连载目录

1第一章  网络安全法导读

2第二章  网络安全法总则

3第三章  网络安全支持与促进制度

4第四章  网络运行安全制度一般规定（上）

5第四章  网络运行安全制度一般规定（下）

6第五章  关键信息基础设施运行安全制度

7第六章  个人信息保护制度（上）

8第六章  个人信息保护制度（中）

9第六章  个人信息保护制度（下）

10第七章  违法信息监管制度

11第八章  数据出境安全管理制度

12第九章  网络安全监测预警与应急处置制度

13第十章  网络安全法律责任制度

（1）在网络安全法中，第三章“网络运行安全”第二节“关键信息基础设施的运行安全”中的第三十七条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”这是关于个人信息和重要数据在境内存储和向境外提供的原则性规定，我国的数据出境安全管理制度由此设立。

本章专门讨论数据出境安全管理制度。虽然网络安全法第三十七条出现在第三章网络运行安全中，但是该条涉及的数据出境问题，实质上属于网络信息安全领域。因此，本章安排在个人信息保护制度和违法信息监管制度两章之后，纳入网络安全法的网络信息安全制度框架之内。数据出境安全管理不是对于所有数据，只限于重要数据和个人信息，这里的重要数据是针对国家而言，而不是针对企业和个人。

（2）在数据安全法中，第二十一条第二款规定：关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。第三十一条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。”数据处理者是指在数据处理活动中自主决定处理目的和处理方式的个人和组织。

（3）在个人信息保护法中，第三十六条规定：“国家机关处理的个人信息应当在中华人民共和国境内存储；确需向境外提供的，应当进行安全评估。安全评估可以要求有关部门提供支持与协助。”第三十七条规定：“法律、法规授权的具有管理公共事务职能的组织为履行法定职责处理个人信息，适用本法关于国家机关处理个人信息的规定。”第三十八条规定：“个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；（四）法律、行政法规或者国家网信部门规定的其他条件。中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。”第五十五条规定，有“向境外提供个人信息”的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录。另有第三章专门规定“个人信息跨境提供的规则”。

（4）为建立数据出境安全评估制度，国家网信办近几年先后发布三份征求意见稿：2017年4月11日的《个人信息和重要数据出境安全评估办法（征求意见稿）》；2019年6月13日的《个人信息出境安全评估办法（征求意见稿）》；2021年10月29日的《数据出境安全评估办法（征求意见稿）》。这三份文件的先后发布，表明主管部门关于数据出境安全评估制度的建设路径调整情况：开始的建设路径是就个人信息和重要数据统一制定出境安全评估办法；后来的建设路径是就个人信息和重要数据分别制定出境安全评估办法；再后来的建设路径又是就数据（既包括重要数据、也包括个人信息）统一制定出境安全评估办法。第三份征求意见稿是在2021年6月10日数据安全法通过、2021年8月20日个人信息保护法通过之后发布的。

2022年7月7日《数据出境安全评估办法》由国家网信办正式发布，自2022年9月1日起施行。为指导和帮助数据处理者规范、有序申报数据出境安全评估，国家网信办2022年8月31日发布《数据出境安全评估申报指南（第一版）》，对数据出境安全评估申报方式、申报流程、申报材料等具体要求作出说明。数据处理者因业务需要确需向境外提供数据，符合数据出境安全评估适用情形的，应当根据《数据出境安全评估办法》规定，按照申报指南申报数据出境安全评估。

2022年6月24日，安标委秘书处发布《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》（V1.0）。时隔不到半年，2022年12月16日，安标委秘书处发布《网络安全标准实践指南——个人信息跨境处理活动安全认证规范V2.0》，以支撑个人信息保护认证实施，指导个人信息处理者规范开展个人信息跨境处理活动。该实践指南规定了跨境处理个人信息应遵循的基本原则、个人信息处理者和境外接收方在个人信息跨境处理活动的个人信息保护、个人信息主体权益保障等方面内容。

（5）2024年3月22日，国家网信办公布《促进和规范数据跨境流动规定》，自公布之日起施行。数据跨境流动已经成为全球资金、信息、技术、人才、货物等资源要素交换、共享的基础。为了促进数据依法有序自由流动，激发数据要素价值，扩大高水平对外开放，该文件对数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度作出优化调整。

（6）2017年8月30日发布的《信息安全技术  数据出境安全评估指南（征求意见稿）》有附录A《重要数据识别指南》。2022年1月13日，安标委秘书处发布《信息安全技术 重要数据识别指南》（征求意见稿）。2021年12月31日，安标委秘书处发布《网络安全标准实践指南——网络数据分类分级指引》。2022年9月14日，安标委秘书处发布《信息安全技术 网络数据分类分级要求》（征求意见稿）。国家标准《数据安全技术 数据分类分级规则》（GB/T 43697-2024）于2024年3月15日发布，2024年10月1日实施。

第一节  个人信息、重要数据、国家核心数据的识别

根据数据安全法，数据安全所涉及的数据包括但不限于国家核心数据、重要数据、个人信息等。《数据分类分级规则》对数据的分类分级有详细规定。

一、个人信息的识别

网络安全法、民法典、个人信息保护法和个人信息安全规范中关于个人信息的定义，在第六章已作介绍。

应当依据法律法规、国际标准的规定进行个人信息的识别。

二、重要数据的识别

下面是《数据分类分级规则》相关规定。

【1】该文件之“3 术语与定义”指出：国家标准《信息安全技术 术语》（GB/T 25069-2022）界定的以及下列术语和定义适用于本文件。具体如下。

1 数据 data任何以电子或者其他方式对信息的记录。

2 重要数据 key data特定领域、特定群体、特定区域或达到一定精度和规模的，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。

注：仅影响组织自身或公民个体的数据一般不作为重要数据。

3 核心数据 core data对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的，一旦被非法使用或共享，可能直接影响政治安全的重要数据。

注：核心数据主要包括关系国家安全重点领域的数据，关系国民经济命脉、重要民生、重大公共利益的数据，经国家有关部门评估确定的其他数据。

4 一般数据 general data核心数据、重要数据之外的其他数据。

5 个人信息 personal information以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。

6 敏感个人信息 sensitive personal information一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。

7 行业领域数据 industry sector data在某个行业领域内依法履行工作职责或开展业务活动中收集和产生的数据。

8 公共数据 public data各级政务部门、具有公共管理和服务职能的组织及其技术支撑单位，在依法履行公共事务管理职责或提供公共服务过程中收集、产生的数据。

9 组织数据 organization data组织在自身生产经营活动中收集、产生的不涉及个人信息和公共利益的数据。

10 衍生数据 derived data经过统计、关联、挖掘、聚合、去标识化等加工活动而产生的数据。

11数据处理者 data processor 在数据处理活动中自主决定处理目的、处理方式的组织、个人。

【2】该文件之“6.5 级别确定规则”指出：

【3】该文件之“附录G”是“（规范性）重要数据识别指南”。注意区分国家标准的“规范性”附录和“资料性”附录，二者的效力不同。具体如下。

三、国家核心数据的识别

数据安全法第二十一条第二款规定：“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。”

第二节  数据的境内存储

一、境内存储

网络安全法第三十七条要求“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储”，即数据应在境内存储。该条也规定了业务需要确需数据出境时的安全评估制度。在数据出境安全管理制度的一系列配套文件中，规定了“不得出境”的具体情形。

《数据出境安全评估办法》第二条规定：“数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估，适用本办法。法律、行政法规另有规定的，依照其规定。”

《数据出境安全评估办法》第四条规定：“数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：

（一）数据处理者向境外提供重要数据；

（二）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；

（三）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；

（四）国家网信部门规定的其他需要申报数据出境安全评估的情形。”

二、相关规定

在网络安全法发布前，一些规范性文件中已有限制数据出境和要求数据境内存储的规定，其中有的文件侧重于对数据出境的限制，有的文件侧重于对数据境内存储的要求。由此可以看出规则制定者对数据安全问题的重视。

第三节  数据的跨境流动

一、相关要点

网络安全法第三十七条针对“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据”“因业务需要，确需向境外提供的”情况，规定“应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”

下面介绍网络安全法施行后2017年8月30日发布的《信息安全技术 数据出境安全评估指南（征求意见稿）》的相关要点。

（一）境内运营

“境内运营”定义为“网络运营者在中华人民共和国境内开展业务，提供产品或服务的活动。

注1：未在中华人民共和国境内注册的网络运营者，但在中华人民共和国境内开展业务，或向中华人民共和境内提供产品或服务的，属于境内运营。判断网络运营者是否在中华人民共和国境内开展业务，或向中华人民共和境内提供产品或服务的参考因素包括但不限于：使用中文；以人民币作为结算货币；向中国境内配送物流等。

注2：中华人民共和国境内的网络运营者仅向境外机构、组织或个人开展业务、提供商品或服务，且不涉及境内公民个人信息和重要数据的，不视为境内运营。”

因此，不论网络运营者是否在中华人民共和国境内注册，只要是在中华人民共和国境内开展业务，或向中华人民共和国境内提供产品或服务的，都属于“境内运营”。

（二）加工处理

加工处理是指“针对个人信息和重要数据实施的操作，包括个人信息和重要数据的收集、存储、访问、修改、转让、披露、匿名化、去标识化、恢复、删除、销毁等。”

（三）出境目的

要求出境目的应同时满足合法性、正当性和必要性的要求。具体如下：

a）合法性包括以下情况：1）不属于法律法规明令禁止的；2）不属于国家网信部门、公安部门、安全部门等有关部门认定不能出境的。

b）正当性包括以下情况：1）个人信息主体已同意的。虽未经个人信息主体同意但是危及公民生命财产安全等紧急情况除外；2）不违反相关主管部门规定的。

c）必要性包括以下任一种或几种情况：1）履行合同义务所必需的；2）同一机构、组织内部开展业务所必需的；3）我国政府部门履行公务所必需的；4）履行我国政府与其他国家和地区、国际组织签署的条约、协议所必需的；5）其他维护网络空间主权和国家安全、经济发展、社会公共利益和保护公民合法利益需要的。

（四）数据出境

数据出境是指网络运营者通过网络等方式，将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据，通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。

    注1：以下情形属于数据出境：

    a）向本国境内，但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据；

    b）数据未转移存储至本国以外的地方，但被境外的机构、组织、个人访问查看的（公开信息、网页访问除外）；

    c）网络运营者集团内部数据由境内转移至境外，涉及其在境内运营中收集和产生的个人信息和重要数据的。

注2：非在境内运营中收集和产生的个人信息和重要数据经由本国出境，未经任何变动或加工处理的，不属于数据出境。

注3：非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境，不涉及境内运营中收集和产生的个人信息和重要数据的，不属于数据出境。

二、相关规定

（一）数据出境的主体

2016年通过的网络安全法所规定的数据出境安全管理制度是针对“关键信息基础设施的运营者”的。2017年网络安全法施行后出台的《数据出境安全评估指南（征求意见稿）》《个人信息和重要数据出境安全评估办法（征求意见稿）》《个人信息出境安全评估办法（征求意见稿）》所规定的数据出境安全管理制度则是针对“网络运营者”的。显然，“网络运营者”的范围远远大于“关键信息基础设施的运营者”的范围。网络运营者，是指网络的所有者、管理者和网络服务提供者。（网络安全法第七十六条）

2021年通过的数据安全法第三十一条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。” “数据处理者”既包括“网络运营者”、也包括“非网络运营者”。

（二）数据出境安全评估的原则和要求

《数据出境安全评估办法》规定：

——（第三条）数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合，防范数据出境安全风险，保障数据依法有序自由流动。

——（第八条）数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险，主要包括以下事项：

（一）数据出境的目的、范围、方式等的合法性、正当性、必要性；

（二）境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响；境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求；

（三）出境数据的规模、范围、种类、敏感程度，出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险；

（四）数据安全和个人信息权益是否能够得到充分有效保障；

（五）数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务；

（六）遵守中国法律、行政法规、部门规章情况；　

（七）国家网信部门认为需要评估的其他事项。

（三）数据处理者的义务

《数据出境安全评估办法》中有相关规定：

——（第五条）数据处理者在申报数据出境安全评估前，应当开展数据出境风险自评估，重点评估以下事项：

（一）数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；

（二）出境数据的规模、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；

（三）境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全；

（四）数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险，个人信息权益维护的渠道是否通畅等；

（五）与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等（以下统称法律文件）是否充分约定了数据安全保护责任义务；

（六）其他可能影响数据出境安全的事项。

——（第九条）数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务，至少包括以下内容：

（一）数据出境的目的、方式和数据范围，境外接收方处理数据的用途、方式等；

（二）数据在境外保存地点、期限，以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施；

（三）对于境外接收方将出境数据再转移给其他组织、个人的约束性要求；

（四）境外接收方在实际控制权或者经营范围发生实质性变化，或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时，应当采取的安全措施；

（五）违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式；

（六）出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时，妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。

——（第十四条）通过数据出境安全评估的结果有效期为2年，自评估结果出具之日起计算。在有效期内出现以下情形之一的，数据处理者应当重新申报评估：

（一）向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的，或者延长个人信息和重要数据境外保存期限的；

（二）境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的；

（三）出现影响出境数据安全的其他情形。

有效期届满，需要继续开展数据出境活动的，数据处理者应当在有效期届满60个工作日前重新申报评估。

三、个人信息出境的专门规定

    1.个人信息保护法第三章的规定

    个人信息保护法第三章“个人信息跨境提供的规则”是关于个人信息跨境提供的专门规定，其中包括第三十八条至第四十三条共六条规定。

【第三十八条】个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：

（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；

（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；

（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

（四）法律、行政法规或者国家网信部门规定的其他条件。

中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。

    个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

    【第三十九条】个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

    【第四十条】关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

    ▲注意有四个外延不同的概念：

    ——“个人信息处理者”

    ——“关键信息基础设施运营者”

    ——“处理个人信息达到国家网信部门规定数量的个人信息处理者”

    ——“处理个人信息未达到国家网信部门规定数量的个人信息处理者”

▲关于数量标准，《数据出境安全评估办法》第四条规定：关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息的，自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。

    【第四十一条】中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准，个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。

    【第四十二条】境外的组织、个人从事侵害中华人民共和国公民的个人信息权益，或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的，国家网信部门可以将其列入限制或者禁止个人信息提供清单，予以公告，并采取限制或者禁止向其提供个人信息等措施。

    【第四十三条】任何国家或者地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。

2.《个人信息出境标准合同办法》的规定

2023年2月24日，国家网信办公布《个人信息出境标准合同办法》，自2023年6月1日起施行。该办法的出台旨在落实个人信息保护法的规定，保护个人信息权益，规范个人信息出境活动。该办法规定了个人信息出境标准合同的适用范围、订立条件和备案要求，明确了标准合同范本，为向境外提供个人信息提供了具体指引。

四、新版《网络安全审查办法》的规定

2021年11月16日，由国家网信办、国家发展改革委等13个部门联合发布新版《网络安全审查办法》，自2022年2月15日起实施。新版《网络安全审查办法》规定网络安全审查制度也适用于网络平台运营者开展数据处理活动、影响或者可能影响国家安全的情况。相关要点简述如下：

1.网络安全审查工作的原则

坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合，从数据处理活动安全性、可能带来的国家安全风险等方面进行审查。

2.网络平台运营者开展数据处理活动的国家安全审查义务

掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。

自2021年9月1日起施行的我国数据安全法明确规定国家建立数据安全审查制度。新版《网络安全审查办法》将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围，要求掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查，主要目的是为了进一步保障网络安全和数据安全，维护国家安全。

3.网络安全审查重点评估的因素

网络安全审查重点评估相关对象或者情形的以下国家安全风险因素：

——核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险；

——上市存在核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险；

——其他可能危害网络安全和数据安全的因素。

五、《促进和规范数据跨境流动规定》的要点

为落实网络安全法、数据安全法、个人信息保护法等法律关于数据出境安全管理制度的规定要求，国家网信办公布了《数据出境安全评估办法》和《个人信息出境标准合同办法》，并与市场监管总局联合公布《关于实施个人信息保护认证的公告》，基本构建了数据出境安全管理制度。此外，国家网信办先后公布《数据出境安全评估申报指南》、《个人信息出境标准合同备案指南》等文件，对数据处理者申报安全评估、备案标准合同的方式、流程及需提交的材料等具体要求作出说明。

2024年3月22日，国家网信办结合数据出境安全管理工作实际，公布并施行《促进和规范数据跨境流动规定》。数据跨境流动已经成为全球资金、信息、技术、人才、货物等资源要素交换、共享的基础。该规定对数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度作出优化调整，对现有制度的实施和衔接作出进一步明确，适当放宽数据跨境流动条件，适度收窄数据出境安全评估范围，在保障国家数据安全的前提下，便利数据跨境流动，降低企业合规成本，充分释放数据要素价值，扩大高水平对外开放，为数字经济高质量发展提供法律保障。下面介绍该文件的要点。

1.该文件的主要内容

该文件主要内容包括：一是明确重要数据出境安全评估申报标准；二是明确免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件；三是设立自由贸易试验区负面清单制度；四是调整应当申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件；五是延长数据出境安全评估结果有效期，增加数据处理者可以申请延长评估结果有效期的规定。

2.该文件与《数据出境安全评估办法》、《个人信息出境标准合同办法》之间的关系

《数据出境安全评估办法》、《个人信息出境标准合同办法》相关规定与该文件不一致的，适用该文件。

3.重要数据申报出境安全评估的标准

根据该文件，数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。

4.数据出境活动免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的具体情形

下列六种数据出境活动免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证：一是国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供，不包含个人信息或者重要数据的；二是在境外收集和产生的个人信息传输至境内处理后向境外提供，处理过程中没有引入境内个人信息或者重要数据的；三是为订立、履行个人作为一方当事人的合同，如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等，确需向境外提供个人信息的；四是按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的；五是紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息的；六是关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）的。其中，第三种至第六种条件所称向境外提供的个人信息，不包括被相关部门、地区告知或者公开发布为重要数据的个人信息。

5.自由贸易试验区负面清单制度

自由贸易试验区在国家数据分类分级保护制度框架下，可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（简称“负面清单”）。自由贸易试验区内数据处理者向境外提供负面清单外的数据，可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。负面清单出台前，自由贸易试验区内的数据出境活动按照国家数据出境安全管理有关规定执行。

6.数据出境安全评估、个人信息出境标准合同、个人信息保护认证制度之间的关系

对于重要数据的出境活动和符合应当申报数据出境安全评估条件的个人信息出境活动，必须通过数据出境安全评估。对于未达到数据出境安全评估申报条件的个人信息出境活动，个人信息处理者可以结合自身情况，选择订立个人信息出境标准合同或者通过个人信息保护认证的方式。符合免予订立个人信息出境标准合同、通过个人信息保护认证条件的，个人信息处理者无需履行相关程序。

7.数据出境活动需要申报数据出境安全评估的具体情形

该文件对《数据出境安全评估办法》明确的应当申报数据出境安全评估的条件作了优化调整。该文件明确了两种应当申报数据出境安全评估的条件：一是关键信息基础设施运营者向境外提供个人信息或者重要数据。二是关键信息基础设施运营者以外的数据处理者向境外提供重要数据，或者自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息）或者1万人以上敏感个人信息。属于该文件第三条、第四条、第五条、第六条规定情形的，从其规定。

8.“自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息）或者1万人以上敏感个人信息”的计算周期

计算周期为自当年1月1日起至申报数据出境安全评估之日，数量以自然人为单位去重后的统计结果为准。属于该文件第三条、第四条、第五条第一款第一项至第三项、第六条规定情形的，不计入累计数量。

9.数据出境活动需要订立个人信息出境标准合同、通过个人信息保护认证的具体情形

该文件对《个人信息出境标准合同办法》明确的应当订立个人信息出境标准合同的条件作了优化调整。根据该文件，关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息的，应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。属于该文件第三条、第四条、第五条、第六条规定情形的，从其规定。

需要说明的是，向境外提供被相关部门、地区告知或者公开发布为重要数据的个人信息，应当申报数据出境安全评估，不得选择订立个人信息出境标准合同或者通过个人信息保护认证的方式。

10.通过数据出境安全评估结果的有效期和申请延期

该文件将通过数据出境安全评估结果的有效期由《数据出境安全评估办法》中规定的2年延长至3年，自评估结果出具之日起计算。同时，增加数据处理者可以申请延长评估结果有效期的规定。有效期届满，需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的，数据处理者可以在有效期届满前60个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请。经国家网信部门批准，可以延长评估结果有效期3年。