些有代表性的问题和答复公布如下。

1. 如何理解中国数据出境安全管理制度设计？

答：随着数据跨境流动活动的日益频繁，世界上许多国家和地区从本国、本地区实际出发，对数据跨境流动安全管理作了制度性探索，制定出台了一系列法律法规和规则标准。中国建立数据出境安全管理制度，是法律作出的规定。《网络安全法》《数据安全法》《个人信息保护法》在法律层面对数据出境活动作出明确规定。相关规定不是针对所有数据，只限于重要数据和个人信息。对于确需出境的重要数据，法律作了制度上的安排，经数据出境安全评估认为不会危害国家安全和社会公共利益的，可以出境。对于个人信息出境，法律规定了数据出境安全评估、个人信息保护认证、个人信息出境标准合同等多种途径。总的来看，中国法律关于数据出境管理的规定，旨在保证在华企业因业务需要的数据跨境安全、自由流动，同时对涉及国家安全和公共政策目标的个人信息和重要数据跨境流动进行必要的监管。对于不涉及个人信息或者重要数据的一般数据可以跨境自由流动，重要数据和达到规定数量的个人信息通过数据出境安全评估后可以依法跨境流动。

落实法律规定，国家互联网信息办公室先后出台实施《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》，发布《关于实施个人信息保护认证的公告》及配套认证规则，明确数据出境安全评估、个人信息出境标准合同、个人信息保护认证等制度的实施路径，会同各地、各部门依法有序开展数据出境安全管理工作。

2. 如何保证不同自贸试验区制定数据出境负面清单标准的一致性？

答：《促进和规范数据跨境流动规定》明确，自贸试验区可在国家数据分类分级保护制度框架下自行制定数据出境负面清单，经省级网络安全和信息化委员会批准，报国家网信部门、国家数据管理部门备案后实施，负面清单外数据出境将免予申报安全评估、订立标准合同、通过保护认证，是促进和便利自贸试验区数据跨境流动的一项创新举措。负面清单制定过程中将充分征求相关主管部门意见，负面清单备案时国家互联网信息办公室会同国家数据局对清单进行审核，针对同一领域，如果已经有自贸试验区发布负面清单，其余自贸试验区可以参照执行，不再重复制定。上述工作确保负面清单符合国家数据分类分级保护制度要求，保证不同自贸试验区负面清单标准的一致性。

3. 自贸试验区数据出境负面清单适用范围如何覆盖更多领域？

答：落实《促进和规范数据跨境流动规定》，国家互联网信息办公室、国家数据局先后完成天津、北京、海南、上海、浙江等地自贸试验区（港）数据出境负面清单备案，对汽车、医药、零售、民航、再保险、深海业、种业等17个领域数据跨境流动发挥促进作用。国家互联网信息办公室会同有关部门正在指导各自贸试验区结合各自产业发展特点制定数据出境负面清单，随着更多负面清单的发布实施，覆盖的领域会越来越宽。关于自贸试验区数据出境负面清单发布实施情况，可以关注国家互联网信息办公室官网（www.cac.gov.cn）和相关地方自贸试验区网站进行了解。

4. 如何理解和判断个人信息出境必要性？

答：《个人信息保护法》第六条规定，“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息”；第十九条规定，“除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间”。

根据上述法律规定，判断“必要性”的考量因素包括与处理目的直接相关、对个人权益影响最小、限于实现处理目的的最小范围、保存期限为实现处理目的所必要的最短时间等4方面。落实法律规定，国家互联网信息办公室在开展数据出境安全评估工作中，将充分考量数据处理者申报事项的业务场景和实际需求，对个人信息出境必要性进行评估，评估要点主要包括出境活动本身的必要性、涉及自然人规模的必要性以及出境个人信息数据项范围的必要性等。

数据出境涉及众多行业领域，国家互联网信息办公室会同相关行业主管部门，逐步细化明确具体行业领域的数据出境业务场景以及个人信息出境必要范围，为企业机构数据出境提供更为细化的政策指引。

5. 如何识别重要数据？

答：根据《网络数据安全管理条例》第六十二条规定，重要数据是指特定领域、特定群体、特定区域或者达到一定精度和规模，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。《数据安全技术数据分类分级规则》（GB/T 43697-2024）附录G《重要数据识别指南》提出了重要数据识别方法。数据处理者可依据相关法律法规、技术标准等识别申报重要数据。

6. 重要数据是否意味着不能出境？

答：对于确需出境的重要数据，法律作了制度上的安排，经数据出境安全评估认为不会危害国家安全和社会公共利益的，可以出境。截至2025年3月，国家互联网信息办公室共完成数据出境安全评估项目298个，其中，44个申报项目涉及重要数据，评估结果为不通过的7个，不通过率为15.9%；44个申报项目涉及509个重要数据项，评估后准予出境的重要数据项为325个，占申报数据项总数的63.9%。

特别说明的是，《促进和规范数据跨境流动规定》明确，数据处理者按照相关规定申报重要数据，未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。

7. 行业技术标准制定过程中如何发挥外资企业的作用？

答：国家互联网信息办公室指导有关专业机构在制定行业技术标准过程中，高度重视并积极鼓励中外企业等各方参与，确保标准制定工作充分考虑国内外相关方需求。一是参与机制公开透明。国家互联网信息办公室指导全国网络安全标准化技术委员会坚持开放合作、广泛参与的原则，面向社会长期公开征集工作组成员单位。委员及下设工作组成员覆盖了一批有代表性的外资企业，其拥有和国内企业机构在标准参与、研讨方面平等的权利义务，作为工作组成员单位的外资企业能够全程参与，可在标准研制各环节充分提出意见和建议。二是标准工作程序公开透明。通过面向社会公开征集标准需求和标准参编单位、就标准草案面向社会公开征求意见等方式，确保各相关方公平公正参与标准制定。

8. 集团公司跨境传输个人信息有无更加便利的渠道？

答：一方面，境内多家子公司如同属一家集团公司且数据出境业务场景相似，可以由集团公司作为申报主体合并申报数据出境安全评估或者备案个人信息出境标准合同，提高数据出境工作效率。另一方面，国家互联网信息办公室正在推动出台个人信息出境保护认证相关管理办法，指导第三方专业认证机构对个人信息出境活动进行认证，境内企业和境外接收方任意一方通过认证，企业即可在认证范围内开展个人信息出境活动，对于通过认证的跨国集团，可在集团内开展个人信息出境活动，无需分别与各国子公司单独签订个人信息出境标准合同。

9. 申请延长数据出境安全评估结果有效期有无具体流程？

答：《促进和规范数据跨境流动规定》将数据出境安全评估结果有效期由原来的2年延长至3年，同时明确有效期届满，需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的，数据处理者可以在有效期届满前60个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请，经国家网信部门批准，可以延长评估结果有效期3年。目前，国家互联网信息办公室正在积极听取各方意见，加快研究延长评估结果有效期的流程，计划通过修订发布相关政策文件的方式予以明确，为企业机构数据出境创造更为便利的条件。

（来源：中国网信网）

分享网络安全知识强化网络安全意识

欢迎关注《中国信息安全》杂志官方抖音号

《中国信息安全》杂志倾力推荐

“企业成长计划”

点击下图了解详情