数据出境合规解读系列文章（二）：哪些数据受到出境监管？

作者：李瑞 贾申 李梦涵

《数据出境安全评估办法》已于９月１日正式生效，针对受制于出境监管的数据类别，如何识别相关数据？本文将聚焦实务场景澄清常见的误区，以期为企业提供进一步的指引。

///

导读：

数据跨境流动是近年来全球各法域的监管热点问题，我国也陆续出台了《网络安全法》《数据安全法》《个人信息保护法》《数据出境安全评估办法》等法律法规，以及《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》《数据出境安全评估申报指南（第一版）》《个人信息出境标准合同规定（征求意见稿）》等规范性文件，中国数据出境监管机制初步搭建成形。时值《数据出境安全评估办法》落地实施之际，我们结合相关法律法规要求和来自一线的实务观察，推出“数据出境合规解读”系列文章，详细拆解我国的数据出境监管框架，以期为相关企业开展数据出境合规工作提供实务指引。

在本系列的第一篇文章中，我们解读了企业实务中常见的数据出境场景（详见：企业数据出境合规系列解读（一）：盘点常见数据出境风险场景）。然而，并非所有数据的出境都会受到法律法规的限制。企业在明确自身存在数据出境场景后，下一步需要评估的就是相关数据的出境是否受到相关法律法规的限制。

2022年9月1日正式生效的《数据出境安全评估办法》（“《办法》”）中明确了重要数据和符合一定条件的个人信息的出境，需要向网信部门申请数据出境安全评估。因此，重要数据和个人信息，是两类首当其冲的受制于出境监管的数据。但是，在中国数据出境监管机制的总体框架下，还有其他数据类型（如国家秘密、特定行业中的特定数据）可能受制于出境监管要求；在某些场景下（如司法协助），所有数据类型都会受制于出境监管要求。与此同时，也并非所有个人信息的出境都会受制于监管要求。

本文将聚焦数据出境的“客体”，针对受制于出境监管的数据类别，解读如何识别相关数据，澄清实务中常见的误区，以期为企业提供进一步的指引。

一、重要数据

重要数据监管是国家数据安全分类分级制度的核心。《数据出境安全评估办法》细化和落实了《网络安全法》和《数据安全法》中对于重要数据出境的监管要求，即重要数据原则上应存储在中国境内，确需出境的，应当向国家网信部门申报出境安全评估。由于重要数据事关国家安全和公共利益，重要数据是我国数据出境监管机构最为关注的数据类型之一。

1. 重要数据的定义

对重要数据的定义和识别应放在数据分类分级体系的总体框架下进行。《数据安全法》第21条明确规定，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护，并提出有关部门将基于这一原则制定重要数据目录。但是，《数据安全法》及相关法律并未给出重要数据的穷尽列举性定义，相关部门的重要数据目录也尚未出台。

目前，对于重要数据的定义主要参见国家标准《信息安全技术 重要数据识别规则（征求意见稿）》（2022年3月16日版本）（“《重要数据识别规则》”）。其中提出重要数据的定义为“特定领域、特定群体、特定区域或达到一定精度和规模的数据，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。”特别需要注意的是，重要数据并不包括国家秘密。

2. 重要数据的识别方法

由于重要数据的目录尚待出台，目前，识别重要数据最主要的依据是现有的国家标准征求意见稿以及部分行业的法规。在国家标准层面，《重要数据识别规则》第5条提出了19类识别重要数据因素，对于企业实务具有重要的参考意义。下面仅试举3类作为示例：

直接影响影响国家主权、政权安全、政治制度、意识形态安全，如用以实施社会动员的数据属于重要数据；

直接影响领土安全和国家统一，或反映国家自然资源基础情况，如未公开的领陆、领水、领空数据等属于重要数据；

可被其他国家或组织利用发起对我国的军事打击，或反映我国战略储备、应急动员、作战等能力，如满足一定精度指标的地理信息或战略物资产能、储备量信息等属于重要数据。

此外，对于部分特别的行业而言，主管部门制定的法规可成为识别本行业重要数据的有益参考。例如，《汽车数据安全管理若干规定（试行）》中明确列举的重要数据包括如下几类，是目前的行业立法中可见的对重要数据最为直接、明确的描述：

军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据；

车辆流量、物流等反映经济运行情况的数据；

汽车充电网的运行数据；

包含人脸信息、车牌信息等的车外视频、图像数据；

涉及个人信息主体超过10万人的个人信息。

3. 常见误区——重要数据目录暂未出台，企业自身无法认定，就无需自主识别重要数据

重要数据与“关键信息基础设施”不同，不是由主管部门统一进行认定。而如前所述，由于重要数据目录尚待出台，目前很多企业对于如何识别重要数据存在诸多困惑。在实务中最常见的一种误区是，部分企业认为由于上述情况的存在，暂时无需识别自身是否存在重要数据，或者可以先被动等待重要数据目录出台，再启动重要数据的识别和合规工作。这种做法将给企业的数据出境合规工作带来很大的困扰。

根据《办法》，企业需要在2023年3月1日前完成对已开展的数据出境活动的整改。在重要数据目录正式出台之前，我们建议企业对标上述重要数据的定义、行业性法规和国家标准中的规定，初步识别自身是否可能被认定为掌握重要数据，再结合企业数据出境合规系列解读（一）：盘点常见数据出境风险场景一文，判断该等可能被认定为重要数据的数据是否存在出境情形。如有，则企业应及早开展该等数据出境的安全评估工作，甚至可积极主动与行业主管部门和网信部门进行沟通，寻求指导，而不应心存侥幸，导致企业在数据出境合规工作出现重大纰漏。

二、个人信息

根据《个人信息保护法》，个人信息出境的监管机制为“1+2”体系，即：

“1”：处理个人信息达到国家网信部门规定数量的个人信息处理者向境外提供个人信息，应当通过国家网信部门组织的安全评估。《办法》明确，落入本项要求的个人信息出境的情形包括：（1）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；（2）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息。

“2”：其他情况下的个人信息出境，应当经专业机构进行个人信息保护认证；或者与境外接收方订立国家网信部门发布的标准合同，约定双方的权利义务。目前，全国信息安全标准化技术委员会于2022年6月24日发布的《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》和国家网信办于2022年6月30日发布的《个人信息出境标准合同规定（征求意见稿）》分别规定了个人信息保护认证和制定个人信息出境标准合同的具体要求。

需说明的是，根据《个人信息保护法》的规定，自然人因个人或者家庭事务处理个人信息而发生出境的，不落入《个人信息保护法》规制范围。

下文不在此详细展开个人信息出境的具体方法，而将着眼于个人信息的定义、识别方式和常见的实务误区。

1. 个人信息的定义

个人信息的定义，清晰见于《个人信息保护法》第四条，即“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”

个人信息中最特别的类型是敏感个人信息，即“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。”对于敏感个人信息的保护应高于一般个人信息，也受制于更严格的出境监管（例如，触发出境安全评估的敏感个人信息量级远远低于一般个人信息）。

2. 个人信息的识别方法

国家标准GB/T 35273-2020《信息安全技术 个人信息安全规范》中明确，判定某项信息是否属于个人信息，有“识别/可识别”和“关联”两条路径，符合二者之一的信息均应判定为个人信息：

识别/可识别：即从信息到个人，由信息本身的特殊性识别出特定自然人，个人信息应有助于识别出特定个人；

关联：从个人到信息，如已知特定自然人，由该自然人在其活动中产生的信息（如个人位置信息、个人通话记录、个人浏览记录等）即为个人信息。

特别要注意的是，在某些情况下，大量的个人信息还可能构成重要数据而受制于出境安全评估要求。

3. 常见误区——企业自身无法依据掌握的信息定位到特定个人，则该信息就不属于个人信息

在实务中，对于自身掌握的部分信息，企业可能会因为无法单独依据这部分信息识别、定位到特定自然人，而认为这些信息不属于个人信息，这是一种常见的误区。例如，某些企业掌握不具名的医疗信息、或在不知晓司机身份的情况下仅掌握某一车辆的行程轨迹。

就个人信息的“识别”和“关联”两条路径而言：首先，“识别”不局限于企业自身进行识别，如原信息和其他辅助信息相结合，就能够定位到特定自然人，无论企业自身是否掌握该等辅助信息，均不影响原信息被认定为个人信息；其次，从“关联”的方法来看，尽管企业无法单独依靠原信息识别到特定个人，但其是由自然人在活动中产生的信息，与自然人相关联，也应认定为个人信息。

此外，国家标准GB/T 35273-2020《信息安全技术 个人信息安全规范》对于个人信息及敏感个人信息字段进行了详细列举，在实践中判定个人信息及/或敏感个人信息时，企业还可基于国家标准，比照自身掌握的可能落入个人信息以及敏感个人信息的字段进行判断。需要说明的是，由于商务实践进展较快，如果出现了某一类未记载于上述国家标准、但符合个人信息及/或敏感个人信息定义和识别原则的字段，企业仍应将其作为个人信息及/或敏感个人信息来处理。

三、其他受到出境管制的特定场景和特定数据

1. 第一种情形：司法协助

《数据安全法》第三十六条和《个人信息保护法》第四十一条为我国提供了应对外国机构长臂管辖的封阻法令，所有向外国司法或者执法机构提供境内存储的包括个人信息在内的数据的行为，应当经国内主管机关批准。

需要强调的是，在司法协助这种特殊的场景下，受到出境限制的数据为存储于境内的所有类型的数据，而不局限于重要数据或个人信息。

2. 第二种情形：国家秘密

根据《保守国家秘密法》，任何组织和个人不得邮寄、托运国家秘密载体出境，未经有关主管部门批准，不得携带、传递国家秘密载体出境。因此，国家秘密也是受到严格出境限制的一种数据类型。

首先，国家秘密的识别应遵循《保守国家秘密法》中对于国家秘密的原则性规定，即：

国家事务重大决策中的秘密事项；

国防建设和武装力量活动中的秘密事项；

外交和外事活动中的秘密事项以及对外承担保密义务的秘密事项；

国民经济和社会发展中的秘密事项；

科学技术中的秘密事项；

维护国家安全活动和追查刑事犯罪中的秘密事项；

经国家保密行政管理部门确定的其他秘密事项。

其次，根据《保守国家秘密法》，国家秘密载体和属于国家秘密的设备和产品，应当做出国家秘密标志，因此，在实践中还可通过国家秘密标志进行识别。

最后，除《保守国家秘密法》以外，各个行业也有关于国家秘密的特殊规定，例如《石油、石化工业国家秘密及其密级具体范围的规定》《电力工业工作中国家秘密及其密级具体范围的规定》等，也应作为企业识别国家秘密的重要参考规范。

3. 第三种情形：受到特殊行业出境监管要求的数据

一些特殊行业对于数据出境也有专门的要求。对于特殊行业的出境限制数据，除根据相关行业监管要求履行相关义务以外，在出境前也需判断是否会触发网信办数据出境安全评估要求；如果需要，则除非网信办与相关行业主管机构达成一致协议并做出释明，否则企业需要同时满足特殊行业监管要求及网信办数据出境安全评估要求方可将数据传输出境，而不可想当然认为满足其一即可。

以下是一些典型的存在特殊行业监管要求的数据类型：

（1）人类遗传资源

人类遗传资源包括人类遗传资源材料和人类遗传资源信息，前者是指含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料；后者是指利用人类遗传资源材料产生的数据等信息资料。根据《中华人民共和国人类遗传资源管理条例》以及原国家卫生计生委于2014年5月印发的《人口健康信息管理办法（试行）》，将我国人类遗传资源材料运送、邮寄、携带出境的，应当取得国务院科学技术行政部门出具的人类遗传资源材料出境证明，并凭人类遗传资源材料出境证明办理海关手续。

（2）网约车业务采集的个人信息和生成的业务数据

根据《网络预约出租汽车经营服务管理暂行办法》，网约车平台公司所采集的个人信息和生成的业务数据，应当在中国内地存储和使用，保存期限不少于2年，除法律法规另有规定外，个人信息和业务数据不得外流。

（3）其他部分行业的数据本地化要求

部分行业还设置了对服务器和数据存储设备的本地化要求。例如，根据《地图管理条例》，互联网地图服务单位应当将存放地图数据的服务器设在境内；根据《网络出版服务管理规定》，从事网络出版服务所需的必要的技术设备相关服务器和存储设备必须存放在境内。

综上所述，在明确自身存在数据出境场景后，准确梳理和识别出境的数据类型以及对应的出境监管要求，是企业数据出境合规的关键步骤。希望本文对受制于出境限制要求的数据类型及实践中的常见误区进行的梳理，对企业有所帮助。在本系列的下一篇文章中，我们将贴合企业实务，针对企业如何满足数据出境监管要求进行拆解与分析。

 作者简介

李瑞  律师

北京办公室  合伙人

业务领域：跨境投资并购, 反垄断和竞争法, 网络安全和数据保护

特色行业类别：文化娱乐产业

贾申

北京办公室  顾问

业务领域：反垄断和竞争法, 贸易合规和救济, 诉讼仲裁

李梦涵  律师

北京办公室  合规与政府监管部

作者往期文章推荐

特别声明：

以上所刊登的文章仅代表作者本人观点，不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。

如需转载或引用该等文章的任何内容，请私信沟通授权事宜，并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权，不得转载或使用该等文章中的任何内容，含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨，欢迎与本所联系。

点击“阅读原文”，可查阅该专业文章官网版。