国家互联网信息办公室持续加强数据出境安全管理政策宣贯,指导和帮助数据处理者高效合规开展数据出境活动。经对近期收到的咨询问题进行研究,现将一些有代表性的问题和答复公布如下。

1.识别申报重要数据的具体流程是什么?

答:《数据安全法》第二十一条规定,国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。

《网络数据安全管理条例》第二十九条规定,网络数据处理者应当按照国家有关规定识别、申报重要数据。对确认为重要数据的,相关地区、部门应当及时向网络数据处理者告知或者公开发布。

落实相关法律法规规定,各部门正在制定相关行业、领域的数据分类分级标准规范和重要数据识别申报规则,为本行业、领域的数据处理者识别申报重要数据提供具体依据和操作指导。部分行业、领域数据分类分级标准规范和重要数据识别申报规则已经公开发布,如工业领域的《工业领域重要数据识别指南》、电信领域的《电信领域重要数据识别指南》、自然资源领域的《地理信息数据分类分级工作指南(试行)》、统计领域的《统计数据安全管理办法》等,还有的通过召开会议、制发文件、一对一通知等形式告知到数据处理者。数据处理者应当按照相关标准规范、申报规则和有关主管部门的要求,及时做好重要数据识别、申报工作。相关行业主管部门对数据处理者申报重要数据进行认定,对确认为重要数据的,将及时向数据处理者告知或者公开发布。如果数据处理者被告知掌握重要数据或者掌握的数据被公开发布为重要数据,应当按照相关法律法规的要求,履行重要数据安全保护责任。没有发布行业、领域的数据分类分级标准规范和重要数据识别申报规则,数据处理者也没有被有关部门告知应当进行重要数据识别申报的,未识别申报重要数据,未对相关数据进行重点保护,不会被认定为违反重要数据保护相关规定,不会因此受到行政处罚。

2.如何合规开展重要数据出境活动?

答:根据《网络安全法》第三十七条、《数据安全法》第三十一条、《网络数据安全管理条例》第三十七条以及《数据出境安全评估办法》《促进和规范数据跨境流动规定》相关条款规定,数据处理者在中华人民共和国境内运营中收集和产生的重要数据确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。申报数据出境安全评估的流程参考国家互联网信息办公室公开发布的《数据出境安全评估申报指南》。对于确需出境的重要数据,经数据出境安全评估认为不会危害国家安全和社会公共利益的,可以出境。

数据处理者应当按照相关规定识别、申报重要数据,未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估,相关数据出境活动不会被认定为违法违规出境重要数据,不会因此受到行政处罚。数据处理者被告知掌握重要数据或者掌握的数据被公开发布为重要数据后,如需继续开展相关数据出境活动的,应当在被告知或者公开发布后2个月内,通过所在地省级网信部门向国家网信部门申报数据出境安全评估。数据处理者应当按照国家网信部门出具的安全评估结果合规开展数据出境活动,切实保障重要数据出境安全。