國家互聯(lián)網(wǎng)信息辦公室有關負責人就《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》答記者問

　　中新網(wǎng)3月22日電 據(jù)國家網(wǎng)信辦網(wǎng)站消息，3月22日，國家互聯(lián)網(wǎng)信息辦公室公布《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》(以下簡稱《規(guī)定》)。國家互聯(lián)網(wǎng)信息辦公室有關負責人就《規(guī)定》相關問題回答了記者提問。

　　問：請介紹一下《規(guī)定》的出臺背景？

　　答：我國積極促進數(shù)據(jù)依法有序自由流動，相繼制定實施《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》、《個人信息保護法》，對數(shù)據(jù)出境活動作出明確規(guī)定。《網(wǎng)絡安全法》規(guī)定，關鍵信息基礎設施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當在境內(nèi)存儲。因業(yè)務需要，確需向境外提供的，應當按照國家網(wǎng)信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。《數(shù)據(jù)安全法》規(guī)定，關鍵信息基礎設施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理，適用《網(wǎng)絡安全法》的規(guī)定；其他數(shù)據(jù)處理者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法，由國家網(wǎng)信部門會同國務院有關部門制定。《個人信息保護法》規(guī)定，個人信息處理者因業(yè)務等需要，確需向中華人民共和國境外提供個人信息的，應當具備通過國家網(wǎng)信部門組織的安全評估、按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構進行個人信息保護認證、按照國家網(wǎng)信部門制定的標準合同與境外接收方訂立合同等條件之一。中華人民共和國締結或者參加的國際條約、協(xié)定對向中華人民共和國境外提供個人信息的條件等有規(guī)定的，可以按照其規(guī)定執(zhí)行。法律作出這樣的規(guī)定，是為了切實保護人民群眾利益，維護國家網(wǎng)絡和數(shù)據(jù)安全，促進數(shù)據(jù)依法有序自由流動。數(shù)據(jù)出境安全管理不是對于所有數(shù)據(jù)，只限于重要數(shù)據(jù)和個人信息，這里的重要數(shù)據(jù)是針對國家而言，而不是針對企業(yè)和個人。

　　落實法律規(guī)定要求，國家互聯(lián)網(wǎng)信息辦公室公布了《數(shù)據(jù)出境安全評估辦法》和《個人信息出境標準合同辦法》，聯(lián)合國家市場監(jiān)督管理總局公布了《關于實施個人信息保護認證的公告》，基本構建了數(shù)據(jù)出境安全管理制度。此外，國家互聯(lián)網(wǎng)信息辦公室先后公布了《數(shù)據(jù)出境安全評估申報指南》、《個人信息出境標準合同備案指南》等文件，對數(shù)據(jù)處理者申報安全評估、備案標準合同的方式、流程及需提交的材料等具體要求作出了說明。

　　國家互聯(lián)網(wǎng)信息辦公室結合數(shù)據(jù)出境安全管理工作實際，制定《規(guī)定》，對現(xiàn)有數(shù)據(jù)出境安全評估、個人信息出境標準合同、個人信息保護認證等數(shù)據(jù)出境制度的實施和銜接作出進一步明確，適當放寬數(shù)據(jù)跨境流動條件，適度收窄數(shù)據(jù)出境安全評估范圍，在保障國家數(shù)據(jù)安全的前提下，便利數(shù)據(jù)跨境流動，降低企業(yè)合規(guī)成本，充分釋放數(shù)據(jù)要素價值，擴大高水平對外開放，為數(shù)字經(jīng)濟高質量發(fā)展提供法律保障。

　　問：《規(guī)定》的主要內(nèi)容是什么？

　　答：《規(guī)定》主要對下列內(nèi)容進行了規(guī)定：一是明確重要數(shù)據(jù)出境安全評估申報標準。二是明確免予申報數(shù)據(jù)出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證的數(shù)據(jù)出境活動條件。三是設立自由貿(mào)易試驗區(qū)負面清單制度。四是調(diào)整應當申報數(shù)據(jù)出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證的數(shù)據(jù)出境活動條件。五是延長數(shù)據(jù)出境安全評估結果有效期，增加數(shù)據(jù)處理者可以申請延長評估結果有效期的規(guī)定。

　　問：《規(guī)定》與《數(shù)據(jù)出境安全評估辦法》、《個人信息出境標準合同辦法》之間的關系是什么？

　　答：《數(shù)據(jù)出境安全評估辦法》、《個人信息出境標準合同辦法》相關規(guī)定與《規(guī)定》不一致的，適用《規(guī)定》。

　　問：如何理解數(shù)據(jù)出境活動所稱的重要數(shù)據(jù)？重要數(shù)據(jù)申報出境安全評估的標準是什么？

　　答：根據(jù)《數(shù)據(jù)出境安全評估辦法》，重要數(shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全等的數(shù)據(jù)。

　　《數(shù)據(jù)安全法》規(guī)定，國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)有關部門制定重要數(shù)據(jù)目錄，加強對重要數(shù)據(jù)的保護。各地區(qū)、各部門應當按照數(shù)據(jù)分類分級保護制度，確定本地區(qū)、本部門以及相關行業(yè)、領域的重要數(shù)據(jù)具體目錄，對列入目錄的數(shù)據(jù)進行重點保護。

　　根據(jù)《規(guī)定》，數(shù)據(jù)處理者應當按照相關規(guī)定識別、申報重要數(shù)據(jù)。未被相關部門、地區(qū)告知或者公開發(fā)布為重要數(shù)據(jù)的，數(shù)據(jù)處理者不需要作為重要數(shù)據(jù)申報數(shù)據(jù)出境安全評估。

　　問：個人信息、敏感個人信息是什么，如何判斷？

　　答：根據(jù)《個人信息保護法》，個人信息是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。匿名化，是指個人信息經(jīng)過處理無法識別特定自然人且不能復原的過程。

　　個人信息采用加密、脫敏等措施處理屬于去標識化，去標識化處理后的個人信息仍是《個人信息保護法》規(guī)定的個人信息。去標識化，是指個人信息經(jīng)過處理，使其在不借助額外信息的情況下無法識別特定自然人的過程。

　　敏感個人信息，是指一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。

　　問：關鍵信息基礎設施是什么，如何認定？

　　答：根據(jù)《關鍵信息基礎設施安全保護條例》，關鍵信息基礎設施是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業(yè)等重要行業(yè)和領域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網(wǎng)絡設施、信息系統(tǒng)等。

　　涉及的重要行業(yè)和領域的主管部門、監(jiān)督管理部門負責制定本行業(yè)、本領域關鍵信息基礎設施認定規(guī)則，組織認定本行業(yè)、本領域的關鍵信息基礎設施，及時將認定結果通知關鍵信息基礎設施運營者。

　　問：哪些數(shù)據(jù)出境活動免予申報數(shù)據(jù)出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證？

　　答：下列六種數(shù)據(jù)出境活動免予申報數(shù)據(jù)出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證：

　　一是國際貿(mào)易、跨境運輸、學術合作、跨國生產(chǎn)制造和市場營銷等活動中收集和產(chǎn)生的數(shù)據(jù)向境外提供，不包含個人信息或者重要數(shù)據(jù)的。二是在境外收集和產(chǎn)生的個人信息傳輸至境內(nèi)處理后向境外提供，處理過程中沒有引入境內(nèi)個人信息或者重要數(shù)據(jù)的。三是為訂立、履行個人作為一方當事人的合同，如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等，確需向境外提供個人信息的。四是按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施跨境人力資源管理，確需向境外提供員工個人信息的。五是緊急情況下為保護自然人的生命健康和財產(chǎn)安全，確需向境外提供個人信息的。六是關鍵信息基礎設施運營者以外的數(shù)據(jù)處理者自當年1月1日起累計向境外提供不滿10萬人個人信息(不含敏感個人信息)的。其中，第三種至第六種條件所稱向境外提供的個人信息，不包括被相關部門、地區(qū)告知或者公開發(fā)布為重要數(shù)據(jù)的個人信息。

　　問：如何理解自由貿(mào)易試驗區(qū)負面清單制度？

　　答：自由貿(mào)易試驗區(qū)在國家數(shù)據(jù)分類分級保護制度框架下，可以自行制定區(qū)內(nèi)需要納入數(shù)據(jù)出境安全評估、個人信息出境標準合同、個人信息保護認證管理范圍的數(shù)據(jù)清單(簡稱負面清單)。

　　自由貿(mào)易試驗區(qū)內(nèi)數(shù)據(jù)處理者向境外提供負面清單外的數(shù)據(jù)，可以免予申報數(shù)據(jù)出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。負面清單出臺前，自由貿(mào)易試驗區(qū)內(nèi)的數(shù)據(jù)出境活動按照國家數(shù)據(jù)出境安全管理有關規(guī)定執(zhí)行。

　　問：如何理解數(shù)據(jù)出境安全評估、個人信息出境標準合同、個人信息保護認證制度之間的關系？

　　答：對于重要數(shù)據(jù)的出境活動和符合應當申報數(shù)據(jù)出境安全評估條件的個人信息出境活動，必須通過數(shù)據(jù)出境安全評估。

　　對于未達到數(shù)據(jù)出境安全評估申報條件的個人信息出境活動，個人信息處理者可以結合自身情況，選擇訂立個人信息出境標準合同或者通過個人信息保護認證的方式。符合免予訂立個人信息出境標準合同、通過個人信息保護認證條件的，個人信息處理者無需履行相關程序。

　　問：哪些數(shù)據(jù)出境活動需要申報數(shù)據(jù)出境安全評估？

　　答：《規(guī)定》對《數(shù)據(jù)出境安全評估辦法》明確的應當申報數(shù)據(jù)出境安全評估的條件作了優(yōu)化調(diào)整?！兑?guī)定》明確了兩種應當申報數(shù)據(jù)出境安全評估的條件：一是關鍵信息基礎設施運營者向境外提供個人信息或者重要數(shù)據(jù)。二是關鍵信息基礎設施運營者以外的數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)，或者自當年1月1日起累計向境外提供100萬人以上個人信息(不含敏感個人信息)或者1萬人以上敏感個人信息。屬于《規(guī)定》第三條、第四條、第五條、第六條規(guī)定情形的，從其規(guī)定。

　　問：如何計算“自當年1月1日起累計向境外提供100萬人以上個人信息(不含敏感個人信息)或者1萬人以上敏感個人信息”？

　　答：計算周期為自當年1月1日起至申報數(shù)據(jù)出境安全評估之日，數(shù)量以自然人為單位去重后的統(tǒng)計結果為準。

　　屬于《規(guī)定》第三條、第四條、第五條第一款第一項至第三項、第六條規(guī)定情形的，不計入累計數(shù)量。

　　問：哪些數(shù)據(jù)出境活動需要訂立個人信息出境標準合同、通過個人信息保護認證？

　　答：《規(guī)定》對《個人信息出境標準合同辦法》明確的應當訂立個人信息出境標準合同的條件作了優(yōu)化調(diào)整。根據(jù)《規(guī)定》，關鍵信息基礎設施運營者以外的數(shù)據(jù)處理者自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息(不含敏感個人信息)或者不滿1萬人敏感個人信息的，應當依法與境外接收方訂立個人信息出境標準合同或者通過個人信息保護認證。屬于《規(guī)定》第三條、第四條、第五條、第六條規(guī)定情形的，從其規(guī)定。

　　需要說明的是，向境外提供被相關部門、地區(qū)告知或者公開發(fā)布為重要數(shù)據(jù)的個人信息，應當申報數(shù)據(jù)出境安全評估，不得選擇訂立個人信息出境標準合同或者通過個人信息保護認證的方式。

　　問：通過數(shù)據(jù)出境安全評估結果的有效期是多久？是否可以申請延期？

　　答：《規(guī)定》將通過數(shù)據(jù)出境安全評估結果的有效期由《數(shù)據(jù)出境安全評估辦法》中規(guī)定的2年延長至3年，自評估結果出具之日起計算。同時，增加數(shù)據(jù)處理者可以申請延長評估結果有效期的規(guī)定。有效期屆滿，需要繼續(xù)開展數(shù)據(jù)出境活動且未發(fā)生需要重新申報數(shù)據(jù)出境安全評估情形的，數(shù)據(jù)處理者可以在有效期屆滿前60個工作日內(nèi)通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門提出延長評估結果有效期申請。經(jīng)國家網(wǎng)信部門批準，可以延長評估結果有效期3年。

　　問：《規(guī)定》施行前已經(jīng)完成或者正在申報數(shù)據(jù)出境安全評估、提交個人信息出境標準合同備案的，如何適用本規(guī)定？

　　答：《規(guī)定》施行前已經(jīng)通過數(shù)據(jù)出境安全評估的數(shù)據(jù)出境活動，數(shù)據(jù)處理者可以根據(jù)申報事項繼續(xù)開展。

　　《規(guī)定》施行前未通過或者部分未通過數(shù)據(jù)出境安全評估，根據(jù)《規(guī)定》免予申報數(shù)據(jù)出境安全評估的數(shù)據(jù)出境活動，數(shù)據(jù)處理者可以依法通過訂立個人信息出境標準合同、通過個人信息保護認證等其他途徑向境外提供個人信息。

　　《規(guī)定》施行前已經(jīng)申報數(shù)據(jù)出境安全評估、提交個人信息出境標準合同備案，根據(jù)《規(guī)定》無需開展上述程序的，數(shù)據(jù)處理者可以按照原程序進行，也可以向所在地省級網(wǎng)信部門撤回申報、備案。

　　問：數(shù)據(jù)處理者如何申報數(shù)據(jù)出境安全評估、備案個人信息出境標準合同、申請個人信息保護認證？

　　答：申報數(shù)據(jù)出境安全評估、備案個人信息出境標準合同可以登錄數(shù)據(jù)出境申報系統(tǒng)，網(wǎng)址：https://sjcj.cac.gov.cn。已經(jīng)通過線下方式提交安全評估申報、標準合同備案材料的，不需要通過數(shù)據(jù)出境申報系統(tǒng)進行重新提交。申請個人信息保護認證可以登錄個人信息保護認證管理系統(tǒng)，網(wǎng)址：https://data.isccc.gov.cn。

　　關鍵信息基礎設施運營者或者其他不適合通過數(shù)據(jù)出境申報系統(tǒng)申報數(shù)據(jù)出境安全評估的，采用線下方式通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估。

　　問：數(shù)據(jù)出境咨詢、舉報聯(lián)系方式有哪些？

　　答：(1)數(shù)據(jù)出境安全評估申報：010-55627135，sjcj@cac.gov.cn；(2)個人信息出境標準合同備案：010-55627565，bzht@cac.gov.cn；(3)個人信息保護認證申請：010-82261100，data@isccc.gov.cn。

　　各地省級網(wǎng)信部門受理數(shù)據(jù)出境安全評估申報、個人信息出境標準合同備案工作的聯(lián)系方式(辦公地址、聯(lián)系電話)，詳見各省、自治區(qū)、直轄市和新疆生產(chǎn)建設兵團互聯(lián)網(wǎng)信息辦公室官網(wǎng)、微信公眾號，以及國家互聯(lián)網(wǎng)信息辦公室官網(wǎng)-數(shù)據(jù)治理欄目(https://www.cac.gov.cn)。