数安实践｜领信数科数据跨境流通安全解决方案

在2024年全国“两会”期间的政府工作报告中首次提及了“数据跨境流动”，并将“扩大高水平对外开放，促进互利共赢”列为今年政府工作的十大任务之一。解决数据跨境流动等问题被视为落实外资企业国民待遇、加大吸引外资力度的关键之举。

数据跨境流动与开放发展密切相关。十年来，党中央先后分6批部署设立了21个自贸试验区。在推动发展建设工作的同时，也必须重视保障数据跨境流通安全。随着数据成为新型生产要素从而成为推动数字经济发展的核心动力，数据跨境流动已成为数字经济的重要组成部分。2024年，各地自由贸易试验区将进一步率先探索和先行，积极发挥跨境数据作为生产要素，在跨境流动过程中产生释放的巨大价值。

数据跨境流动相关法律法规

2022年12月，中共中央和国务院发布了《关于构建数据基础制度更好发展数据要素作用的意见》（简称“数据二十条”），明确要求深化开放合作，实现互利共赢。具体措施包括积极参与国际规则制定、探索加入区域性国际数据跨境流动制度安排以及推动双边和多边协商，建立互利互惠的规则和制度安排，同时鼓励探索数据跨境流动与合作的新途径和新模式。

“数据二十条”为开放发展定下了基调，以《数据出境安全评估办法》（以下简称《评估办法》）为基础，促进数据的自由、有序和高效流动。2023年的中央经济工作会议再次强调“扩大高水平对外开放”。而实现高水平的开放需要高水平应用数据要素，因此会议提出了要对标国际高标准经贸规则，并认真解决数据跨境流动问题。

自2023年9月28日国家互联网信息办公室发布《规范和促进数据跨境流动规定（征求意见稿）》（简称“928新规”）以来，数据跨境监管动态一直悬而未决，企业对于后续的政策及监管趋势存在诸多疑虑。2024年3月22日，《促进和规范数据跨境流动规定》（以下简称“《规定》”）正式发布并自公布之日起施行，规定以促进为主，兼顾规范，对于企业来讲，减负信号更为明显，监管确定性增强。

《促进和规范数据跨境流动规定》

发布的原因？

中央“稳经济、稳外资、稳外贸、保增长”的政策指向是新规出台最为核心的原因。2024年3月，国务院进一步发布《扎实推进高水平对外开放更大力度吸引和利用外资行动方案》提及：“支持外商投资企业与总部数据流动。规范数据跨境安全管理，组织开展数据出境安全评估、规范个人信息出境标准合同备案等相关工作，促进外商投资企业研发、生产、销售等数据跨境安全有序流动”。在2022年发布评估办法后，实践过程中也遇到了，申报周期长，准备材料多等不确定性，对企业而言整改成本高，缺乏豁免条件表述，导致实施过程难统筹。

在稳外资，促发展的前提下，《规定》可以有效降低企业的合规成本和对上述潜在问题的顾虑，在保证安全底线的同时稳固发展趋势。

《规定》带来的便利性趋势

《规定》第四条规定，“数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供，处理过程中没有引入境内个人信息或者重要数据的，不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。”对于在国内建设跨境数据中心、面向海外市场的企业而言，是利好消息。

《规定》增加了对个人发起场景的列举，为企业判断豁免情形提供了更多参考。国家网信办同步发布了《数据出境安全评估申报指南（第二版）》和《个人信息出境标准合同备案指南（第二版）》，对数据处理者需要提交的相关材料进行了优化简化，同步开通了“数据出境申报系统”。

自贸区将成为数据跨境流动的

先行试验田

《规定》第六条，“自由贸易试验区在国家数据分类分级保护制度框架下，可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（以下简称负面清单），经省级网络安全和信息化委员会批准后，报国家网信部门、国家数据管理部门备案。”

自由贸易试验区内数据处理者向境外提供负面清单外的数据，可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

近期网安标委发布的《数据安全技术数据分类分级规则》整合了之前重要数据相关国标征求意见稿，给出了数据分类分级的通用规则以及重要数据识别指南，用于指导各行业领域、各地区、各部门的主管机构和数据处理者开展数据分类分级工作。因此，自贸区可以在现有法律法规上进一步发布符合自己需求和特色的相关要求和规定，在数据跨境流动的问题上进行探索和尝试。

哪些单位的数据出境行为需要进行

数据安全评估？

关键基础设施运营者跨境传输重要数据和个人信息应当进行安全评估。

对非关键基础设施运营者的其他单位而言，《评估办法》规定四类情况下的数据出境必须进行安全评估：

(1) 涉及重要数据；

(2) 处理个人信息达到一百万人的个人信息处理者向境外提供个人信息；

(3) 自上年1月1日起累计向境外提供超过十万人的个人信息；

(4) 自上年1月1日起累计向境外提供超过一万人的敏感个人信息。

除《评估办法》外，部分行业主管（例如自贸区）部门通常也会要求本行业的数据不得存储在境外服务器，如人口健康数据、地图数据、人类遗传资源信息等，企业和组织应当注意不得将相关数据传输至境外。

以某自贸区为案例的解决方案

| 管理体系

相关方涉及主要有国家监管单位（网信办），运营和建设方（自贸区管委会）以及企业（包括自贸区管理范围内的分支机构和下级单位）。

网信办主要工作包括：

（1）审核来自于自贸区提交的所管理企业上报的数据出境通道，如不达标则退回并提供整改建议；

（2）监督和指导自贸区委员会建设统一出境监测预警管理总平台；

（3）定期开展“专项行动”，对已上报的数据出境通道进行合规检查，对未上报、瞒报的数据出境通道进行专项发现。

自贸区管委会的主要工作包括：

（1）建设和运营自贸区统一出境监测预警管理总平台；

（2）在自贸区内制定数据出境相关管理制度并初步审核所管理企业提交的数据出境传输通道的申请；

（3）对所管理范围的企业推广出境监测预警管理子平台、企业安全服务终端数据安全检查工具箱，并为企业提供必要的指导、培训和宣贯；

（4）配合监管单位执行专项检查行动，发现企业内部未报、漏报、瞒报的数据出境通道，以及申报通道中是否含有潜在的风险事件；

（5）对发现的潜在的数据风险事件，协助企业进行处置闭环，确保不发生重大数据泄露事件。

企业主要工作包括：

（1）应当积极通过平台申报数据出境通道，并定期借助数据安全工具开展自评估和自检查，发现问题后，及时整改；

（2）安装企业安全服务终端，确保当数据出境通道传输的内容发生变化时，能够及时发现潜在的风险并应急处置；

（3）积极配合监管单位和管委会，定期开展专项检查行动，遵守国家法律法规和管委会制定的自贸区数据出境相关要求。

总结

随着数据安全标准不断完善和安全监管力度不断强化，数据跨境流通作为数据要素流动中的一种形式，需求日益增长的同时，流通过程中的安全也不断面临着新的挑战。

领信数科多年来积极参与国家信息安全标准规范的制定，不断探索数据安全的各个领域，积极实践积累了大量的运营经验，公司以“保护数据流通·实现数据价值”作为产品技术创新理念，拥有数字身份安全、边界安全、数据（隐私计算）安全、零信任安全、视频安全、云安全与智能大数据等七大产线及解决方案。领信数科积极响应国家对数据要素流通安全的建设需求，通过咨询服务、产品技术和平台运营的有效结合，力求让数据“供”得放心，“动”得清晰，“用”得安心。