《跨境数据流动安全管理规范》.docx

Q/LB.□XXXXX-XXXX

PAGEII

ICS

FORMTEXT?????

CCS

TFORMTEXT?????

FORMTEXT点击此处添加CCS号

团体标准

T/FORMTEXTXXXFORMTEXTXXXX—FORMTEXTXXXX

FORMTEXT?????

FORMTEXT跨境数据流动安全管理规范

FORMTEXT点击此处添加标准名称的英文译名

FORMDROPDOWN

FORMTEXT?????

FORMDROPDOWN

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX发布

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX实施

FORMTEXT???????发布

STYLEREF标准文件_文件编号T/XXXXXXX—XXXX

PAGE5

STYLEREF标准文件_文件编号T/XXXXXXX—XXXX

PAGE4

跨境数据流动安全管理规范

范围

本文件概述了跨境数据流动安全管理的原则、目标及关键活动，规定了安全要求及安全保障。

本文件适用于数据处理者对跨境数据的安全管理，为跨境数据流动的安全、合规提供参考。

规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T22239信息安全技术网络安全等级保护基本要求

GB/T35273信息安全技术个人信息安全规范

GB/T43697-2024数据安全技术数据分类分级规则

TC260-PG-20222A网络安全标准实践指南—个人信息跨境处理活动安全认证规范

术语和定义

GB/T43697-2024界定的以及下列术语和定义适用于本文件。

数据data

任何以电子或者其他方式记录的信息。

重要数据keydata

特定领域、特定群体、特定区域或达到一定精度和规模的，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。

仅影响组织自身或公民个体的数据一般不作为重要数据。

核心数据coredata

对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的，一旦被非法使用

或共享，可能直接影响政治安全的重要数据。

核心数据主要包括关系国家安全重点领域的数据，关系国民经济命脉、重要民生、重大公共利益的数据，经国家有关部门评估确定的其他数据。

一般数据generaldata

核心数据、重要数据之外的其他数据。

个人信息personalinformation

以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。

敏感个人信息sensitivepersonalinformation

一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。

数据处理者dataprocessor

对数据进行收集、存储、使用、加工、传输、提供、公开等处理的单位或个人。

境外接收方overseasrecipient

中华人民共和国境外自个人信息处理者处接收个人信息的组织、个人。

跨境数据流动transborderdataflow

数据处理者向境外提供在中华人民共和国境内运营中收集和产生的数据。

跨境数据流动安全管理概述

安全管理原则

跨境数据的流动应遵循合法、正当、必要的原则，具体包括：

权责一致：采取技术和其他必要措施保障跨境数据的安全，并承担因数据跨境造成的数据主体合法权益损害责任；

目的明确：具有明确、清晰、具体的数据跨境目的；

最小必要：只流动当前业务所需要的最少数据类型和数据量；

确保安全：具备与所面临的安全风险相匹配的安全能力，并采取足够的管理措施和技术手段，保护跨境数据的保密性、完整性、可用性；

合法合规：符合国家及行业相关法律法规要求及数据跨境参与方的有关合同约定。

安全管理目标

建立完善的体系化的安全管理措施，全方位进行安全管控，通过各种手段确保跨境数据流动安全，做到“事前可管、事中可控、事后可查”。

安全管理关键活动

跨境数据流动关键活动包含数据分类分级、数据安全评估、安全方案制定、数据流动、数据安全监测等环节。活动覆盖数据处理者、境外接收方及数据使用相关方。

跨境数据流动的安全要求

数据分类分级

基本要求

数据处理者应当根据所处行业、数据的重要性和敏感程度，做好自身的数据分类分级管理。

数据分