《数据跨境流动合规指南(试行)》

《数据跨境流动合规指南(试行)》数据跨境流动合规工作需遵循《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》及《数据出境安全评估办法》《个人信息跨境流动标准合同规定》等法律法规要求，结合业务实际建立全流程合规体系。一、适用范围与数据分类本指南适用于在中国境内运营的组织、个人（以下统称“数据处理者”）向境外提供在中国境内收集和产生的数据（以下简称“数据出境”）的活动，包括通过网络传输、物理载体转移等方式向境外主体提供数据的行为。数据分类是合规基础，需按以下标准划分：1.个人信息：区分一般个人信息、敏感个人信息（如生物识别、医疗健康、金融账户、行踪轨迹等）及核心个人信息（如涉及国家安全、公共利益或重大个人权益的敏感信息聚合）。2.重要数据：按照《重要数据识别指南》，结合行业特点识别，包括但不限于能源、金融、电信、交通、自然资源、卫生健康、教育、科技等领域对国家安全、经济发展、公共利益有重要影响的数据。3.核心数据：关系国家安全、国民经济命脉、重要民生、重大公共利益等最根本数据，具体范围参照国家相关规定。二、数据出境前评估要求数据处理者在数据出境前需完成以下评估，评估结论作为是否出境的依据：1.个人信息保护影响评估（PIA）：针对个人信息出境，需重点评估：数据处理目的、范围的合法性、正当性、必要性；个人信息的数量、类型、敏感程度，涉及的个人信息主体数量；境外接收方处理个人信息的目的、范围、方式等与境内处理目的的一致性；境外接收方的数据安全保护能力及责任履行情况；数据出境可能对个人信息主体权益造成的风险及应对措施；个人信息主体的权利实现路径及保障措施；其他可能影响个人信息安全的事项。PIA报告需由数据处理者负责人审核，保存期限不少于数据出境完成后三年。2.重要数据与核心数据安全评估：涉及重要数据或核心数据出境的，需通过国家网信部门组织的安全评估。申请材料包括：数据出境安全评估申报书；数据出境的目的、范围、方式说明；数据接收方基本情况（如注册地、所属行业、业务范围等）；数据出境风险自评估报告（含数据泄露、滥用、篡改等风险分析及应对方案）；数据安全保护承诺文件（由接收方签署，明确数据用途限制、安全责任等）；法律、行政法规规定的其他材料。三、数据出境安全保障措施数据处理者需采取技术与管理措施，确保数据在传输、存储、处理全周期的安全：技术措施：数据传输阶段：采用符合国家标准的加密算法（如SM4、AES-256）对数据进行加密，使用安全传输协议（如TLS1.3），关键数据实施脱敏处理（如去标识化、匿名化）；数据存储阶段：境外存储需与境内存储实现逻辑隔离，重要数据采用多副本备份，核心数据禁止在境外长期存储；访问控制：建立最小权限原则的访问机制，对境外接收方的访问账号实施多因素认证（MFA），定期审计访问日志；监测与响应：部署入侵检测系统（IDS）、数据泄露防护系统（DLP），实时监测数据出境链路异常流量，发现风险立即阻断。管理措施：制定《数据跨境流动内部管理制度》，明确数据出境审批流程、责任部门（如合规部、数据安全部）及岗位职责；对参与数据出境的员工开展年度合规培训，内容包括数据分类标准、风险防范、应急处置等；与境外接收方签订《数据安全协议》，条款需包含：数据用途限制（明确仅用于约定目的，禁止转委托或向第三方提供）；安全保护义务（要求接收方达到与境内同等或更严格的保护水平）；数据返还或删除条款（约定合作终止后数据的处理方式）；违约责任（明确数据泄露、滥用等情形的赔偿责任及补救措施）；争议解决（约定适用中国法律，争议由中国法院管辖）。四、备案与报告要求1.个人信息出境备案：通过订立标准合同方式出境的，数据处理者需在合同生效后10个工作日内，向所在地省级网信部门备案。备案材料包括：备案表；个人信息保护影响评估报告；标准合同文本；数据处理者与接收方的主体信息（如营业执照、身份证明文件）。2.重要数据与核心数据报告：通过安全评估出境的，需在评估通过后5个工作日内向国家网信部门报告数据出境的实际情况（如数据量、接收方处理进展等）；若数据出境活动发生重大变化（如处理目的、范围扩大，接收方变更），需重新履行评估、备案或报告程序。五、应急处置与责任追究数据处理者需建立数据出境安全事件应急响应机制：制定《数据跨境安全事件应急预案》，明确事件分级（如一般、较大、重大）、报告流程（24小时内向属地网信部门口头报告，48小时内提交书面报告）、内部处置步骤（隔离涉事系统、追溯泄露路径、通知受影响个人信息主体）；与境外接收方约定应急协作义务，要求其配合提供事件调查所需数据、协助恢复数据完整性；事件处置完毕后15个工作日内提交总结报告，分析事件原因，修订安全措施。数据处理者是数据出境合规第一责任人，未履行评估、备案、安全保障义务的，由网信部门责令改正，给予警告，没收违法所得；拒不改正或造成严重后果的，处5000万元以下或上一