出過國的朋友都知道，出境要過安檢，過海關，由海關對進出口貨物、旅客行李和郵遞物品、進出境運輸工具等實施監督管理。但大家知不知道，數據出境也需要過"安檢"！

"數據出境"知多少？

關于“數據出境”的最早規定是由《網絡安全法》提出，《網絡安全法》三十七條規定，關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。

個人信息：根據《網絡安全法》第七十六條，個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。

重要數據：2017年4月11日發布的《個人信息和重要數據出境安全評估辦法（征求意見稿）》第十七條明確規定，重要數據，是指與國家安全、經濟發展，以及社會公共利益密切相關的數據，具體范圍參照國家有關標準和重要數據識別指南。隨后，全國信息安全標準化技術委員會先后發布兩稿《信息安全技術 數據出境安全評估指南》征求意見，其中對重要數據的定義更新為：相關組織、機構和個人在境內收集、產生的不涉及國家秘密，但與國家安全、經濟發展以及公共利益密切相關的數據(包括原始數據和衍生數據)。同時提供了附錄《重要數據識別指南》，列明了各行業中重要數據的范圍。

到目前為止，我國有關“數據出境”的法規標準共有4部，按頒布順序分別是，《網絡安全法》、《個人信息和重要數據出境安全評估辦法（征求意見稿）》、《信息安全技術 數據出境安全評估指南（草案）》、《信息安全技術 數據出境安全評估指南（征求意見稿）》。

隨著時間的推移，相關法規標準不斷完善，相關定義條款不斷豐滿、細化，安數網絡帶你一圖看懂“數據出境”配套法規的演化：

說了這么久，“數據出境”的定義到底是什么？

根據最新發布的《信息安全技術 數據出境安全評估指南（征求意見稿）》，數據出境是指網絡運營者通過網絡等方式，將其在中華人民共和國境內運營中收集和產生的個人信息和重要數據，通過直接提供或開展業務、提供服務、產品等方式提供給境外的機構、組織或個人的一次性活動或連續性活動。

《評估辦法》與《評估指南》的差異

《個人信息和重要數據出境安全評估辦法》（下稱《評估辦法》）是由國家互聯網信息辦公室制定并發布，而《信息安全技術 數據出境安全評估指南》（下稱《評估指南》）是由全國信息安全標準化技術委員會制定并發布，《評估指南》僅為推薦性國家標準（GB/T），但《評估辦法》第十七條在闡述重要數據概念時，提到其具體范圍參照國家有關標準和重要數據識別指南，而這個重要數據識別指南恰恰就藏在《評估指南》中。

可見，在《網絡安全法》與《評估辦法》對數據出境安全評估的具體規則留有空白的情形下，《評估指南》作為數據出境安全評估制度的重要組成部分，填補了上述兩項法規的空白，為數據出境的安全評估提供了指引，增強了其可操作性。

《評估指南》與《評估辦法》存在關聯和相互映射的關系，也存在些許差異，前者對后者已有的規定進行了細化，使其更容易落地。具體細化的內容包括：

1、細化數據出境安全評估的適用范圍及例外

《評估辦法》規定，數據出境，是指網絡運營者將在中華人民共和國境內運營中收集和產生的個人信息和重要數據，提供給位于境外的機構、組織、個人。

《評估指南》則將數據出境的定義細化為網絡運營者通過網絡等方式，將其在中華人民共和國境內運營中收集和產生的個人信息和重要數據，通過直接提供或開展業務、提供服務、產品等方式提供給境外的機構、組織或個人的一次性活動或連續性活動，相較《評估辦法》更為具體。

《評估指南》還以注解的形式進一步界定了數據出境的內涵，排除例外的情況，使數據出境安全評估范圍更為清晰。

2、細化個人信息及重要數據的類型

《評估指南》通過注解形式建議個人信息的范圍和類別可參考《信息安全技術個人信息安全規范》（下稱《安全規范》）。網絡運營者在收集個人信息時應結合《安全規范》與《評估辦法》的規定，針對需要出境的個人信息的數量、范圍、類型、敏感程度，以及個人信息主體是否同意其個人信息出境等內容進行詳細分類以應對數據出境安全評估的需要。

作為《評估指南》附錄的《重要數據識別指南》明確了包括石油天然氣、煤炭、石化、電力、通信、電子信息、鋼鐵等在內的二十七個行業（領域）的重要數據范圍，相關行業的主管部門應結合實際情況，明確本行業（領域）重要數據定義、范圍或判定依據，并根據行業（領域）發展變化，及時更新或替換相關內容。因此，相關行業的網絡運營者應及時了解本行業主管部門有關重要數據的規定及更新，對相關重要數據分類備案，一旦需要跨境傳輸，及時加工處理以滿足安全評估的要求。

3、增加網絡運營者對個人信息出境的告知義務

關于個人信息出境，《評估辦法》要求網絡運營者應向個人信息主體說明數據出境的目的、范圍、內容、接收方及接收方所在的國家或地區并經其同意，明令禁止個人信息未經個人信息主體同意即出境。

《評估指南》則在此基礎上增加了網絡運營者的告知義務，要求網絡運營者在取得個人信息主體同意前，應將數據出境的目的、類型、數據接收方情況及數據出境可能存在的風險，網絡運營者的聯系人及其聯系方式等信息明確告知個人信息主體。

4、細分評估流程，區別安全自評估與主管部門評估

《評估辦法》僅在條文中規定行業主管或監管部門負責本行業數據出境安全評估工作以及網絡運營者在數據出境前自行組織數據出境安全評估并對結果負責的內容。

《評估指南》則在《評估辦法》基礎上分別闡述了安全自評估與主管部門評估兩類模式各自的程序，體現了安全自評估與主管部門評估在啟動條件、評估工作組組成、評估報告以及評估流程上的差異。

值得注意的是，《評估辦法》第九條列舉了網絡運營者主動報請行業主管或監管部門組織安全評估的情形，《評估指南》在所列舉的主管部門評估的啟動條件中增加了大量用戶投訴、舉報以及全國性行業協會建議兩類啟動條件，增加了主管部門根據公眾反饋主動采取安全評估的靈活性。

安數網絡特別整理了兩者對啟動主管部門安全評估所涉條件的差異：

"數據出境第一案"解讀

在數據出境相關法律法規頒布1年之后，2018年10月24日，科技部公開了6條處罰信息，涉及華大基因、藥明康德、復旦大學附屬華山醫院、昆皓睿誠、廈門艾德生物、阿斯利康等6家單位，其中華大基因的《行政處罰判決書》赫然寫著：華大科技未經許可將部分人類遺傳資源信息從網上傳遞出境。

截圖自科技部官網

這是公開可查的第一例數據出境處罰案例。據科技部官網顯示，華大基因的涉案數據為“中國女性單相抑郁癥的大樣本病例對照研究”相關的人類遺傳資源信息。

對照現行的”數據出境“相關法規標準，我們來看看華大基因踩了哪些雷？

對照《網絡安全法》解讀

《網絡安全法》第三十七條：關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當進行安全評估。

首先判定華大基因是否為關鍵信息基礎設施的運營者。打開華大基因的官網，可以發現該公司從事多個基因、遺傳學相關的重大項目研究，其中最聲名顯赫的要數國家基因庫，下面是華大基因官網對國家基因庫的介紹：

截圖自華大基因官網

按照介紹，華大基因的國家基因庫存儲了海量的人類遺傳資源信息和個人DNA信息，對照中央網信辦下發的《關鍵信息基礎設施確定指南(試行)》,一旦發生事故，可能造成以下影響之一：

（3）導致5人以上死亡或50人以上重傷；

（4）直接造成5000萬元以上經濟損失；

（5）造成超過100萬人個人信息泄露；

（6）造成大量機構、企業敏感信息泄露；

（7）造成大量地理、人口、資源等國家基礎數據泄露；

選自《關鍵信息基礎設施確定指南(試行)》

因此，可以判定運營著國家基因庫以及多個重大基因項目的華大基因屬于關鍵信息基礎設施的運營者。那么，只要華大基因未經安全評估，就將收集的個人信息（人類遺傳資源信息）傳輸到境外，必然屬于違反《網絡安全法》無疑。

對照《個人信息和重要數據出境安全評估辦法》解讀

《評估辦法（征求意見稿）》中，將數據出境的定義擴大到：網絡運營者將在中華人民共和國境內運營中收集和產生的個人信息和重要數據，提供給位于境外的機構、組織、個人。

如何定義網絡運營者？《網絡安全法》和《評估辦法》給出的釋義都是：指網絡的所有者、管理者和網絡服務提供者。華大基因屬于企業互聯網、局域網、信息系統等各類網絡的所有者、管理者，可判定為網絡運營者。

《評估辦法》第九條規定了應報請主管部門組織安全評估的情況:

截圖自《個人信息和重要數據出境安全評估辦法（征求意見稿）》

顯然，作為網絡運營者的華大基因，如果要將屬于人口健康領域的數據（人類遺傳資源信息），應當先申報主管部門進行安全評估，如未申報，則屬于違反《評估辦法》。

對照《信息安全技術 數據出境安全評估指南》解讀

盡管《評估指南（征求意見稿）》目前只是推薦性國家標準，不能作為違法處置的依據，但對于企事業單位積極做好數據出境安全保護工作，仍然有重要的借鑒作用。

《評估指南（征求意見稿）》對數據出境的定義進一步細化：

網絡運營者通過網絡等方式，將其在中華人民共和國境內運營中收集和產生的個人信息和重要數據，通過直接提供或開展業務、提供服務、產品等方式提供給境外的機構、組織或個人的一次性活動或連續性活動。

注1：以下情形屬于數據出境:

向本國境內，但不屬于本國司法管轄或未在境內注冊的主體提供個人信息和重要數據；

數據未轉移存儲至本國以外的地方，但被境外的機構、組織、個人訪問查看的（公開信息、網頁訪問除外）；

網絡運營者集團內部數據由境內轉移至境外，涉及其在境內運營中收集和產生的個人信息和重要數據的。

注2：非在境內運營中收集和產生的個人信息和重要數據經由本國出境，未經任何變動或加工處理的，不屬于數據出境。

注3：非在境內運營中收集和產生的個人信息和重要數據在境內存儲、加工處理后出境，不涉及境內運營中收集和產生的個人信息和重要數據的，不屬于數據出境。

《評估指南（征求意見稿）》增加了安全自評估這一流程，規定網絡運營者應每年進行安全自評估，在數據出境之前首先啟動安全自評估，并且至少保存2年，涉及以下數據出境時，上報自評估報告：

截圖自《信息安全技術 數據出境安全評估指南（征求意見稿）》

因此，只要華大基因在數據出境之前未啟動安全自評估，未保存至少2年的自評估報告并上報主管部門，則屬于違反《評估指南》。

另外，根據《評估指南（征求意見稿）》的附錄A《重要數據識別指南》，個人和家族的遺傳信息被歸劃到重要數據行列，因此華大基因的涉案數據（人類遺傳資源信息）不僅觸碰了”個人信息“的紅線，也觸碰了”重要數據“的紅線。

截圖自《信息安全技術 數據出境安全評估指南（征求意見稿）》

相關法規標準下載

隨著全球化運營，以及對外合作業務的增加，企事業單位日常工作中難免會碰到需要數據出境的情況，不少企業也開始關注其境外總部或境內實體是否有義務將其數據存儲在境內。為了更好地開展數據安全保護工作，有必要熟讀并理解相關法規標準。

關注“安數網絡”公眾號

回復“數據出境”即可獲取數據出境相關法規標準。

本文部分內容參考 北京觀韜中茂律師事務所吳丹君律師、周天一律師撰寫的文章，如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。電話：400-869-9193  負責人：張明

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:網絡

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明