《数据跨境流动合规指南(试行)》.docxVIP

《数据跨境流动合规指南(试行)》

数据跨境流动合规工作需遵循《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》及《数据出境安全评估办法》《个人信息跨境流动标准合同规定》等法律法规要求，结合业务实际建立全流程合规体系。

一、适用范围与数据分类

本指南适用于在中国境内运营的组织、个人（以下统称“数据处理者”）向境外提供在中国境内收集和产生的数据（以下简称“数据出境”）的活动，包括通过网络传输、物理载体转移等方式向境外主体提供数据的行为。数据分类是合规基础，需按以下标准划分：

1.个人信息：区分一般个人信息、敏感个人信息（如生物识别、医疗健康、金融账户、行踪轨迹等）及核心个人信息（如涉及国家安全、公共利益或重大个人权益的敏感信息聚合）。

2.重要数据：按照《重要数据识别指南》，结合行业特点识别，包括但不限于能源、金融、电信、交通、自然资源、卫生健康、教育、科技等领域对国家安全、经济发展、公共利益有重要影响的数据。

3.核心数据：关系国家安全、国民经济命脉、重要民生、重大公共利益等最根本数据，具体范围参照国家相关规定。

二、数据出境前评估要求

数据处理者在数据出境前需完成以下评估，评估结论作为是否出境的依据：

1.个人信息保护影响评估（PIA）：针对个人信息出境，需重点评估：

数据处理目的、范围的合法性、正当性、必要性；

个人信息的数量、类型、敏感程度