信息安全技术数据出境安全评价指引-编制说明-全国信息安全

国家标准《信息安全技术关键信息基础设施安全检查评估指南》编制说明一、工作简况1.1任务来源根据《中华人民共和国网络安全法》要求，关键信息基础设施要求在网络安全等级保护制度的基础上，实行重点保护，具体范围和安全保护办法由国务院制定。

网络安全法中明确要求关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，此外规定了国家网信部门应当统筹协调有关部门对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估。

为了落实网络安全法要求，规范关键信息基础设施检测评估相关方法、流程，全国信息安全标准化技术委员会于2016年立项《信息安全技术关键信息基础设施安全检查评估指南》国家标准，2016年7月，中央网信办网络安全协调局下达《<信息安全技术关键信息基础设施安全检查评估指南>国家标准制定》委托任务书，委托中国互联网络信息中心开展该标准的研制工作，并将本项目标识为WG7 组重点标准。

《信息安全技术关键信息基础设施安全检查评估指南》由中国互联网络信息中心牵头，国家计算机网络应急技术处理协调中心，国家信息技术安全研究中心、中国信息安全测评中心，工业和信息化部电子科学技术情报研究所（更名为国家工业信息安全发展研究中心）等单位共同参与起草。

1.2主要工作过程2017年1月至3月，《信息安全技术关键信息基础设施安全检查评估指南》由中国互联网络信息中心牵头，国家计算机网络应急技术处理协调中心，国家信息技术安全研究中心、中国信息安全测评中心，工业和信息化部电子科学技术情报研究所等单位共同参与讨论，讨论研究指南的编制，并形成标准讨论稿，向中央网信办领导汇报标准编制进展，并向全国信息安全标准化技术委员会提交项目申请。

2017年4月，标准通过全国信息安全标准化技术委员会WG7组会议讨论。

2017年4月，本标准获得由全国信息安全标准化技术委员会立项。

《信息安全技术数据出境安全评估指南》编制说明一、任务来源《信息安全技术数据出境安全评估指南》是国家标准化管理委员会批准的信息安全国家标准制定项目，国标计划号为XXX。

本标准为自主制定标准，牵头单位为上海华东电信研究院，参与标准申请单位有工业和信息化部电信研究院、公安部第一研究所、阿里巴巴（北京）软件服务有限公司、北京大学互联网发展研究中心、中国电子技术标准化研究院、中国电子信息产业发展研究院、国家信息技术安全研究中心、深圳市腾讯计算机系统有限公司、阿里云计算有限公司、蚂蚁金服、国信优易数据有限公司等11家单位，归口单位为全国信息安全标准化技术委员会（简称信安标委）。

二、项目的目的与意义数据出境安全评估指南是针对网络运营者开展个人信息和重要数据出境安全自评估，以及国家网信部门、行业主管部门组织开展的个人信息和重要数据出境安全评估的规范指引，指南旨在提供个人信息和重要数据出境的安全评估的流程、要点和方法，指导网络运营者开展数据出境安全评估工作，为国家相关政策法律的落地实施奠定基础，有助于促进数据出境安全评估有序开展，维护国家安全、经济发展，保障社会公共利益、个人隐私安全。

数据出境安全评估指南可以帮助数据出境各方参与主体：●明确数据出境安全评估管理流程●建立数据出境安全风险评估模型●衡量数据出境活动风险程度●判定网络运营者是否可以开展数据出境活动三、主要工作过程《数据出境安全评估指南》国家标准制定项目：（一）立项准备阶段1、2017年1月19日，标准牵头单位组织召开第一次研讨会，明确标准基本定位，研讨完善标准框架；2、2017年2月21日，标准牵头单位组织召开第二次研讨会，明确标准主要研究内容及要求；3、2017年3月，标准牵头单位组织召开第三次研讨会，进一步明确企业需求，深入了解典型企业数据出境场景；4、2017年4月，立项在大数据安全特别工作组获得通过；（二）编制起草阶段1、2017年5月10日，标准编制组召开第一次封闭研讨会，并对标准草案进行修改完善；2、2017年5月25日、26日，标准编制组召开第二次封闭研讨会，并对标准草案进行修改完善；3、2017年6月19日、20日，标准编制组召开第三次封闭研讨会，并对标准草案进行修改完善；4、2017年6月27日，召开专家评审会，收集到对标准草案的修改完善的意见；5、2017年6月28日，召开大数据安全特别工作组会议，同意根据会议意见，对标准文稿修改后，作为征求意见稿提交；6、2017年7月3日、4日，标准编制组召开第四次封闭研讨会，并对标准草案进行修改完善，形成了《信息安全技术数据出境安全评估指南》的征求意见稿。

数据出境安全评估申报指南（第一版）《数据出境安全评估办法》自2022年9月1日起施行。

为指导和帮助数据处理者规范、有序申报数据出境安全评估，特制定本指南。

一、适用范围数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信办向国家网信办申报数据出境安全评估：（一）数据处理者向境外提供重要数据；（二）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；（三）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；（四）国家网信办规定的其他需要申报数据出境安全评估的情形。

以下情形属于数据出境行为：（一）数据处理者将在境内运营中收集和产生的数据传输、存储至境外；（二）数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；（三）国家网信办规定的其他数据出境行为。

二、申报方式及流程数据处理者申报数据出境安全评估，应当通过所在地省级网信办申报数据出境安全评估。

申报方式为送达书面申报材料并附带材料电子版。

省级网信办收到申报材料后，在5个工作日内完成申报材料的完备性查验。

通过完备性查验的，省级网信办将申报材料上报国家网信办；未通过完备性查验的，数据处理者将收到申报退回通知。

国家网信办自收到省级网信办上报申报材料之日起7个工作日内，确定是否受理并书面通知数据处理者。

数据处理者如被告知补充或者更正申报材料，应当及时按照要求补充或者更正材料。

无正当理由不补充或者更正申报材料的，安全评估将会终止。

情况复杂的，数据处理者将被告知评估预计延长的时间。

评估完成后，数据处理者将收到评估结果通知书。

对评估结果无异议的，数据处理者须按照数据出境安全管理相关法律法规和评估结果通知书的有关要求，规范相关数据出境活动；对评估结果有异议的，数据处理者可以在收到评估结果通知书15个工作日内向国家网信办申请复评，复评结果为最终结论。

信息安全技术数据出境安全评估标准随着信息技术的快速发展以及互联网的普及，数据安全问题越来越受到人们的重视。

特别是在跨境数据交换与流转的背景下，数据出境安全评估成为了一项重要的技术和管理工作。

本文将围绕信息安全技术、数据出境安全评估的概念和标准进行探讨，旨在为相关从业人员提供参考和借鉴。

一、信息安全技术的重要性1.1 信息安全概念信息安全是指对信息系统和信息的保护，包括保证信息系统的可靠性、保密性、可用性、完整性和认证性等方面。

信息安全技术是为了保护信息的安全而采取的技术手段和措施，包括加密技术、防火墙、访问控制等。

1.2 信息安全在数据出境中的重要性数据出境涉及到跨国数据流转，如果数据在转移过程中受到攻击、泄露或篡改，将对企业和个人的利益造成重大损失。

在数据出境的过程中，信息安全技术的应用至关重要，可以有效保障数据的安全性，避免信息泄露和风险。

二、数据出境安全评估概念2.1 数据出境安全评估定义数据出境安全评估是指对数据出境过程中的安全风险、隐患和管理措施进行的一种评估工作。

其目的是发现和分析数据出境过程中的安全问题，评估数据出境的安全性，进而提供建议和措施，保证数据出境的安全。

2.2 数据出境安全评估主要内容数据出境安全评估主要包括以下内容：数据出境管理制度、数据传输加密技术、数据出境安全管理措施、数据出境安全保障机制等方面的评估。

评估的重点在于发现数据出境过程中存在的安全隐患，提出改进措施以及制定防范措施。

三、数据出境安全评估标准3.1 国际标准目前，数据出境安全评估领域的国际标准主要由ISO/IEC xxx国际标准和ISO/IEC xxx国际标准等制定。

这些标准主要针对信息安全体系的建立、实施、监督和改进，为数据出境安全评估提供了国际化的指导。

3.2 国家标准我国对于数据出境的安全评估工作也进行了一定的标准化工作，国家标准主要由《信息安全技术数据出境安全评估通用要求》和《信息安全技术数据出境安全评估指南》等相应标准制定。

《数据出境安全评估指南》
《数据出境安全评估指南》是一份针对数据出境的安全评估指南，旨在帮助组织评估和管理在数据出境过程中可能面临的安全风险。

该指南提供了一套方法论和步骤，用于帮助组织全面了解和评估数据出境的风险，并制定相应的控制措施来保护数据的安全。

该指南主要包括以下几个方面的内容：
1. 数据出境流程的梳理：该部分介绍了数据出境的常见流程和相关的关键步骤，帮助组织对数据出境的整个过程有一个清晰的认识。

2. 风险评估方法：该部分介绍了一些常用的风险评估方法，包括定性风险评估和定量风险评估等，用于帮助组织对潜在的安全风险进行评估和分类。

3. 安全控制措施：该部分列举了一些常见的安全控制措施，如访问控制、加密、审计和监控等，帮助组织选择合适的安全控制措施来降低数据出境的安全风险。

4. 法律和合规性要求：该部分介绍了一些涉及数据出境的法律法规和合规要求，帮助组织确保在数据出境过程中遵守相关的法律和规定。

通过使用《数据出境安全评估指南》，组织可以更好地评估和管理数据出境的安全风险，从而保护数据的机密性、完整性和
可用性。

同时，该指南也可以作为一份参考，帮助组织建立适应自身情况的数据出境安全管理策略。

国家互联网信息办公室公布《数据出境安全评估办法》文章属性•【公布机关】国家互联网信息办公室,国家互联网信息办公室,国家互联网信息办公室•【公布日期】2022.07.07•【分类】法规、规章解读正文国家互联网信息办公室公布《数据出境安全评估办法》7月7日，国家互联网信息办公室公布《数据出境安全评估办法》（以下简称《办法》），自2022年9月1日起施行。

国家互联网信息办公室有关负责人表示，出台《办法》旨在落实《网络安全法》、《数据安全法》、《个人信息保护法》的规定，规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动，切实以安全保发展、以发展促安全。

近年来，随着数字经济的蓬勃发展，数据跨境活动日益频繁，数据处理者的数据出境需求快速增长。

明确数据出境安全评估的具体规定，是促进数字经济健康发展、防范化解数据跨境安全风险的需要，是维护国家安全和社会公共利益的需要，是保护个人信息权益的需要。

《办法》规定了数据出境安全评估的范围、条件和程序，为数据出境安全评估工作提供了具体指引。

《办法》明确，数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估适用本办法。

提出数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合等原则。

《办法》规定了应当申报数据出境安全评估的情形，包括数据处理者向境外提供重要数据、关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息以及国家网信部门规定的其他需要申报数据出境安全评估的情形。

《办法》提出了数据出境安全评估的具体要求，规定数据处理者在申报数据出境安全评估前应当开展数据出境风险自评估并明确了重点评估事项。

规定数据处理者在与境外接收方订立的法律文件中明确约定数据安全保护责任义务，在数据出境安全评估有效期内发生影响数据出境安全的情形应当重新申报评估。

数据出境安全的“知”与“行”全球数字经济的发展催生海量的跨境数据流动，已经从个人信息泛化到包括非个人信息的一切数据范围，且在世界网络空间安全论坛中，数据跨境已经成为最重要的话题之一。

数据跨境包括国内的数据出境、国外的数据入境以及第三国的数据过境，今天且先聊一聊我国的数据出境。

我国对于数据出境的监管早在2017年，随着全球竞争格局的变化，我国数据出境的管辖法律法规体系日趋成熟，2022年7月7日正式发布了《数据出境安全评估办法》，使得出境要求日渐清晰明朗，如：出境情形、开展安全评估、签订法律文件、安全技术保障等，有效指导出海组织降低安全风险，提升数据保护整体水平。

数据安全出境的“知”与“行”知红线、行安全，知行合一，保数据安全出境。

一、数据出境安全“知多少”数据出境的定义《信息安全技术数据出境安全评估指南（草案）》中数据出境的定义：将在中华人民共和国境内收集和产生的电子形式的个人信息和重要数据，提供给境外机构、组织、个人的一次性活动或连续性活动。

（注：境外数据经由中华人民共和国中转，未经任何变动或加工处理的情形不属于数据出境。

）哪些行为是数据出境？1、地域转移：数据通过网络传输或物理转移到境外；2、远程访问：在境外通过网络访问境内的数据；3、其他情况：国外机构获取境内数据，例如境内的驻华使馆通过网络传输或者网络访问获取数据。

哪些数据可以出境，哪些不可以？数据处理者在境内收集和产生的个人信息和重要数据，如需出境，需要根据要求进行安全评估，根据评估结果确定是否可以出境。

（法律、行政法规另有规定的，依照其规定。

）1、严禁出境：国家秘密等；2、评估/审查/许可后出境：重要数据、敏感个人信息、大量个人信息、出境管制技术数据等；3、可自由流动：其他类型数据、国际/区域协议明示数据。

二、数据出境安全“如何行”数据安全出境保障做哪些，怎么做？组织可根据自身实际情况和需出境数据，由法务和技术人员进行基础的保障判断，可参考如下保障措施进行数据出境准备：第一步：数据出境安全评估要求确认严格按照国家法律法规要求，在重要数据和个人信息的出境活动之前履行数据出境安全评估责任和义务，并将评估结果报送监管单位；根据《数据出境安全评估办法》，符合以下情形，需要进行安全评估：① 数据处理者向境外提供重要数据；② 关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；③ 自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；④ 国家网信部门规定的其他需要申报数据出境安全评估的情形。

企业数据出境安全评估规则依据与申报指引数据出境不仅关乎国家安全，对于企业服从部门监管、预判经营风险、建立内部合规也至关重要。

自2016年《网络安全法》颁布，国家首次提出数据出境安全评估，将数据出境安全监管工作提上计划和日程，至2022年9月《数据出境安全评估办法》颁布，国家互联网信息办公室发布第一版《数据出境安全评估申报指南》，犹如靴子落地，标志着我国数据出境安全制度初步形成，企业数据出境正式被纳入统一管理范畴，依托企业自主申报数据出境安全评估的方式，国家互联网信息办公室将协同各行业主管部门审查与监管企业数据出境业务，维护数据安全与数据利用的平衡。

《数据出境安全评估申报指南》的出台意味着企业在进行数据运营和数据出境活动时必须考虑在什么情况下会触发出境安全评估机制，在预判可能或必然触发出境安全评估时，企业应当如何开展准备工作、对其数据业务进行合规化管理是十分有必要的。

应对和顺利通过安全评估才能维护其数据出境业务的正常进行。

本文基于相关法律法规，重点结合《数据出境安全评估申报指南》的实务要求，针对企业开展数据安全评估申报关键问题展开逐一梳理，为企业准备数据出境安全评估工作提供一些参考。

一、数据出境企业合规的法律依据《网络安全法》《个人信息保护法》《数据安全法》三部法律奠定了数据出境的法律框架和基础，从法律层面规范了数据出境的合规机制。

《中华人民共和国网络安全法》（“《网络安全法》”）最早提出了对于“关键信息基础设施运营者”（“CIIO”）的数据（无论是个人信息还是重要数据）均有本地化存储和必要情况下跨境传输时的评估义务要求，并授权国家网信部门会同国务院有关部门制定安全评估办法。

随后《数据安全法》和《个人信息保护法》也依次出台并生效，进一步完善了数据出境安全评估的上位法依据，拓展了申报数据出境安全评估的主体范围，即在CIIO基础上加入“处理个人信息达到国家网信部门规定数量的个人信息处理者”。

这两部法律从不同层面和角度规范了数据出境的合规机制，并通过《数据出境安全评估办法》最终落实了需要申报数据出境安全评估的规制对象即“个人信息及重要数据”和适用情形，根据不同情形参考不同上位法。