随着数字化成为我国社会发展中不可或缺的一部分，数据已被我国政府视为保障国家主权、对国家安全和经济发展具有重大影响的一项重要资产。监管部门对数据跨境传输的合规情况亦越发关注。

【资料图】

2022年7月，国家互联网信息办公室正式发布《数据出境安全评估办法》(下称《评估办法》)，并于同年9月施行，且要求不符合规定的数据出境活动于6个月内完成整改。截至今年3月，《评估办法》施行已达半年，企业落实政策要求、进行合规整改的实际成效如何将迎来初考。

为了解当下境内企业数据跨境的现状与困境，探讨如何建设更为安全高效的数据跨境传输渠道与监管机制，由环球律师事务所与南方财经全媒体集团合规科技研究院组成的联合研究团队结合问卷调查、深度访谈、案例分析等多种研究方法，对我国企业进行数据跨境传输和安全评估的实践情况进行了调查。

在梳理当前涉及数据跨境法律法规的基础上，研究团队就调研结果中的典型问题进行了分析，并结合当前政府管理部门披露的公开数据与案例，最终撰写完成《数据跨境现状调查与分析报告——基础问题与十个痛点的解决》(以下简称《报告》)，希望为政策制定、执行和产业实践提供参考。

在《报告》的上篇，研究团队对我国数据跨境的基础性问题进行了罗列，从判定数据处理者身份、识别数据类型、申报安全评估的方法等方面对我国数据跨境合规的全流程周期进行全景扫描，并突出法规要求中易被忽略的细节，从而全面展现数据跨境主体需要具备的知识图谱。主体身份与数据种类识别

在梳理数据跨境合规要求前，首先需要明确对数据跨境行为的定义，网信办于2022年8月发布的《数据出境安全评估申报指南(第一版)》，将数据跨境传输的场景归纳如下：数据处理者将在境内运营中收集和产生的数据传输、存储至境外；数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；网信办规定的其他数据出境行为。

在整理上述三种行为的基础上，结合实际操作中数据的采集、流通、存储的流程要点，《报告》将企业实践中涉及的数据出境行为进一步划分为三种类型，具体为：(1)数据处理者将在境内运营中收集和产生的数据通过境内服务器或“直接”传输、存储至境外；(2)数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以访问或者调用(公开信息、网页访问除外)；(3)境外产生收集的数据在境内存储后再向境外传输。

此外，部分外实体或应用直接收集境内产生的数据等情况也属于数据跨境传输场景，此类特殊情况应加以区分和明确。

值得注意的是，《报告》特别指出，如果企业运营的产品仅向境外提供服务，不涉及收集境内的数据，或境内的网络运营者仅向境外机构、组织或个人开展业务、提供商品或服务，且不涉及境内公民个人信息和重要数据的，均不视为境内运营。

但涉及上述跨境传输场景的数据处理者，也并非所有都需要申报出境安全评估，在《评估办法》中列出了需要开展数据出境安全评估的情形，具体包括数据处理者向境外提供重要数据；关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；国家网信部门规定的其他需要申报数据出境安全评估的情形。

精彩回顾