2023年数据出境合规年鉴.pdfVIP

©2023云安全联盟大中华区版权所有1

序言

毫无疑问，2023年可称为中国数据跨境监管的元年，这一年初出境评估的“蓬勃”和

将近年末的数据出境法律调整“震荡”态势，说明着包括中国在内，数据跨境监管在各种国

际和国内因素共同作用下的抉择艰难。尽管如此，作为数据出境的主体，企业需要一种政策

和法律的稳定性和预期性，《年数据出境合规年鉴》（以下简称“报告”）正是从企

2023

业合规视角出发的一次对中国数据跨境法律的整体梳理。

报告系统的整理了目前中国数据出境监管的法律制度要求，这一制度呈现为基础法律、

规范性文件、标准、指南的立体结构，并从原则到已经具有一定颗粒度的指引，说明监管者

规范数据出境活动的良苦用心。同时，这一体系化结构也意味着可解释和可例外的场景虽然

很多，包括自贸区等先行先试模式在一定区域范围、数据类型、甚至字段级别的“突破”，

但整体上不太可能存在“颠覆性”的规则重塑，因此企业所寻求的稳定性和对出境活动后果

的可预期性事实上也是清晰和明确的，大可不必为所谓监管的“不确定性”焦虑。进一步的，

报告着力于从已经公开的评估、备案信息中，分析和识别一般规律，包括涉及的行业特征、

所在区域的省级网信部门的指导能力、企业对可适用出境路径的定性判断等等，这些抽象的、

一般的规律性认识，对未来无论是数据出境的细节考虑，还是常态化的企业数据合规建设应

都有启发。当然最为重要的是，需要将CSA大中华区在数据技术和管理中的最佳实践和较

优做法注入到数据出境场景，成为数据跨境企业赋能的一部分，在更广阔的全球范围内分享

中国数据跨境的监管规则变迁、落地个案的优劣得失，并将全球主要国家的政策法律进行符

合中国跨境监管要求的解读和适配。在秉持中立性的原则下加强和推动不同国家跨境监管制

度的交流和协调，为繁荣数字经济和贸易活动贡献力量，这也是启动报告工作的初衷和意愿

所在。从这一意义上，这份发起于数据跨境监管元年的报告将只是一个起点、一个尝试。在

全球视野下报告所涉及的领域和方向仍将有诸多方向的持续性进展，值得每位报告参与者和

关注报告的每位读者保持关注，甚至倾注更多力量。

李雨航YaleLi

CSA大中华区主席兼研究院院长

目录

致谢4

序言5

1、法律规定8

1.1网络安全法、数据安全法8

1.2数据出境安全评估办法9

1.3网络安全标准实践指南—个人信息跨境处理活动安全认证规范9

1.4个人信息出境标准合同办法10

2、指南规则11

2.1数据出境的路径11

2.2数据出境安全评估申报指南（第一版）（摘引）12

2.3重点省（直辖市）基于标准合同签署和备案的指南（概要）17

2.4个人信息保护认证实施规则（摘引）18

2.5个人信息出境标准合同备案指南（第一版）（摘引）20

3、出境现状26

3.1已经通过评估情况26

3.2已经通过备案的情况34

4、合规要求与示范36

4.1指南文件的一般性规范整理36

4.2如何确定适用评估或备案36

4.3如何认定数据出境行为（活动）37

4.4如何识别数据处理者（境内）37

4.5如何确定境外数据接收方38

4.6如何理解数据出境方式的公网和专线39

4.7出境链路描述示范（含云）40

4.8确定数据安全负责人的注意事项（境内和境外）41

4.9出境合同与业务主合同关系及其他注意事项41

4.10附加考虑：不同行业的重要数据识别与安全进展42

4.11附加考虑：应当由哪方描述境外数据安全法律政策环境43

5、数据安全保障能力44

5.1收集45

5.2存储46

5.3使用47