2023年數(shù)據(jù)出境合規(guī)報(bào)告

2023年數(shù)據(jù)出境合規(guī)報(bào)告PAGEPAGE15目錄序言 51、法律規(guī)定 8網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法 8數(shù)據(jù)出境安全評(píng)估辦法 9網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范 9個(gè)人信息出境標(biāo)準(zhǔn)合同辦法 102、指南規(guī)則 11數(shù)據(jù)出境的路徑 11數(shù)據(jù)出境安全評(píng)估申報(bào)指南（第一版）（摘引） 12重點(diǎn)?。ㄖ陛犑校┗跇?biāo)準(zhǔn)合同簽署和備案的指南（概要） 17個(gè)人信息保護(hù)認(rèn)證實(shí)施規(guī)則（摘引） 18個(gè)人信息出境標(biāo)準(zhǔn)合同備案指南（第一版）（摘引） 203、出境現(xiàn)狀 26已經(jīng)通過評(píng)估情況 26已經(jīng)通過備案的情況 344、合規(guī)要求與示范 36指南文件的一般性規(guī)范整理 36如何確定適用評(píng)估或備案 36如何認(rèn)定數(shù)據(jù)出境行為（活動(dòng)） 37如何識(shí)別數(shù)據(jù)處理者（境內(nèi)） 37如何確定境外數(shù)據(jù)接收方 38如何理解數(shù)據(jù)出境方式的公網(wǎng)和專線 39出境鏈路描述示范（含云） 40確定數(shù)據(jù)安全負(fù)責(zé)人的注意事項(xiàng)（境內(nèi)和境外） 41出境合同與業(yè)務(wù)主合同關(guān)系及其他注意事項(xiàng) 41附加考慮：不同行業(yè)的重要數(shù)據(jù)識(shí)別與安全進(jìn)展 42附加考慮：應(yīng)當(dāng)由哪方描述境外數(shù)據(jù)安全法律政策環(huán)境 435、數(shù)據(jù)安全保障能力 445.1收集 455.2存儲(chǔ) 465.3使用 475.4加工 485.5傳輸 485.6提供 495.7共享 505.8刪除 516、有效的資質(zhì)認(rèn)證 526.1網(wǎng)絡(luò)安全等級(jí)保護(hù) 526.2ISO27001 526.3ISO27017 53BCR 53PIP-CB 531、法律規(guī)定（含配套標(biāo)準(zhǔn)合同等多位階的法規(guī)、規(guī)范性法律文件構(gòu)成。202191日起施行的《數(shù)據(jù)安全法》代表了中國(guó)數(shù)字安全領(lǐng)域法律政數(shù)字交易中介規(guī)則等，促進(jìn)數(shù)字經(jīng)濟(jì)的安全、規(guī)范發(fā)展。對(duì)于數(shù)據(jù)出境評(píng)估制度施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理，適用《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的規(guī)定1；其他數(shù)據(jù)處理者在中華人民重要數(shù)據(jù)第三十八條對(duì)“個(gè)人信息（一）依照本法第（二）按照國(guó)家網(wǎng)信部門的規(guī)（三）按照國(guó)家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同（四）法律、行政法規(guī)或者國(guó)家網(wǎng)信部門規(guī)定的其他條件”共同構(gòu)成了數(shù)據(jù)出境監(jiān)管的基本法律來源。1《網(wǎng)絡(luò)安全法》第三十七條規(guī)定：關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。2022年5月，作為上述基本法律重要配套制度的《數(shù)據(jù)出境安全評(píng)估辦法》（20291自由流動(dòng)。（2）規(guī)定兩種量級(jí)的個(gè)人信息出境適用安全評(píng)估做出規(guī)定，設(shè)定了對(duì)個(gè)人信息適用（最嚴(yán)格的）評(píng)估監(jiān)管時(shí)的“上限標(biāo)尺。20226月，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范（122.0版的兩種出境場(chǎng)景（之間的個(gè)人信息跨境處理活動(dòng)22規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證”的出境條件。該規(guī)范和更早發(fā)布的GB/T35273《信息安全技術(shù)個(gè)人信息安全規(guī)范》，20222《個(gè)人信息保護(hù)法》第三條第二款規(guī)定：在中華人民共和國(guó)境外處理中華人民共和國(guó)境內(nèi)自然人個(gè)人信（一以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的二（三）法律、行政法規(guī)規(guī)定的其他情形。V.0規(guī)范對(duì)此略有調(diào)整，但整體上適用范圍等同。11（工作文件術(shù)個(gè)人信息跨境傳輸認(rèn)證要求（成了個(gè)人信息出境安全認(rèn)證路徑的監(jiān)管規(guī)范要求。20236月《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》正式發(fā)布，規(guī)定了個(gè)人信息出境監(jiān)管的量化“下限一非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者二100（三）1110（四）111準(zhǔn)合同(SCC)。至此可以認(rèn)為完成了中國(guó)數(shù)據(jù)出境監(jiān)管規(guī)則體系的構(gòu)建。20239月，為對(duì)上下限之外的情形做出進(jìn)一步澄清，國(guó)家網(wǎng)信辦發(fā)布了（征求意見稿（的情況1（）（3）為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需，如跨境購(gòu)物3（按照依法制定的勞動(dòng)規(guī)章制度和依（6）13例如目前對(duì)軟硬件在線激活方式中，頭部企業(yè)已經(jīng)大量調(diào)整了用戶條款和隱私政策：用戶點(diǎn)擊同意，即完成數(shù)據(jù)出境，而無需再履行標(biāo)準(zhǔn)合同、認(rèn)證或評(píng)估程序，并不再履行本地化存儲(chǔ)等義務(wù)。更傾向于認(rèn)為屬于法律規(guī)定的澄清而非重大調(diào)整。2、指南規(guī)則（示一步通過各個(gè)層面制定了更為詳細(xì)的指引文件。數(shù)據(jù)出境路徑申報(bào)數(shù)據(jù)出境安全評(píng)估通過個(gè)人信息保護(hù)認(rèn)證訂立個(gè)人信息出境標(biāo)準(zhǔn)合同適用情形數(shù)據(jù)處理者向境外提供數(shù)據(jù)，有下列情形之一的，應(yīng)當(dāng)通過所在地省級(jí)網(wǎng)信部門向國(guó)家網(wǎng)信部門申報(bào)數(shù)據(jù)出境安全評(píng)估：（一）數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)；個(gè)人信息處理者開展個(gè)人信息跨境處理活動(dòng)，包括以下主體：（一）跨國(guó)公司或者同一經(jīng)濟(jì)、事業(yè)實(shí)體下屬子公司或關(guān)聯(lián)公司；個(gè)人信息處理者通過訂立標(biāo)準(zhǔn)合同的方式向境外提供個(gè)人信息的，應(yīng)當(dāng)同時(shí)符合下列情形：（一（二）處理個(gè)人信息不滿100萬人的；（二）關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理100萬人以上個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息；（三）11日起10萬人個(gè)（二《個(gè)人信息保護(hù)法》第三條第二款規(guī)定的境外個(gè)人信息處理者（即在中國(guó)境外處理中華人民共和國(guó)境內(nèi)自然人個(gè)人信息以分析、評(píng)估境內(nèi)自然人的行為的（三）自上年1月1日起累計(jì)向境外提供個(gè)人信息不滿10萬人的；（四）自上年1月1日起累計(jì)向境1法律、行政法規(guī)或者國(guó)家網(wǎng)信部門1萬人敏感個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息；（四）國(guó)家網(wǎng)信部門規(guī)定的其他需要申報(bào)數(shù)據(jù)出境安全評(píng)估的情形。活動(dòng)）另有規(guī)定的，從其規(guī)定。個(gè)人信息處理者不得采取數(shù)量拆分等手段，將依法應(yīng)當(dāng)通過出境安全評(píng)估的個(gè)人信息通過訂立標(biāo)準(zhǔn)合同的方式向境外提供。數(shù)據(jù)類型個(gè)人信息/重要數(shù)據(jù)個(gè)人信息個(gè)人信息有效期2年3年依合同約定法律依據(jù)法》指南》《個(gè)人信息保護(hù)認(rèn)證實(shí)施規(guī)則》《個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范V2.0》《個(gè)人信息出境標(biāo)準(zhǔn)合同備案指南（第一版》（表一）鏈接或進(jìn)一步在網(wǎng)絡(luò)上檢索。）20229（包括主要的省級(jí)網(wǎng)信辦“指南一、適用范圍一運(yùn)營(yíng)者和處理100（三）自上年11101四以下情形屬于數(shù)據(jù)出境行為：（）（）數(shù)據(jù)處三二、申報(bào)方式及流程5715三、申報(bào)材料數(shù)據(jù)處理者申報(bào)數(shù)據(jù)出境安全評(píng)估，應(yīng)當(dāng)提交如下材料：1、統(tǒng)一社會(huì)信用代碼證件影印件2、法定代表人身份證件影印件3、經(jīng)辦人身份證件影印件4、經(jīng)辦人授權(quán)委托書5、數(shù)據(jù)出境安全評(píng)估申報(bào)書6、與境外接收方擬訂立的數(shù)據(jù)出境相關(guān)合同或者其他具有法律效力的文件影印件7、數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估報(bào)告8、其他相關(guān)證明材料（模板模板估報(bào)告（，具有重大參考價(jià)值。（申報(bào)表）（見下，解答了申報(bào)中的一些常見困惑，仍無法解惑，或需要進(jìn)一步尋找樣例參考的，可參閱本報(bào)告第四章：參考填寫方式參考填寫方式常見問題01質(zhì)/類型、有效期等欄目填寫。單位注冊(cè)地應(yīng)具體到城市，如北京X路X號(hào)。表中注冊(cè)資金均需明確幣種和金額。020304寫？可根據(jù)實(shí)際情況選擇填寫居民身份證、護(hù)照、臺(tái)灣居民來往大陸通行證、港澳居民來往內(nèi)地通行證等。申報(bào)書05項(xiàng)中數(shù)據(jù)出境業(yè)務(wù)描述怎么填寫？據(jù)實(shí)填寫此次申報(bào)的數(shù)據(jù)出境業(yè)務(wù)，應(yīng)與法律文件中涉及業(yè)務(wù)名稱一致。申報(bào)書06項(xiàng)中數(shù)據(jù)出境的目的怎么填寫？如開展業(yè)務(wù)合作、技術(shù)研究、經(jīng)營(yíng)管理等，需具體闡述。申報(bào)書07項(xiàng)數(shù)據(jù)出境的方式怎么填寫？說明數(shù)據(jù)出境的方式，如公共互聯(lián)網(wǎng)傳輸、專線傳輸?shù)?。申?bào)書08項(xiàng)數(shù)據(jù)出境鏈路怎么填寫？說明數(shù)據(jù)出境的鏈路，如鏈路提供商、鏈路數(shù)量與帶寬、境內(nèi)外落地?cái)?shù)據(jù)中心名稱及機(jī)房物理位置、IP地址等。申報(bào)書09項(xiàng)擬出境數(shù)據(jù)情況怎么填寫？關(guān)于個(gè)人信息的敏感程度，可參照國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)個(gè)人/領(lǐng)域填寫出境數(shù)據(jù)涉及的行業(yè)領(lǐng)域范育、科技、國(guó)防科工等。申報(bào)書13項(xiàng)相關(guān)條款在法律文件中的頁(yè)碼怎么填寫？數(shù)據(jù)處理者填寫對(duì)應(yīng)法律文件條款所在的頁(yè)碼，并對(duì)相關(guān)條款作高亮、線框等顯著標(biāo)識(shí)。申報(bào)書14項(xiàng)遵守中國(guó)法律、行政法規(guī)、部門規(guī)章情況怎么填寫？2年在業(yè)務(wù)經(jīng)營(yíng)活動(dòng)中受到行政處罰和有關(guān)主況。指南提供了《數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估報(bào)告》的模板文件（略（別進(jìn)行針對(duì)性的討論：就下列事項(xiàng)逐項(xiàng)說明風(fēng)險(xiǎn)評(píng)估情況，重點(diǎn)說明評(píng)估發(fā)現(xiàn)的問題和風(fēng)險(xiǎn)隱患，以及相應(yīng)采取的整改措施及整改效果。（一當(dāng)性、必要性（其中對(duì)必要性的論證成為難點(diǎn)，對(duì)必要性論證不足，可能導(dǎo)致評(píng)估結(jié)果為不通過，或部分（字段）不通過；（二公共利益、個(gè)人或者組織合法權(quán)益帶來的風(fēng)險(xiǎn)；（三（管理制度、措施的進(jìn)一步參考，見本報(bào)告第五章；（四獲取、非法利用等的風(fēng)險(xiǎn)，個(gè)人信息權(quán)益維護(hù)的渠道是否通暢等；（五（國(guó)版CC可作為基礎(chǔ)參考，但不應(yīng)作為重要數(shù)據(jù)類型數(shù)據(jù)的合同參考；（六）其他可能影響數(shù)據(jù)出境安全的事項(xiàng)。（的指南文件能夠滿足初步要求，省級(jí)指南僅供查漏補(bǔ)缺。（概要）《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》自2023年6月1日起正式施行，明確個(gè)人10標(biāo)準(zhǔn)合同備案咨詢電話。序號(hào)地區(qū)序號(hào)地區(qū)名稱內(nèi)容1北京2023年6月2個(gè)人信息出境標(biāo)準(zhǔn)合同備案指引》10自行或委托第三方開展個(gè)人信息保護(hù)影響評(píng)估并根據(jù)情況進(jìn)行整改。2上海2023年6月7信息出境標(biāo)準(zhǔn)合同備案的通知》境標(biāo)準(zhǔn)合同備案指南（第一版103浙江20236人信息出境標(biāo)準(zhǔn)合同備案指引》浙江省的個(gè)人信息處理者通過訂立標(biāo)準(zhǔn)合同的方式向境外提供個(gè)人信息并符合規(guī)定情形的，應(yīng)當(dāng)向浙江省互聯(lián)網(wǎng)信息辦公室備案標(biāo)準(zhǔn)合同；個(gè)人信息處理者應(yīng)當(dāng)在標(biāo)準(zhǔn)合同生效之日起10。4重慶4重慶20236日，網(wǎng)信辦開境標(biāo)準(zhǔn)合同備案咨詢通道及備案指引明確所在地為重慶市的個(gè)人信息處理者通過訂立標(biāo)準(zhǔn)合同的方式向境10內(nèi)，通過送達(dá)書面材料并附帶材料電子版的方式，向市網(wǎng)信辦備案。5廣東20237網(wǎng)信息辦公室《關(guān)于個(gè)人信息出境標(biāo)準(zhǔn)合境標(biāo)準(zhǔn)合同備案指南（第一版（PDF和WORD辦公室。料的辦公地址和聯(lián)系電話。（）202211規(guī)則和跨境處理活動(dòng)的特殊規(guī)則兩種情況，對(duì)第二種情況，主要適用標(biāo)準(zhǔn)在GB/T35273TC260-PG-20222A《個(gè)人信息跨境處理活：（一）認(rèn)證模式個(gè)人信息保護(hù)認(rèn)證的認(rèn)證模式為：技術(shù)驗(yàn)證+現(xiàn)場(chǎng)審核+獲證后監(jiān)督（二）認(rèn)證實(shí)施程序技術(shù)驗(yàn)證現(xiàn)場(chǎng)審核認(rèn)證機(jī)構(gòu)實(shí)施現(xiàn)場(chǎng)審核，并向認(rèn)證委托人出具現(xiàn)場(chǎng)審核報(bào)告。獲證后監(jiān)督監(jiān)督的頻次監(jiān)督的內(nèi)容獲證后監(jiān)督結(jié)果的評(píng)價(jià)（三）認(rèn)證證書5.1.1認(rèn)證證書的保持認(rèn)證證書有效期為3年。在有效期內(nèi)，通過認(rèn)證機(jī)構(gòu)的獲證后監(jiān)督，保持認(rèn)證證書的有效性。5.1.3認(rèn)證證書的注銷、暫停和撤銷上述規(guī)定構(gòu)成了具有法律約束力的認(rèn)證規(guī)則體系。）202361“標(biāo)準(zhǔn)合同一、適用范圍個(gè)人信息處理者通過訂立標(biāo)準(zhǔn)合同的方式向境外提供個(gè)人信息的，應(yīng)當(dāng)同時(shí)符合下列情形：一100自上年1月110四自上年1月1供敏感個(gè)人信息不滿1萬人的。法律、行政法規(guī)或者國(guó)家網(wǎng)信部門另有規(guī)定的，從其規(guī)定。以下情形屬于個(gè)人信息出境行為：一（）個(gè)人信息處理者收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi)，境外的機(jī)構(gòu)、組織或者個(gè)人可以查詢、調(diào)取、下載、導(dǎo)出；（三）國(guó)家網(wǎng)信辦規(guī)定的其他個(gè)人信息出境行為。二、備案方式10三、備案流程標(biāo)準(zhǔn)合同備案流程包括材料提交、材料查驗(yàn)及反饋備案結(jié)果、補(bǔ)充或者重新備案等環(huán)節(jié)。（一）材料提交（指南并制備了相關(guān)文件模板、范本）個(gè)人信息處理者備案標(biāo)準(zhǔn)合同，應(yīng)當(dāng)提交如下材料：1、統(tǒng)一社會(huì)信用代碼證件影印件2、法定代表人身份證件影印件3、經(jīng)辦人身份證件影印件4、經(jīng)辦人授權(quán)委托書5、承諾書6、標(biāo)準(zhǔn)合同7、《個(gè)人信息保護(hù)影響評(píng)估報(bào)告》（二）材料查驗(yàn)及反饋備案結(jié)果15備案結(jié)果分為通過、不通過。通過備案的，省級(jí)網(wǎng)信辦向個(gè)人信息處理者發(fā)放備案編號(hào)；10（三）補(bǔ)充或者重新備案1、向境外提供個(gè)人信息的目的、范圍、種類、敏感程度、方式、保存地點(diǎn)或者境外接收方處理個(gè)人信息的用途、方式發(fā)生變化，或者延長(zhǎng)個(gè)人信息境外保存期限的；2、境外接收方所在國(guó)家或者地區(qū)的個(gè)人信息保護(hù)政策和法規(guī)發(fā)生變化等可能影響個(gè)人信息權(quán)益的；3、可能影響個(gè)人信息權(quán)益的其他情形。交補(bǔ)充材料；重新訂立標(biāo)準(zhǔn)合同的，應(yīng)當(dāng)重新備案。補(bǔ)充或者重新備案的材料查驗(yàn)時(shí)間為15個(gè)人信息處理者對(duì)所提交材料的真實(shí)性負(fù)責(zé)，提交虛假材料的，按照備案不通過處理，并依法追究相應(yīng)法律責(zé)任。（2GDPRSCC（主合同申報(bào)表內(nèi)容的一致性等等。本如下：一、評(píng)估工作簡(jiǎn)述二、出境活動(dòng)整體情況（一）個(gè)人信息處理者基本情況1.組織或者個(gè)人基本信息；股權(quán)結(jié)構(gòu)和實(shí)際控制人信息；組織架構(gòu)信息；個(gè)人信息保護(hù)機(jī)構(gòu)信息；整體業(yè)務(wù)與個(gè)人信息情況；境內(nèi)外投資情況。（二）個(gè)人信息出境涉及業(yè)務(wù)和信息系統(tǒng)情況1.個(gè)人信息出境涉及業(yè)務(wù)的基本情況；個(gè)人信息出境涉及業(yè)務(wù)的個(gè)人信息收集使用情況；個(gè)人信息出境涉及業(yè)務(wù)的信息系統(tǒng)情況；個(gè)人信息出境涉及的數(shù)據(jù)中心（包含云服務(wù)）情況；個(gè)人信息出境鏈路相關(guān)情況。（三）擬出境個(gè)人信息情況說明個(gè)人信息處理者和境外接收方處理個(gè)人信息的目的、范圍、方式，及其合法性、正當(dāng)性、必要性；個(gè)人信息出境后向境外其他接收方提供的情況。（四）個(gè)人信息處理者個(gè)人信息保護(hù)能力情況遵守個(gè)人信息保護(hù)相關(guān)法律法規(guī)的情況。（五）境外接收方情況境外接收方基本情況；境外接收方處理個(gè)人信息的用途、方式等；境外接收方的個(gè)人信息保護(hù)能力；境外接收方所在國(guó)家或地區(qū)個(gè)人信息保護(hù)政策法規(guī)情況；境外接收方處理個(gè)人信息的全流程過程描述。（六）個(gè)人信息處理者認(rèn)為需要說明的其他情況三、擬出境活動(dòng)的影響評(píng)估情況（一（二（三（四（五境外接收方所在國(guó)家或者地區(qū)的個(gè)人信息保護(hù)政策和法規(guī)對(duì)標(biāo)準(zhǔn)合同履行的影響；（六）其他可能影響個(gè)人信息出境安全的事項(xiàng)。四、出境活動(dòng)影響評(píng)估結(jié)論在實(shí)務(wù)中具體準(zhǔn)備《個(gè)人信息保護(hù)影響評(píng)估報(bào)告》時(shí)，通常還應(yīng)參考另一重要的標(biāo)準(zhǔn)類文件《GB/T39335-2020信息安全技術(shù)個(gè)人信息安全影響評(píng)估指南》，并對(duì)其中欠缺的出境影響評(píng)估部分進(jìn)行增強(qiáng)和補(bǔ)充。3、出境現(xiàn)狀202311和展示。編號(hào)申報(bào)組織名稱所屬行業(yè)領(lǐng)域業(yè)務(wù)場(chǎng)景境外接收方所在地申報(bào)受理地域公布時(shí)間1首都醫(yī)科大學(xué)附屬北京友誼醫(yī)院醫(yī)療健康與荷蘭阿姆斯特丹大學(xué)醫(yī)學(xué)中心合作研究項(xiàng)目荷蘭北京網(wǎng)信辦北京2023年1月18日2中國(guó)國(guó)際航空股份有限公司航空運(yùn)輸民航旅客數(shù)據(jù)出（露，猜測(cè)項(xiàng)）未披露北京網(wǎng)信辦北京2023年1月18日3（中國(guó)企業(yè)管理有限汽車等場(chǎng)景（未披露，未披露上海網(wǎng)信辦上海2023年5月5日公司猜測(cè)項(xiàng)）4（上海化妝品銷售有限公司快消未披露法國(guó)（未披露，猜測(cè)項(xiàng)）上海網(wǎng)信辦上海2023年5月5日5焦點(diǎn)科技股份有限公司跨境電商中國(guó)制造外貿(mào)電商平臺(tái)業(yè)務(wù)德國(guó)、美國(guó)（未披露，猜測(cè)）江蘇網(wǎng)信辦南京2023年5月9日6杭州?？低晹?shù)字技術(shù)股份有限公司物聯(lián)網(wǎng)、智能家居未披露未披露浙江網(wǎng)信辦杭州2023年5月24日7杭州螢石網(wǎng)絡(luò)股份有限公司物聯(lián)網(wǎng)、智能家居未披露未披露浙江網(wǎng)信辦杭州2023年5月24日8北京現(xiàn)代汽車有限公司汽車全業(yè)務(wù)場(chǎng)景，包括生產(chǎn)采購(gòu)、索賠管理、全球質(zhì)量反饋等300多個(gè)數(shù)據(jù)項(xiàng)準(zhǔn)予出境新加坡（未披露，猜測(cè)項(xiàng)）北京網(wǎng)信辦北京2023年5月25日9捷普電子（威海）有限公司軟件和信息技術(shù)服務(wù)業(yè)未披露美國(guó)（未披露，猜測(cè)）山東網(wǎng)信辦威海2023年6月9日10（杭州信息技術(shù)有限公司軟件和信息技術(shù)服務(wù)業(yè)跨境小程序未披露浙江網(wǎng)信辦杭州2023年6月19日11綠點(diǎn)科技（深圳）有限公司軟件和信息技術(shù)服務(wù)業(yè)未披露美國(guó)（未披露，猜測(cè)）廣東網(wǎng)信辦深圳2023年6月20日12安利（中國(guó)）日用品有限公司快消部分產(chǎn)品和服務(wù)（披露，猜測(cè)）美國(guó)、日本等（未披露，猜測(cè)）廣東網(wǎng)信辦廣州2023年6月20日13捷普電子（廣州）有限公司軟件和信息技術(shù)服務(wù)業(yè)未披露美國(guó)（未披露，猜測(cè)）廣東網(wǎng)信辦廣州2023年6月20日14現(xiàn)代中國(guó)汽車SOTA升級(jí)服務(wù)等（未披露，猜測(cè)）韓國(guó)（未披露，猜測(cè)）北京網(wǎng)信辦北京2023年6月15豐田中國(guó)汽車管理產(chǎn)品、提供售后服務(wù)及支持、改進(jìn)產(chǎn)品、研發(fā)新產(chǎn)品和新戰(zhàn)略、數(shù)據(jù)分析研究等（未披露，猜測(cè)）日本（未披露，猜測(cè)）北京網(wǎng)信辦北京2023年6月16日產(chǎn)中國(guó)汽車未披露未披露北京網(wǎng)信辦北京2023年6月17連通（杭州）技術(shù)服務(wù)有限公司跨境支付跨境清算等場(chǎng)景美國(guó)（未披露，猜測(cè)）浙江網(wǎng)信辦杭州2023年8月18國(guó)泰君安證券股份有限公司金融業(yè)某涉及數(shù)據(jù)出境事項(xiàng)的系統(tǒng)未披露上海網(wǎng)信辦上海2023年8月19去哪兒網(wǎng)（具體申報(bào)主體未披露）酒店航旅旅游場(chǎng)景下包括門票等業(yè)務(wù)形態(tài)在內(nèi)的用戶相關(guān)未披露北京網(wǎng)信辦北京2023年8月個(gè)人數(shù)據(jù)出境20綠點(diǎn)科技（蘇州）有限公司軟件和信息技術(shù)服務(wù)業(yè)員工管理、供應(yīng)商管理美國(guó)（未披露，猜測(cè)）江蘇網(wǎng)信辦蘇州2023年8月21捷普綠點(diǎn)精密電子（無錫）有限公司軟件和信息技術(shù)服務(wù)業(yè)員工管理、供應(yīng)商管理美國(guó)（未披露，猜測(cè)）江蘇網(wǎng)信辦無錫2023年8月22綠點(diǎn)科技（無錫）有限公司軟件和信息技術(shù)服務(wù)業(yè)員工管理、供應(yīng)商管理美國(guó)（未披露，猜測(cè)）江蘇網(wǎng)信辦無錫2023年8月23菜鳥電商物流行業(yè)未披露未披露浙江網(wǎng)信辦杭州2023年8月24阿迪達(dá)斯體育（中國(guó)）有限公司批發(fā)和零售業(yè)未披露未披露江蘇網(wǎng)信辦蘇州2023年8月25廈門航空有限公司航空運(yùn)輸海外離港業(yè)務(wù)（未披露，猜測(cè)）在國(guó)家或地區(qū)（航開通的國(guó)際航線）福建網(wǎng)信辦廈門2023年8月26杭州云片網(wǎng)絡(luò)科技有限公司（猜測(cè)）科學(xué)研究和技術(shù)服務(wù)業(yè)通訊平臺(tái)全場(chǎng)景、全字段、數(shù)千萬量級(jí)數(shù)據(jù)美國(guó)等（未披露，猜測(cè)）浙江網(wǎng)信辦杭州2023年9月1日27大眾汽車金融（中國(guó)）有限金融業(yè)未披露未披露北京網(wǎng)信辦北京2023年9月公司28海南鄧白氏數(shù)據(jù)科技有限公司軟件和信息技術(shù)服務(wù)業(yè)鄧白氏編碼商業(yè)信息服務(wù)業(yè)務(wù)（Dun&BradstreetInternationalLtd）海南網(wǎng)信辦?？?023年11月29海南航空控股股份有限公司航空運(yùn)輸海外訂座業(yè)務(wù)相關(guān)數(shù)據(jù)項(xiàng)和海外離崗業(yè)務(wù)相關(guān)數(shù)據(jù)項(xiàng)未披露海南網(wǎng)信辦海口2023年11月30企查查科技股份有限公司科學(xué)研究和技術(shù)服務(wù)業(yè)企業(yè)信用信息境外查詢平臺(tái)未披露江蘇網(wǎng)信辦蘇州2023年11月9日31國(guó)際航空運(yùn)輸協(xié)會(huì)航空運(yùn)輸北亞區(qū)財(cái)務(wù)結(jié)算與分銷業(yè)務(wù)的數(shù)據(jù)加拿大、馬德里、新加坡北京網(wǎng)信辦北京2023年11月（一）機(jī)構(gòu)匯總1其中”以及“部分猜測(cè)的申報(bào)成功企業(yè)”（通過）情況應(yīng)高于本報(bào)告匯總。（二）分析說明20231131對(duì)以上通過國(guó)家互聯(lián)網(wǎng)信息辦公室的數(shù)據(jù)出境安全評(píng)估的組織進(jìn)一步進(jìn)行分析，本報(bào)告嘗試得出以下幾個(gè)結(jié)論。1、遵循屬地管轄機(jī)制，體現(xiàn)了應(yīng)合盡合的審核原則1康威視數(shù)字技術(shù)股份有限公司和杭州螢石網(wǎng)絡(luò)股份有限公司（3威海深圳（廣州（蘇州電子（無錫）有限公司、綠點(diǎn)科技（無錫）有限公司。的法律依據(jù)和嚴(yán)謹(jǐn)性，還有待國(guó)家網(wǎng)信部門給予明確指引。2、數(shù)據(jù)出境涉及行業(yè)分布廣泛從行業(yè)分布看，數(shù)據(jù)出境申報(bào)成功企業(yè)主要分布在軟件和信息技術(shù)服務(wù)業(yè)（27（1137%（友誼醫(yī)院國(guó)航列申報(bào)成功案例。圖1申報(bào)成功企業(yè)所在行業(yè)分布3、主要集中在經(jīng)濟(jì)發(fā)達(dá)及沿海地區(qū)9家（數(shù)量最多6家（均為杭州）6家（包括蘇州、無錫、南京。體現(xiàn)了這些地域數(shù)據(jù)出高自身申報(bào)評(píng)估通過率。“通道”正面清單”“建設(shè)服務(wù)平臺(tái)”“清單”。隨著三大措施和負(fù)面清單的實(shí)踐，上述經(jīng)濟(jì)發(fā)達(dá)及沿海地區(qū)與自貿(mào)區(qū)的“正面清單”企業(yè)，或考慮搬遷至采取了上述措施的區(qū)域。圖2申報(bào)成功企業(yè)所在地域分布4、申報(bào)及審批經(jīng)驗(yàn)缺乏、申報(bào)成功率較低從申報(bào)成功時(shí)間分布看，202312家數(shù)據(jù)出境20235689》發(fā)布逐漸回落。但整體來說，由于數(shù)據(jù)出境申報(bào)相202372645006003家企業(yè)通過數(shù)據(jù)出境安全評(píng)估并對(duì)0.5%；2023619日廣東網(wǎng)信辦披露“220余44份申報(bào)材料通過完備性查驗(yàn)并上報(bào)國(guó)家網(wǎng)信辦31.4%。圖3申報(bào)成功企業(yè)時(shí)間分布（一）機(jī)構(gòu)匯總編號(hào)申報(bào)組織名稱接收方組織名稱所屬行業(yè)業(yè)務(wù)場(chǎng)景申報(bào)受理地域公布時(shí)間1北京德億信數(shù)據(jù)有限公司香港諾華誠(chéng)信有限公司信息傳輸、軟件和信息技術(shù)服務(wù)業(yè)向香港傳輸與征信相關(guān)的個(gè)人信息北京網(wǎng)信辦北京2023年7月10日2邦貝液壓機(jī)械（杭州）有限公司未披露制造業(yè)未披露浙江網(wǎng)信辦杭州2023年7月10日3（大連軟件服務(wù)股份有限公司日本某株式會(huì)社信息傳輸、軟件和信息技術(shù)服務(wù)業(yè)未披露遼寧網(wǎng)信辦大連2023年7月4海南省星創(chuàng)互聯(lián)網(wǎng)醫(yī)藥有限公司未披露批發(fā)和零售業(yè)未披露海南網(wǎng)信辦海南2023年9月5捷德（中國(guó)）科技有限公司（猜測(cè)）未披露制造業(yè)在華機(jī)構(gòu)的員工個(gè)人信江西網(wǎng)信辦南昌2023年9月6武漢科斯德爾瑪檢測(cè)技術(shù)服務(wù)有限公司未披露科學(xué)研究和技術(shù)服務(wù)業(yè)未披露湖北網(wǎng)信辦武漢2023年10月7偉創(chuàng)力技術(shù)（長(zhǎng)沙）有限公司未披露信息傳輸、軟件和信息技術(shù)服務(wù)業(yè)未披露湖南網(wǎng)信辦長(zhǎng)沙2023年11月（二）分析說明71130日之前可以預(yù)見，隨著《規(guī)范和促進(jìn)數(shù)據(jù)跨境流動(dòng)規(guī)定（征求意見稿》的發(fā)布和認(rèn)證等方式實(shí)現(xiàn)合規(guī)出境，而《規(guī)范和促進(jìn)數(shù)據(jù)跨境流動(dòng)規(guī)定（征求意見稿》4、合規(guī)要求與示范（2申報(bào)方式與流（3申報(bào)材（（（第一版等等解釋外，本章提供了進(jìn)一步的解讀供企業(yè)決策、判定參考。（一）（二100萬人以上個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息（三自上年1月110萬人個(gè)人信息或者1萬人敏感個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息。（一）（二100（三）11日起累計(jì)向境外提供個(gè)人信10（四111萬人的。征求意見稿1人信息出境標(biāo)準(zhǔn)合同、通過個(gè)人信息保護(hù)認(rèn)證。11100萬、100履行任何行政程序、履行備案、認(rèn)證、評(píng)估的各類情形均已有明確。活動(dòng)）（一）（二）以定性為直接出境（有些主體也稱之為主動(dòng)出境，第二類為可訪問（境、被動(dòng)出境。他約束。（）（如在境外設(shè)立實(shí)體的走出去中企（特別是境外跨國(guó)公司的境內(nèi)實(shí)體（電子商務(wù)和支付支持等如軟硬件服務(wù)（主。數(shù)量和涉及行業(yè)并未完全反映跨國(guó)貿(mào)易的全貌，但隨著評(píng)估申報(bào)和備案工作的進(jìn)展，應(yīng)該會(huì)有更多的覆蓋。實(shí)現(xiàn)基本資料的獲取和填寫。終和決定性的作用和地位。這也是體現(xiàn)評(píng)估工作“應(yīng)合盡合”的要求。一些常見的參考包括（（通過境外集團(tuán)或總部的決定或授權(quán)安排（3利義務(wù)約定，確定對(duì)數(shù)據(jù)在境內(nèi)的處理權(quán)限和最終決策層級(jí)。（者）負(fù)責(zé)。境外的數(shù)據(jù)接收方通常存在幾種可能：最為典型的是與（境內(nèi)）約定的交付物，此時(shí)客戶應(yīng)作為境外數(shù)據(jù)接收方；直接成為了協(xié)議規(guī)制的標(biāo)的，這在新近通過的評(píng)估案例中也得到了印證；另外一種典型情況是存在同處于一個(gè)實(shí)際控制人的跨國(guó)集團(tuán)企業(yè)，集（需將其實(shí)際控制權(quán)的自然人作為數(shù)據(jù)接收方）作為數(shù)據(jù)接收方。及境外數(shù)據(jù)的入境，進(jìn)而會(huì)導(dǎo)致適用境外法律的問題。出境、入境，則不利于企業(yè)經(jīng)營(yíng)以及整體上的數(shù)字貿(mào)易活動(dòng)。》設(shè)立了一種基于合同或協(xié)著協(xié)議機(jī)制的失靈（或至少是打折，因?yàn)橹黧w的實(shí)質(zhì)性混同將削弱保障的法律也非鼓勵(lì)的出境主體模式。數(shù)據(jù)出境的方式，指南文件列舉了兩種典型，公共互聯(lián)網(wǎng)傳輸、專線傳輸。實(shí)務(wù)中兩種方式可以做進(jìn)一步細(xì)分，且在一定情形下也可能存在重合，或組合的情況。需要注意的是，填寫和描述出境方式，不應(yīng)僅簡(jiǎn)單的選擇公共互聯(lián)網(wǎng)傳輸、措施如何在傳輸過程中得到應(yīng)用等等。（）的表述方式舉例如下（IP或數(shù)據(jù)中心地址不詳?shù)葐栴}的考慮等：鏈路供應(yīng)商：[?]（可適當(dāng)援引通訊服務(wù)提供商信息，或境外提供商及在境內(nèi)的業(yè)務(wù)合作方）鏈路數(shù)量：1帶寬：[?]GB模式：專線傳輸鏈接方式：點(diǎn)對(duì)點(diǎn)專線公網(wǎng)IP地址：境內(nèi)數(shù)據(jù)中心：境外數(shù)據(jù)中心：美國(guó)微軟Azure云，位于[?]的數(shù)據(jù)中心（云）IP地址：IP（）數(shù)據(jù)安全負(fù)責(zé)人主要涉及內(nèi)部的決策和職責(zé)描述。境外的總部或集團(tuán)安全負(fù)責(zé)人的上下級(jí)關(guān)系。（郵箱、證件號(hào)碼）的考慮。者附件。GDPR中國(guó)的《個(gè)人信息保護(hù)法》和中國(guó)版的個(gè)人信息出境標(biāo)準(zhǔn)合同進(jìn)行調(diào)整。出境標(biāo)準(zhǔn)合同作為“重要數(shù)據(jù)”出境評(píng)估的參照。速、準(zhǔn)確的檢索和比對(duì)。目前已知的涉及重要數(shù)據(jù)識(shí)別和安全保障的規(guī)定包括：4419小類影響對(duì)象。（2）20229月的《網(wǎng)絡(luò)數(shù)據(jù)分類分級(jí)要求（征求意見稿了如何細(xì)化“影響程度”的參考規(guī)則。《汽車數(shù)據(jù)安全管理若干規(guī)定（試行》確認(rèn)的汽車領(lǐng)域重要數(shù)據(jù)。《人類遺傳資源管理?xiàng)l例實(shí)施細(xì)則》《智慧民航數(shù)據(jù)治理規(guī)范數(shù)據(jù)安全》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行》《中國(guó)禁止出口限制出口技術(shù)目錄》《信息安全技術(shù)重要數(shù)據(jù)處理安全要求》20239月的《規(guī)范和促進(jìn)數(shù)據(jù)跨境流動(dòng)規(guī)定（征求意見稿數(shù)據(jù)安全管理制度和措施。如下的初步的美國(guó)數(shù)據(jù)安全法律政策環(huán)境可作為報(bào)告撰寫參考。比較而言，其他國(guó)家在歐盟GDPR前后多已制定或修改國(guó)內(nèi)個(gè)人信息保護(hù)立法，較之美國(guó)法律的體系和案例相對(duì)簡(jiǎn)單：州法律組成多層級(jí)、相對(duì)獨(dú)立的復(fù)雜體系。執(zhí)行聯(lián)邦隱私和數(shù)據(jù)保護(hù)法規(guī)。如電子郵件（COPPA）等的保（醫(yī)療電子交換法案199810行明確的界定。此外，美國(guó)是2001年11月由歐洲委員會(huì)的26個(gè)歐盟成員國(guó)以及加拿大、日本和南非等30個(gè)國(guó)家布達(dá)佩斯所共同簽署國(guó)際公約《（打擊）網(wǎng)絡(luò)犯罪公約》（Cyber-crime20222018司法上需求對(duì)境外接收方數(shù)據(jù)提出管轄。（隱私權(quán)利SCC在內(nèi)，在協(xié)議中強(qiáng)調(diào)司法管轄權(quán)的緣由。5、數(shù)據(jù)安全保障能力風(fēng)險(xiǎn)控制能力，是出境監(jiān)管規(guī)則的重要關(guān)注。指南文件要求對(duì)數(shù)據(jù)安全管理能力和數(shù)據(jù)安全技術(shù)能力分別進(jìn)行評(píng)估描述。實(shí)務(wù)中企業(yè)也多分別從技術(shù)措施和管理制度方面分別展開。本報(bào)告注意到了指南周期的收集、存儲(chǔ)、傳輸、使用、提供、加工、披露/公開、刪除各個(gè)階段，導(dǎo)（非全部（GB/T35273-2020）等標(biāo)準(zhǔn)也體現(xiàn)出對(duì)不同周期階段的整體適用。收集數(shù)據(jù)的收集需滿足最小必要等原則；收集實(shí)現(xiàn)處理目的所必要的最小范圍的數(shù)據(jù)；使用默認(rèn)勾選同意等方式；SDK明確數(shù)據(jù)處理規(guī)則和保護(hù)責(zé)任，要求第三方處理活動(dòng)滿足相關(guān)要求；需要從數(shù)據(jù)源出發(fā)確定數(shù)據(jù)收集的法律適用。例如，在中國(guó)法的標(biāo)準(zhǔn)合同與（如）歐盟GDPR的標(biāo)準(zhǔn)合同發(fā)生沖突時(shí)，應(yīng)以數(shù)據(jù)主體作為選擇法律適用的事實(shí)依據(jù)，避免產(chǎn)生法律適用的困惑，從而無法準(zhǔn)確界定收集的各類數(shù)據(jù)的權(quán)屬、權(quán)益。序（App）存儲(chǔ)細(xì)化規(guī)則。存儲(chǔ)的數(shù)據(jù)加密可以簡(jiǎn)單分為三個(gè)層次，可以依據(jù)安全和合規(guī)要求選擇：件進(jìn)行加密操作?？蓪?shí)現(xiàn)文件級(jí)別的加密，力度粗糙；選擇強(qiáng)度不低于AES-256或?qū)?yīng)國(guó)密算法的算法。與存儲(chǔ)相關(guān)的標(biāo)準(zhǔn)、指引類文件可參考《T/CITIF002-2023數(shù)據(jù)存儲(chǔ)安全能力成熟度模型》等。使用控制的管理制度，對(duì)使用過程中的訪問控制要求等內(nèi)容進(jìn)行規(guī)定。通過統(tǒng)一認(rèn)證和訪問控制實(shí)現(xiàn)對(duì)數(shù)據(jù)使用中涉及的各類系統(tǒng)進(jìn)行管理和安的安全基線，避免各系統(tǒng)密碼強(qiáng)度不一致等問題。訪問控制旨在對(duì)各系統(tǒng)中涉及重要數(shù)據(jù)或敏感個(gè)人信息的權(quán)限進(jìn)行識(shí)別和數(shù)據(jù)或敏感個(gè)人信息，對(duì)權(quán)限進(jìn)行分級(jí)、角色和配置實(shí)施。于后續(xù)對(duì)日志開展安全審計(jì)的工作，形成從實(shí)施到驗(yàn)證再到改進(jìn)的迭代循進(jìn)。GB/T37964-2019139-2022電信和互聯(lián)網(wǎng)個(gè)人信息保護(hù)能力審計(jì)規(guī)范》等。加工圍，同時(shí)也需要滿足最小必要的原則，僅使用實(shí)現(xiàn)目的所需要的最小范圍。（就個(gè)人信息而言）進(jìn)行匯聚融合等加工。常見的隱私增強(qiáng)技術(shù)路線主要有：安全多方計(jì)算（M：是解決一組互不信任的參與方之間在保護(hù)隱私信息何其他信息。聯(lián)邦學(xué)習(xí)（FL：用于建立一個(gè)基于分布數(shù)據(jù)集的聯(lián)邦學(xué)習(xí)模型，是一種在原始數(shù)據(jù)不出庫(kù)的情況下，協(xié)同完成機(jī)器學(xué)習(xí)任務(wù)的學(xué)習(xí)模式。（TE與加工相關(guān)的標(biāo)準(zhǔn)、指引類文件可以包括更細(xì)粒度的隱私計(jì)算的參考文件，如《JRT0196-2020多方安全計(jì)算金融應(yīng)用技術(shù)規(guī)范》等。傳輸數(shù)據(jù)傳輸包括了確保數(shù)據(jù)在境內(nèi)主體之間、從境內(nèi)向境外傳輸、境外可能（主要是度的安全：明確負(fù)責(zé)數(shù)據(jù)出境傳輸安全工作的團(tuán)隊(duì)及其工作職責(zé)；出境傳輸通道兩端主體的身份鑒別；輸方案及出境傳輸通道的加密方案；梳理出境數(shù)據(jù)傳輸接口，形成出境接口清單；使用行業(yè)最佳實(shí)踐或不低于通行慣例的加密傳輸算法和協(xié)議，例如TLS1.3；開展接口調(diào)用日志記錄及監(jiān)控審計(jì)，評(píng)估加密算