1、 2024 數字經濟與網絡數據安全年終總結文章匯總數字經濟與網絡數據安全年終總結文章匯總 目錄目錄 我國電信監管與合規我國電信監管與合規.1 1.開放懷抱的電信市場：增值電信業務擴大對外開放試點啟動.2 2.北京、上海、深圳、海南四地啟動增值電信業務擴大對外開放試點工作.10 我國網絡數據安全我國網絡數據安全.13 1.總則：解讀網絡數據安全管理條例：洞悉數字戰役背后的護航力量.14 2.數據分類分級：解讀數據安全技術 數據分類分級規則：綱舉目張，安則有序.43 3.數據跨境傳輸：解讀促進和規范數據跨境流動規定：流動與安全并重.59 4.數據跨境傳輸：解讀粵港澳大灣區（內地、香港）個人信息跨境

2、流動標準合同實施指引：跨境數據流動創新保障性措施的先行先試.72 5.網絡競爭規范：解讀網絡反不正當競爭暫行規定：互聯網條款重點關注.132 6.測繪信息安全：解讀自然資源部關于加強智能網聯汽車有關測繪地理信息安全管理的通知：安全為基，智馭未來.150 7.平臺運營資質：應用程序分發平臺對 App 運營者的資質審核機制分析.163 美國網絡數據安全美國網絡數據安全.179 1.美國數據監管新規觀察（上）美國數據跨境傳輸行政命令的背景與規則.180 2.美國數據監管新規觀察（中）美國數據監管行政命令的風險分析與企業因應.197 3.美國數據監管新規觀察（下）美國數據跨境新政的適用場景、應用公式與

3、應對策略.209 歐美中人工智能監管與合規歐美中人工智能監管與合規.236 1.歐盟：歐盟人工智能法正式生效.237 2.美國：聯邦和各州的人工智能立法進展.257 3.中國：生成式人工智能服務安全基本要求正式發布.263 4.歐美中人工智能監管合規關注對比.273 1 我國電信監管與合規我國電信監管與合規 2 1.開放懷抱的電信市場：增值電信業務擴大對外開放試點啟動開放懷抱的電信市場：增值電信業務擴大對外開放試點啟動1 2024 年 10 月 23 日，工業和信息化部正式啟動關于開展增值電信業務擴大對外開放試點工作的通告（工信部通信函2024107 號）（以下簡稱“107 號號文文”）所規定

4、的北京市服務業擴大開放綜合示范區、上海自由貿易試驗區臨港新片區及社會主義現代化建設引領區、海南自由貿易港、深圳中國特色社會主義先行示范區四地增值電信業務擴大對外開放試點工作?；赝^去，在 2001 年 12 月11 日正式入世的同一天，我國發布了外商投資電信企業管理規定以履行其入世文件中關于開放電信行業的承諾，其中第六條規定：外國投資者必須獲得批準才能在中國投資經營電信服務的企業，這類企業被稱為“外商投資電信企業”，由此我國首次打開了增值電信業務市場的大門，并以“小步”+“慢跑”的方式逐漸平穩開放。本文將基于我國目前增值電信業務市場的相關法律法規和我們的服務經驗，對 107 號文的規定以及實務

5、中可能出現的問題進行解讀，供企業和各界人士參考。一、一、本次試點涉及的增值電信業務本次試點涉及的增值電信業務 我國加入世界貿易組織時，針對電信業務所做出的承諾為“有限承諾”，即允許外商投資的電信業務僅限于“入世”承諾表和后續頒布的外商投資準入特別管理措施（負面清單）所列明的電信業務。根據中華人民共和國電信條例（2016 修訂）外商投資電信企業管理規定（2022 修訂）等規定，經營基礎電信業務的外資出資比例不得超過 49%，經營增值電信業務的外資出資比例不得超過 50%，國家另有規定的除外。107 號文第二條所規定的“取消外資股比限制”，正是針對上述規定所做出的出資比例限制所做出的突破性規定。1

6、07 號文正式實施后，外方投資者投資（開展試點范圍內增值電信業務的）電信企業的，在企業中的出資比例可以突破 50%的限制，甚至實現 100%獨資出資。根據中華人民共和國外商投資法，外商投資企業是指全部或者部分由外國投資者（含港澳臺地區）投資，依照中國法律在中國境內經登記注冊設立的企業?！叭胧篮蟆?，我國一方面針對港澳臺地區投資者的投資比例限制推出了寬松政策，一方面在多個自由貿易區率先開展各類電信業務對外開放的試點，各類政策文件交錯形成了較為復雜的規則體系。結合 107 號文、內地與香港關于建立更緊密經貿關系的安排（以下簡稱“CEPA 政策政策”）和國務院關于印發中國（海南）自由貿易試驗區總體方案

7、的通知等各自貿區文件，我們總結目前的各類電信業務的外資投資比例限制情況如下：1 作者：孟潔、趙姝、黎耀琦 3 增 值 電 信 業增 值 電 信 業務類型務類型 外商投資電外商投資電信企業管理規信企業管理規定及負面清定及負面清單等基本政策單等基本政策（中國大陸范（中國大陸范圍內）圍內）CEPA 政策政策（港澳投資者）（港澳投資者）自由貿易自由貿易區政策區政策（各類外資投資（各類外資投資者）者）107 號文號文（北 上 瓊 深 四（北 上 瓊 深 四地）地）B11 類互聯網數據中心業務（IDC）禁止 外資比例50%禁止（海南附條件開放2）外資比例100%B12 類內容分發 網 絡 業 務（CDN）

8、禁止 外資比例50%禁止（海南附條件開放）外資比例100%B14 類互聯網接入服務業務（ISP）禁止 為上網用戶提供互聯網接入服務：外資比例100%；其他 B14 類業務：外資比例50%為上網用戶提供互 聯 網 接 入 服務：外 資 比 例100%；其他 B14 類業務：禁止 外資比例100%B21 類在線數據處理與交易處 理 業 務（EDI）電商業務：外資比例100%；其他 B21 類業務：外資比例50%電商業務：外資比例100%；其他 B21 類業務：外資比例50%電商業務：外資比例100%；其他 B21 類業務：外 資 比 例50%外資比例100%B25 類信息服務業務（ICP）外 資

9、比 例50%應用商店業務：外資比例100%；其他 B25 類業務：外資比例50%應用商店業務：外資比例100%；其他 B25 類業務：外 資 比 例50%信息發布平臺和遞送服務（互聯網新聞信息、網絡出版、網絡視聽、互聯網文化經營除外）、信息保護和處理服務業務：外資比例100%本次擴大對外開放試點涉及的電信業務覆蓋了大量的應用場景，相關業務的具體含義及對應的適用場景如下：2 根據海南自由貿易港建設總體方案，允許實體注冊、服務設施在海南自由貿易港內的企業，面向自由貿易港全域及國際開展在線數據處理與交易處理等業務，并在安全可控的前提下逐步面向全國開展業務。4（一）（一）B11 類互聯網數據中心業務（

10、類互聯網數據中心業務（IDC）互聯網數據中心（IDC）業務是指利用相應的機房設施，以外包出租的方式為用戶的服務器等互聯網或其他網絡相關設備提供放置、代理維護、系統配置及管理服務，以及提供數據庫系統或服務器等設備的出租及其存儲空間的出租、通信線路和出口帶寬的代理租用和其他應用服務互聯網數據中心業務經營者應提供機房和相應的配套設施，并提供安全保障措施。常見的場景包括：（1）傳統 IDC服務器廠商；（2）算力基礎設施和云計算服務廠商，包括亞馬遜 AWS、微軟 Azure等。（二）（二）內容分發網絡業務（內容分發網絡業務（CDN）內容分發網絡（CDN）業務是指利用分布在不同區域的節點服務器群組成流量分

11、配管理網絡平臺，為用戶提供內容的分散存儲和高速緩存，并根據網絡動態流量和負載狀況，將內容分發到快速、穩定的緩存服務器上，提高用戶內容的訪問響應速度和服務的可用性服務。常見的場景包括：網站加速，例如為門戶網站、電子商務網站、新聞資訊網站、社交媒體平臺等提供加速服務；在線視頻流媒體服服務，例如騰訊等視頻網站、幕課等在線教育平臺、網易云等音樂分享網站等。對比此前的自貿區政策和 CEPA 政策，IDC 業務和 CDN 業務均是是首次向外資（不包括港澳臺地區）開放，而且外資出資比例未設限制，開放力度和尺度進一步增強。（三）互聯網接入服務業務（三）互聯網接入服務業務（ISP）互聯網接入服務（ISP）業務是

12、指利用接入服務器和相應的軟硬件資源建立業務節點，并利用公用通信基礎設施將業務節點與互聯網骨干網相連接，為各類用戶提供接入互聯網的服務。常見的場景包括：為互聯網信息服務業務（ICP）經營者提供接入服務；提供寬帶接入服務等。在自貿區政策和 CEPA 政策下，為上網用戶提供互聯網接入服務已向外資開放、其他 ISP 業務向港澳投資者開放（投資比例不超過 50%），本次擴大對外開放試點則將開放范圍擴大至所有 ISP 業務。（四）在線數據處理與交易處理業務（四）在線數據處理與交易處理業務（EDI）在線數據處理與交易處理（EDI）業務是指利用各種與公用通信網或互聯網相連的數據與交易/事務處理應用平臺，通過公

13、用通信網或互聯網為用戶提供在線數據處理和交易/事務處理的業務。常見的場景包括：淘寶、京東等電商平臺；智能家居、工業互聯網、車聯網等物聯網平臺。就 EDI 業務，我國此前已經取消了電商類業務的外資投資比例，本次擴大對外開放試點則進一步擴大至所有 EDI 業務。5（五）（五）信息服務業務信息服務業務（ICP）信息服務（ICP）業務是指通過信息采集、開發、處理和信息平臺的建設，通過公用通信網或互聯網向用戶提供信息服務的業務。值得注意的是，本次擴大對外開放試點的 ICP 業務僅包括信息發布平臺和遞送服務（互聯網新聞信息、網絡出版、網絡視聽、互聯網文化經營除外）、信息保護和處理服務業務，而信息搜索查詢服

14、務、信息社區平臺服務、信息即時交互服務仍未開放，屬于外資禁止投資和經營的增值電信業務。二、二、境外投資者申請增值電信業務的相關實務問題境外投資者申請增值電信業務的相關實務問題 我們結合外商投資電信企業管理規定（2022 修訂）、107 號文等文件以及過去的服務經驗，總結了以下境外投資者申請增值電信業務時可能面臨的實務問題。（一）本次擴大對外開放試點地區的范圍是？（一）本次擴大對外開放試點地區的范圍是？根據 107 號文的規定，本次試點地區對應的行政區域范圍如下表：序號序號 試點地區試點地區 地域范圍地域范圍 注冊地、服務設施注冊地、服務設施 服務范圍服務范圍 1 北京市服務業擴大開放綜合示范區

15、 北京市 試點開放業務經營主體注冊地、服務設施（含租用、購買等設施）放置地須在同一試點區域內在同一試點區域內，不得購買、租用本試點區域外 CDN 等設施開展加速服務。ISP 業務服務 范 圍 僅限 本 試 點本 試 點區域區域，且需需通 過 基 礎通 過 基 礎電 信 企 業電 信 企 業互 聯 網 接互 聯 網 接入 設 備入 設 備 對用 戶 提 供互 聯 網 接入服務；其 他 業 務服 務 范 圍可 面 向 全可 面 向 全國國。2 上海自由貿易試驗區臨港新片區及社會主義現代化建設引領區 上海大治河以南、金匯港以東（包括小洋山島以及浦東國際機場南側區域）及浦東新區 3 海南自由貿易港 海

16、南島全島 4 深圳中國特色社會主義先行示范區 深圳市（二）境外投資者申請取得的資質為何種形式？（二）境外投資者申請取得的資質為何種形式？6 不同于境內企業申請取得的增值電信業務經營許可證，根據 107 號文的規定，外商投資電信企業應按照相關規定向工業和信息化部申請取得電信業務經營電信業務經營試點批復試點批復，并在電信業務經營活動中遵守相關法律法規及試點批復的規定，接受、配合電信管理機構及有關主管部門的監督管理。根據已經開展的自貿區實踐，“試點批復”與電信業務經營許可證具有同等效力。根據電信業務經營許可管理辦法（2017）的規定，增值電信業務經營許可證的有效期為 5 年，而本次擴大對外開放試點所

17、下發的電信業務經營試點批復有效期仍有待各地主管部門后續進一步明確。（三）試點申報條件有哪些？（三）試點申報條件有哪些？在工業和信息化部答記者問環節3（中，明確對在試點地區開展前述增值電信業務的外商投資電信企業，遵循“內外資一致”原則內外資一致”原則進行管理。根據電信業務經營許可管理辦法（2017）第六條，經營增值電信業務應當具備下列條件：（一）經營者為依法設立的公司；（二）有與開展經營活動相適應的資金和專業人員；（三）有為用戶提供長期服務的信譽或者能力；（四）在省、自治區、直轄市范圍內經營的，注冊資本最低限額為 100 萬元人民幣；在全國或者跨省、自治區、直轄市范圍經營的，注冊資本最低限額為

18、1000萬元人民幣；（五）有必要的場地、設施及技術方案；（六）公司及其主要投資者和主要經營管理人員未被列入電信業務經營失信名單；（七）國家規定的其他條件。針對外商投資增值電信業務注冊資本要求，以數據中心業務為例，如果存在機房所在地不在同一省份的情況，則需要申請全國或跨省市增值電信業務，則注冊資本不得低于 1000 萬元人民幣。（四）申請試點需要完成什么申報和審批程序？（四）申請試點需要完成什么申報和審批程序？根據 107 號文及其附件增值電信業務擴大對外開放試點方案，目前試點的實施方案流程如下：3 參見 https:/ 號文僅概括性地規定了擬在試點地區開展前述增值電信業務的外商投資電信企業，應

19、按照相關規定向工業和信息化部申請取得電信業務經營試點批復，但未規定具體的審批流程。試點正式啟動后，預計各地部門會陸續推出落地實施的具體方案，我們也將持續關注后續試點進展。三、三、擴大對外開放試點的影響和意義擴大對外開放試點的影響和意義 本次擴大對外開放試點正式啟動后，除了信息搜索查詢服務、信息社區平臺服務、信息即時交互服務等少部分監管較為嚴格的增值電信業務外，我國的增值電信業務市場已經極大程度地對境外投資者“開放懷抱”，入局電信市場正在迎來新的窗口期。（一）算力服務與人工智能的快速發展（一）算力服務與人工智能的快速發展 算力是數字經濟時代的核心生產力，數據中心則是數字經濟運行的動脈。隨著人工智

20、能模型的快速演進和迭代，模型規模的擴大和算法的復雜化對算力提出了更高的要求。國務院、工信部、國家發改委以及國家能源局等多個部門單獨或聯合出臺了一系列政策，旨在支持、指導和規范數據中心的發展。而本次試點對外開放互聯網數據中心業務，允許業務服務范圍面向全國展開，則意味著外商投資企業在試點地區取得 IDC 試點批復后，可以在中國境內提供算力服務和云服務等。我國的人工智能產業正處于高速發展時期，我國此舉一方面是為了引入外資的先進算力和云計算服務，另一方面，對于外商投資企業而言，也有助于企業捕捉市場需求的變化、及時填補需求端缺口，真正抓住和釋放政策帶來的紅利。（二）低風險的統一網絡安全體系（二）低風險的

21、統一網絡安全體系 此前，由于外資投資比例限制，在中國大陸開展業務的過程中，外商投資企業通常需要通過租用境內企業的服務器、數據中心等或通過合資成立子公司開展相關業務。本次擴大對外開放試點實施后，由于數據中心的建設和相關業務不再受到投資比例的限制，外商投資企業可以選擇自行開展數據中心建設、搭建數據庫系統等業務，供企業集團內部、其他子公司使用，從而搭建統一、安全的網絡和數據安全系統，保障數據存儲、傳輸和處理過程中的安全，進而將業務擴展至 8 第三方企業，提高投資回報比率；另一方面，隨著外資比例限制的取消，企業提供集團內部網絡和數據服務的監管風險也會顯著降低。（三）物聯網服務平臺（三）物聯網服務平臺

22、本次擴大對外開放試點實施后，在線數據處理與交易處理（EDI）業務全部向外資開放，其中電子數據交換業務和網絡、電子設備數據處理業務兩項業務系首次對外開放，這意味著符合條件的外資企業可獨資提供物聯網平臺服務，對于智能家居、工業互聯網、車聯網等行業領域的外商投資企業屬于重大利好。從目前已經申請試點批復的企業中，不乏特斯拉等典型物聯網、車聯網企業4。（四）降低投資風險、增加交易確定性（四）降低投資風險、增加交易確定性 取得電信業務經營試點批復，對于境外投資者投資、收購境內企業也存在積極意義。根據外商投資安全審查辦法第四條，外國投資者或者境內相關當事人投資關系國家安全的重要信息技術和互聯網產品與服務、關

23、鍵技術以及其他重要領域，并取得所投資企業的實際控制權的，應當在實施投資前主動向工作機制辦公室申報國家安全審查。在 107 號文出臺前，由于外資出資比例限制的存在，數據中心業務等增值電信業務是否屬于需要進行國家安全審查的范圍內始終存在一定爭議和疑問。107號文出臺和實施后，我們理解如果外商投資企業順利取得相應的電信業務經營試點批復，則意味著開展相關的增值電信業務涉及國家安全審查的可能性和風險較低，有利于增加了境外投資者投資、交易的確定性和可預期性。四、四、結語與建議結語與建議 鑒于目前試點區域的具體方案和流程尚未正式出臺，我們建議各企業持續關注政策的實際落地情況。同時，根據已有的規定，我們給希望

24、申請取得試點批復的企業提供一些對策與建議，具體如下：（一）完善網絡安全和數據保護體系（一）完善網絡安全和數據保護體系 盡管 107 號文沒有明確對于企業開展相關增值電信業務的監管要求，但是其附件增值電信業務擴大對外開放試點方案明確工業和信息化部會在評估論證過程中“調研核查安全監管保障體系等”，并在“試點保障措施”一節提出“建立企業信息上報和定期抽查機制，強化網絡和數據安全監管能力，督促企業切實履行安全主體責任?！笨梢?，工業和信息化部等部門對于外商投資企業經營電信業務的監管力度并不會因開放而放松。4 參見 https:/ 以開放試點的互聯網數據中心（IDC）業務為例，如果外商投資企業通過數據中心

25、提供邊緣算力服務、人工智能算力服務等服務，往往會處理多種類型數據、涉及的數據量巨大，且涉及高精尖技術行業。根據中國人民共和國網絡安全法 等法律法規的規定和我們的服務經驗，數據中心按照網絡安全等級三級或以上進行定級、開展網絡安全保護工作較為適宜。作為試點區域之一的深圳，深圳市公安局公共信息網絡安全監察分局在 關于落實網絡安全等級保護制度要求的通知中指出，“互聯網數據中心和云平臺運營方，原則上基礎網絡定級不得低于三級，且不得低于所承載信息系統的最高級別等5。鑒于網絡安全和數據保護的重要性、事后性，企業率先建立和完善網絡安全和數據保護體系，一方面既有利于通過監管部門的審核、順利取得電信業務經營試點批

26、復；另一方面，在取得批復、開展經營后，完善的網絡安全和數據保護體系也有助于企業合法合規開展經營，降低發生數據安全事件等風險。（二）梳理股權關系結構（二）梳理股權關系結構 參考過去申請增值電信業務許可證時，對于外資出資比例的審核需要進行股權穿透，穿透、追溯至國有獨資、自然人及外商獨資為止，在此基礎上加權累計計算外資出資比例。因此，我們理解本次擴大對外開放試點，盡管取消了對于外資出資比例的限制，但是在申請電信業務經營試點批復的過程中，申請人很有可能也需要提供充分、細致的外資結構和成分等相關文件。5 深圳市公安局：IDC、云平臺信息安全等級保護不得低于三級，否則從嚴處罰，https:/ 2020 年

27、 5 月 5 日。10 2.北京、上海、深圳、海南四地啟動增值電信業務擴大對外開放試點工作北京、上海、深圳、海南四地啟動增值電信業務擴大對外開放試點工作 2024 年 10 月 23 日，工業和信息化部組織召開增值電信業務擴大對外開放試點工作座談會，正式啟動北京、上海、深圳、海南四地增值電信業務擴大對外開放試點工作，在獲批開展試點的地區取消互聯網數據中心（IDC）、內容分發網絡（CDN）、互聯網接入服務（ISP）、在線數據處理與交易處理，以及信息服務中信息發布平臺和遞送服務（互聯網新聞信息、網絡出版、網絡視聽、互聯網文化經營除外）、信息保護和處理服務業務的外資股比限制。近期，各試點地區陸續發布

28、相關解讀、通告，正式啟動增值電信業務擴大對外開放試點。6（一）經營者為依法設立的公司；（二）有與開展經營活動相適應的資金和專業人員；（三）有為用戶提供長期服務的信譽或者能力；（四）在全國或者跨省、自治區、直轄市范圍經營的：1、申請跨地區 IDCCDNSP 業務的應不低于 1000 萬元人民幣。2、申請其他業務最低限額均為 100 萬元人民幣。（外幣需換算）（五）有必要的場地、設施及技術方案；（六）公司及其主要投資者和主要經營管理人員未被列入電信業務經營失信名單；（七）國家規定的其他條件。省省/市市 申請條件申請條件 申請渠道申請渠道 申請材料申請材料 審核時限審核時限 聯系方式聯系方式 參考鏈

29、接參考鏈接 北京北京 申請增值電信業務，應當符合 電信業務經營許可管理辦法第六條的規定6。同時，還需符合 工業和信息化部關于開展增值電信業務擴大對外開放試點工作的通告（工信部通信函2024107號）的相關規定。申請者登錄工業和信息化部政務服務一體化平臺（https:/），在“公共服務”模塊中選擇并進入“電信業務市場綜合管理信息系統”，點擊“電信業務經營許可申請”進入“增值電信業務許可”頁面，選擇“外資試點申請任務欄”中的“試點許可列表”模塊，在線提交申請。（一）公共表單 1、試點經營增值電信業務申請表 2、公司及人員情況表 3、股東情況表 4、依法試點經營電信業務承諾書 5、電信管理機構要求提

30、交的其他證明材料（選填）（二）業務專用表單 1、互聯網數據中心業務專用表 2、內容分發網絡業務專用表 3、互聯網接入服務專用表 4、在線數據處理與交易處理業務專用表 5、信息服務業務（僅限互聯網信息服務）業務專用表 6、信息服務業務（不含互聯網信息服務）業務專用表 企業在準備好材料 后 可 隨 時 申請，針對材料有問題的情況，在提交后 5 日內一次性退回補正，受理后15日內形成初審意見并上報到工信部信管局復審。010-51938033 010-51938038 https:/ 11 省省/市市 申請條件申請條件 申請渠道申請渠道 申請材料申請材料 審核時限審核時限 聯系方式聯系方式 參考鏈接參

31、考鏈接 上海上海 申請增值電信業務，應當符合 電信業務經營許可管理辦法第六條的規定。同時，還需符合 工業和信息化部關于開展增值電信業務擴大對外開放試點工作的通告（工信部通信函2024107號）的相關規定。有意參與試點申請的外資企業可在工業和信息化部政務服務平臺（https:/ “政務服務”-“行政許可”-“電信和互聯網業務”-“電信業務經營許可”板塊）在線提交申請，自主申報。（一）公共表單 1、試點經營增值電信業務申請表 2、公司及人員情況表 3、股東情況表 4、依法試點經營電信業務承諾書 5、電信管理機構要求提交的其他證明材料（選填）（二）業務專用表單 1、互聯網數據中心業務專用表 2、內容

32、分發網絡業務專用表 3、互聯網接入服務專用表 4、在線數據處理與交易處理業務專用表 5、信息服務業務（僅限互聯網信息服務）業務專用表 6、信息服務業務（不含互聯網信息服務）業務專用表 企業在準備好材料 后 可 隨 時 申請，針對材料有問題的情況，在提交后 5 日內一次性退回補正，受理后15日內形成初審意見并上報到工信部信管局復審。政策咨詢（市經濟信息化委）：021-60801129 填報指引（市通信管理局）：021-63905098 項目申報：浦東新區 021-58788388 轉 64417 臨港新片區 021-68286752 https:/ 海南海南 申請增值電信業務，應當符合 電信業務

33、經營許可管理辦法第六條的規定。同時，還需符合 工業和信息化部關于開展增值電信業務擴大對外開放試點工作的通告（工信部企業注冊賬號并登錄工業和信息化部政務服務一體化平臺（https:/），在“公共服務”模塊中選擇“電信業務市場綜合管理信息系統”，點擊“電信業務經營許可申請”進入“增值電信業務許可”頁面，選擇“外資試點申請任務欄”中的（一）公共表單 1、試點經營增值電信業務申請表 2、公司及人員情況表 3、股東情況表 4、依法試點經營電信業務承諾書 5、電信管理機構要求提交的其他證明材料（選填）（二）業務專用表單 1、互聯網數據中心業務專用表 2、內容分發網絡業務專用表 企業可通過“電信業務市場綜合

34、管理信息系統”申請提交書面申請材料，對于不符合要求的申請材料，于 5 個工作日內一次性退回補正。自受理之日起15日內形海南省通信管理局，0898-65203155，66520730 https:/ 12 省省/市市 申請條件申請條件 申請渠道申請渠道 申請材料申請材料 審核時限審核時限 聯系方式聯系方式 參考鏈接參考鏈接 通信函2024107號）的相關規定?！霸圏c許可列表”模塊，在線提交申請。3、互聯網接入服務專用表 4、在線數據處理與交易處理業務專用表 5、信息服務業務（僅限互聯網信息服務）業務專用表 6、信息服務業務（不含互聯網信息服務）業務專用表 成初審意見并上報至工業和信息化部進行復審

35、。深圳深圳 申請增值電信業務，應當符合 電信業務經營許可管理辦法第六條的規定。同時，還需符合 工業和信息化部關于開展增值電信業務擴大對外開放試點工作的通告（工信部通信函2024107號）的相關規定。登錄工業和信息化部政務服務一體化平臺（https:/），在“公共服務”模塊中選擇并進入“電信業務市場綜合管理信息系統”，點擊“電信業務經營許可申請”進入“增值電信業務許可”頁面，選擇“外資試點申請任務欄”中的“試點許可列表”模塊，在線提交申請。（一）公共表單 1.試點經營增值電信業務申請表 2.公司及人員情況表 3.股東情況表 4.依法試點經營電信業務承諾書 5.電信管理機構要求提交的其他證明材料（

36、選填）（二）業務專用表單 1.互聯網數據中心業務專用表 2.內容分發網絡業務專用表 3.互聯網接入服務專用表 4.在線數據處理與交易處理業務專用表 5.信息服務業務（僅限互聯網信息服務）業務專用表 6.信息服務業務（不含互聯網信息服務）業務專用表 企業在準備好材料后可在系統提交申請，若企業提交材料不齊全或者不符合法定形式的，在提交申請后 5 個工作日內一次性告知申請人。自受理申請之日起，15日內形成初審意見并書面報工業和信息化部信息通信管理局。https:/ 13 我國網絡數據安全我國網絡數據安全 14 1.總則：解總則：解讀網絡數據安全管理條例讀網絡數據安全管理條例：洞悉數字戰役背后的護航力

37、量：洞悉數字戰役背后的護航力量7 引言引言 隨著信息技術的迅猛發展，網絡數據已成為數字經濟時代的重要生產要素。然而，網絡數據的安全問題日益凸顯，對國家安全、公共利益以及個人和組織的合法權益構成了嚴重威脅。為了應對這些挑戰，我國相繼出臺了中華人民共和國網絡安全法（以下簡稱“網安法”）中華人民共和國數據安全法（以下簡稱“數安法”）中華人民共和國個人信息保護法（以下簡稱“個保法”）等法律法規，構建了較為完善的信息安全法律體系。網絡數據安全管理條例被連續多年被立為國務院工作計劃。2021年 11 月 14 日，國家互聯網信息辦公室（以下簡稱“網信辦”）曾發布網絡數據安全管理條例（征求意見稿）（以下簡稱

38、“征求意見稿”）。時隔近 3 年，2024 年 8 月 30日，國務院第 40 次常務會議通過網絡數據安全管理條例（以下簡稱“條例”）。導讀一：條例與征求意見稿比較，有哪些主要修訂和補充？導讀一：條例與征求意見稿比較，有哪些主要修訂和補充？較此前征求意見稿，條例從整體上呈現出針對產業創新性、鼓勵性與技術中立性等事項的監管態度較之前變得相對柔和放松；而針對容易出現安全事件并導致重大風險的事項、應設置事先預防機制的事項、特定主體開展業務、運用相關技術、提供相關產品或服務且可能對網絡數據安全產生較大影響等事宜均收緊了監管；針對上位法涉及的流程性事宜或者遺留的待進一步解釋明確的條款，條例則通過更加精細

39、化的立法技術使其呈現體系性和規范化。當然，條例屬于行政法規，因此針對應更加系統性規定進行補充和闡明的規則，交由下位法，如部門規章、地方性法規、規章、司法解釋等已進行或者將進行規制，當然，此類規則也可通過國家或者行業標準等進行技術支撐。條例中體現出監管釋放某種信號、并將溫和、放緩地處理相關事宜的條款，例條例中體現出監管釋放某種信號、并將溫和、放緩地處理相關事宜的條款，例如如：鼓勵網絡數據在各行業、各領域的創新應用（第四條）；積極參與網絡數據相關國際規則和標準的制定、促進國際交流與合作（第六條）；支持相關行業組織按照章程制定網絡數據安全行為規范，加強行業自律，指導會員加強網絡數據安全保護（第七條）

40、；個人信息保存期限難以確定的，明確保存期限的確定方法（第二一一條第一款第三項）；與此同時，條例刪除了必須于一五個工作日內刪除個人信息或者進行匿名化處理的規定；也刪除了若技術上難以實現或者因業務復雜等原因，在一五個工作日內刪除個人信息確有困難的，數據處理者不得開展除存儲和采取必要安全保護措施之外的處理并向個人做出合理解釋的條款（征求意見稿第二一二條）。在重要數據處理規定方面，條例規定了網絡數據安全負責人由網絡數據處理者的管理層成員擔任，修改了征求意見稿要求決策層擔任的規定，并且網絡數據安全負責人有權直接向有關主管部門報告網絡數據安全情況（第三一條第二款），修訂了 征 7 作者：孟潔、殷坤、田梓儀

41、、朱含章 15 求意見稿要求向網信部門和主管、監管部門反映數據安全情況的要求，減輕了企業在網絡數據安全負責人任命和報告義務上的負擔；此外，條例規定重要數據處理者應當定期組織宣傳教育培訓等活動（第三一條第一款第二項），取消了征求意見稿要求對相關技術和管理人員每年教育培訓時間不得少于二一小時的強制性規定；條例只要求重要數據處理者每年度對其網絡數據處理活動開展風險評估，并向省級以上有關主管部門報送風險評估報告（第三一三條），沒有采取征求意見稿對年度風險評估的開展設定前提條件、頻率、報送時間等詳細要求；針對處理特定人數個人信息的網絡數據處理者需要同時履行重要數據處理者的部分義務，條例將此數量從征求意見

42、稿中的 100 萬人提高至 1000 萬人，同時也提高了符合門檻的條件，另外還將征求意見稿 中要求遵守重要數據處理者的全部義務限定到只需要遵守關鍵性和關聯性最強的兩項義務（即第三一條、第三一二條），降低了相關企業的一部分合規成本。除上述放緩措施以外，條例取消了征求意見稿要求數據處理者對評估報告留存至少三年的規定，只規定當出現數據處理者向其他網絡數據處理者提供、委托處理個人信息和重要數據的情況時，須將記錄至少保存三年（第一二條）；刪除了征求意見稿 第四一一條第三款規定的境內用戶訪問境內網絡的，其流量不得被路由至境外的規定，對 CDN 等網絡加速產業的發展起到了支持和推動的作用；刪除了 征求意見稿

43、第四一三條針對平臺規則、隱私政策或對用戶權益有重大影響的條款修訂前，要求互聯網平臺運營者在該互聯網平臺或者行業協會平臺面向社會公開征求意見不少于三一日、向用戶提供充分表達意見、以易于訪問的方式公布意見采納情況、說明未采納的理由、接受社會監督的條款；同時，還刪除了征求意見稿中針對日活用戶超過一億的大型互聯網平臺在其平臺規則、隱私政策的制定或者對用戶權益有重大影響的條款修訂前，要求大型互聯網平臺經過國家網信部門認定的第三方機構評估，并報省級及以上網信部門和電信主管部門同意的條款。因為實踐中互聯網平臺產品/功能更迭變化之快需要平臺規則隨之迅速更新，并于上線前獲取用戶的同意，但是一般很少有用戶會在三一

44、日的等待期內提供有效且有價值的意見反饋，并且國家網信部門也未曾認定哪些第三方評估機構可以作為指導部門對平臺更新的用戶規則和隱私政策進行確認，因此 征求意見稿的初衷雖好，但落實起來難度較大，因此條例對此類條款也進行了刪減。此舉措體現了在當前形勢下，對相關互聯網平臺的保護與促進，同時，執法的步伐應當相對放寬和放緩。與之相關的條款還有：刪除征求意見稿中涉及第三方產品和服務對用戶造成損害的，用戶有權要求平臺運營者先行賠償的條款（征求意見稿第四一四條）；鼓勵保險公司開發網絡數據損害賠償責任險種，鼓勵網絡平臺服務提供者、預裝應用程序的智能終端等設備生產者投保（第四一條）等。條例 相較于 征求意見稿，部分呈

45、現收緊且加強監管態勢的條款有條例 相較于 征求意見稿，部分呈現收緊且加強監管態勢的條款有：條例第八條、第九條針對網絡數據處理者的基本義務和保障性措施進行了加嚴規制；第一條針對風險補救措施、危險情況發生后 24 小時內的報告義務、制定數據安全事件應急預案等要求進行了明確，以防止危害事件出現后發生不可控的危害后果并因此影響國家安 16 全、社會公共利益以及人民群眾權益。同時，條例要求針對處理網絡數據情況的記錄須保存至少三年；網絡數據處理者開展任何網絡數據處理活動（不限于 征求意見稿針對處理一百萬人以上個人信息的數據處理者赴國外上市和赴香港上市的數據處理活動影響或者可能影響國家安全這二類特定情形），

46、如果存在影響或者可能影響國家安全的情況，均應當按照有關規定進行國家安全審查（也已不僅限于征求意見稿第一三條中涉及的網絡安全審查），審查范圍更加廣泛，重點維護國家整體安全。此外，條例針對“數據可攜帶權”規定了網絡數據處理者在收到轉移個人信息次數超出合理范圍的請求時，享有根據其所付出的成本收到必要（而非合理）費用的權利（第二一五條）。針對企業掌握重要數據的認定標準，條例與促進與規范數據跨境流動規定保持一致，即以相關地區、部門告知網絡數據處理者或者公開發布重要數據目錄或清單為依據，同時要求網絡數據處理者、制定并實施網絡數據管理制度，采取加密、備份、訪問控制、安全認證等技術措施，并且鼓勵網絡數據處理者

47、使用數據標簽標識等技術和產品（第二一九條）、采取添加標簽標識的技術措施（第三一三條）來提高重要數據的安全管理水平；此外，條例規定對處理特定重要數據的網絡數據安全負責人和關鍵崗位的人員進行安全背景審查，必要時，可以申請公安機關和國家安全機關協助審查（第三一條）。針對一些特殊屬性的技術（自動化采集、自動化決策）或產品（如應用分發程序）、平臺（大型網絡平臺）的服務提供方，條例對此施加了須履行更加嚴格的義務和須受社會監督的責任（第四一一至第四一六條），具體規定將在文章正文中逐一展開分析。條例不僅針對網絡數據處理者的義務在特定情形下作縮緊規定，針對承擔監管職責的主管部門也提出了從嚴管理的要求。例如，要求

48、有關主管部門開展網絡數據安全監督檢查應當客觀公正，不得向被檢查單位收取費用、不得訪問、收集與網絡數據安全無關的業務信息，獲取的信息只能用于維護網絡數據安全的需要，不得用于其他用途（第五一一條）；多個主管部門開展網絡數據安全監督檢查時，應當加強協同配合、信息溝通，避免不必要的檢查和交叉重復檢查。重要數據風險評估和網絡安全等級測評的內容有重合的，相關結果可以互相采信。企業可以在開展個人信息保護合規審計、重要數據風險評估、重要數據出境安全評估等各類風險評估工作之間建立一套有效且統一的體系，互相之間進行銜接、切換，避免重復評估、審計（第五一二條），減少企業在人力、財務、物力方面的負擔，提升內部合規工作

49、的動力。針對征求意見稿中的某些條款，在歷經近三年時間的檢驗后，條例進行了針對征求意見稿中的某些條款，在歷經近三年時間的檢驗后，條例進行了更加細化的處理，起到了對網安法 數安法 個保法中相關規定更好地支撐與落更加細化的處理，起到了對網安法 數安法 個保法中相關規定更好地支撐與落地的作用。地的作用。例如，在委托處理場景下，條例規定了委托方和受托方應分別履行法定和約定的義務，重點提出了受國家機關委托，建設、運行、維護電子政務系統，存儲、加工政務數據的受托方義務（第一五條），以及為國家機關、關鍵信息基礎設施運營者提供服務，或者參與其他公共基礎設施、公共服務系統建設、運行、維護等受托方義務的細分場景，這

50、為近期討論熱烈的公共數據授權運營涉及的相關方義務提供立法基礎。并且條例規定網絡數據處理者未經委托方同意，不得訪問、獲取、留存、使用、泄露或者向他人提供網絡數據，不得對網絡數據進行關聯分析（第一六條）。針對自動化 17 工具訪問、收集網絡數據的，分別由第一八條和第二一四條進行細化規定；針對使用自動化決策技術向個人推送信息的，條例第四一二條進行了細化；提供生成式人工智能服務（第一九條）和面向社會提供產品、服務（第二一條）的網絡數據處理者，也分別由條例對其進行了細化約束；針對單獨設置兒童隱私保護聲明、在隱私政策外設置“雙清單”（第二一一條）、落實個人信息保護合規審計制度（第二一七條），條例也都進行了

51、明確；同時還針對“數據可攜帶權”的實現條件（第二一五條）、重要數據風險評估的內容（第三一一條）進行了詳細規定。在對上位法規定顆粒度的細化方面，還涉及針對重要數據的處理者報送風險評估報告的內容；區別于征求意見稿，條例 還處理重要數據的大型網絡平臺服務提供者報送風險評估報告時還須充分說明關鍵業務和供應鏈網絡數據安全等情況（第三一三條）；涉及接入平臺的第三方產品和服務提供者違規處理數據對用戶造成損害的，條例區分了網絡平臺服務提供者、第三方產品和服務提供者、預裝應用程序的智能終端等設備生產者，分別應承擔的相應責任（第四一條）。同時，條例也針對國家不同監管部門的職責進行了分別明確（第四一七條）；針對主管

52、部門可以采取的網絡數據安全監督檢查措施進行了具體描述（第五一條）。以上規則均將在文章正文中詳細分析。導讀二：條例與網安法 數安法 個保法的聯系和區別？導讀二：條例與網安法 數安法 個保法的聯系和區別？條例依托于（網安法 數安法 個保法等上位法，屬于國務院發布的行政法規，與上位法共同構成了我國網絡數據安全法律體系的主干，又為上位法進行了補充和細化，為上位法的網絡和數據安全的相關條款進行具體化、操作化，以便責任主體能夠更加有效地執行，也為行政監管提供了具體的執法依據。在整體數據安全管理體系中起到了承上啟下、細化落實的關鍵作用。網安法圍繞維護國家網絡安全（網絡架構、設備和運行安全），對網絡運營者提出

53、網絡安全保護責任，涵蓋了網絡基礎設施安全、網絡產品與服務安全、個人信息保護以及關鍵信息基礎設施運營者（CIIO）保護等內容，強調網絡空間的主權和網絡運行的安全。數安法從國家頂層設計開始，建立了數據安全管理制度，主要聚焦于數據的分類分級管理、數據安全監測和防護、數據跨境傳輸的管理規則，設定與國家安全、公共利益密切相關數據的保護，以及各類數據處理者的責任與義務。個保法主要針對個人信息的收集、存儲、使用、處理、傳輸、提供、公開、刪除等環節進行全生命周期的保護，保障個人在個人信息處理活動中的合法權益。條例一方面針對（網安法中網絡運營者處理網絡數據時的安全管理措施進行了更加具體和細致的規定，確保其處理的

54、不同類型的數據在網絡運營各個方面的安全；另一方面針對（數安法，條例細化了數據處理者的責任、數據處理流程等風險控制措施；進一步細化了數據跨境傳輸合規機制的條件、明確了不同類型數據的出境要求；針對涉及網絡數據處理的組織和個人，特別是網絡平臺、應用服務提供者等企業，進一步細化了他們在收集、存儲、傳輸、提供、委托處理、刪除數據時的具體安全要求。結 18 合了上述兩法，條例還提出了更加詳細的技術措施和操作細節，例如加密、備份、訪問控制、安全認證等，確保數據在不同處理階段的安全。特別是對網絡數據的處理提出了更高的要求，強調網絡數據處理者在收集、存儲、使用、傳輸時，必須采取必要技術手段防止數據泄露、篡改等安

55、全事件。明確要求重要數據處理者定期對數據處理活動進行安全風險評估并報送風險評估報告，尤其是當數據處理活動涉及提供、委托處理、共同處理重要數據時，必須對潛在的安全風險進行評估。此外，條例也會依據個保法中的基本原則進行數據安全管理的細則制定，兩者在適用中形成互補。只是個保法以個人權益保護為核心，條例則更關注整體數據（包括個人信息）的安全性管理和風險防控。兩者在實際操作中，需要綜合理解和遵守，以確保數據處理活動的合法性和合規性。相較于上位法，條例也存在一些相對獨特的內容。例如，（數安法適用范圍廣泛，涵蓋所有從事數據處理活動的個人、企業和政府機構，無論其是否與網絡相關；（條例進一步明確了適用對象為網絡

56、數據處理者，包括網絡平臺、應用服務提供者和其他涉及網絡數據處理的主體。其規定的內容主要集中在對網絡環境中的數據處理進行安全管理。并且條例明確了多個管理部門（如網信辦、工信部、公安機關等）在數據安全管理中的具體職責與分工。網安法第五一九條至第七一五條對網絡運營者未履行安全義務規定了相應的處罰，包括行政處罰、民事賠償以及其他法律責任；數安法第四一四條至第五一二條對違反數據安全規定的行為也規定了警告、罰款等行政責任、民事責任以及其他法律責任。條例雖然也規定了行政處罰、民事賠償以及其他法律責任，但是對違反網絡數據安全規定的處罰措施根據違規行為的性質、影響程度等進行了比較詳細的分級規定。詳細分析請見正文

57、部分。條例的出臺，旨在進一步規范網絡數據處理活動，保障數據安全，促進網絡數據依法合理有效利用，保護個人、組織的合法權益，維護國家安全和公共利益。本文將基于條例的整體框架，對條例進行分析解讀。（一）適用（一）適用范圍范圍 條例第二條延續網安法 數安法 個保法等上位法規定，明確其適用于中華人民共和國境內利用網絡開展的網絡數據處理活動及其安全監督管理。何為“網絡數據”？此處的“網絡”需要結合網安法進行理解，即由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統。另外，根據條例第六一二條第一款，網絡數據是指通過網絡處理和產生的各種電子數據。結合上述定

58、義，網絡數據具備兩方面要素：一是，它指向于電子數據，相較于數安法中對于數據更廣的定義（即“任何以電子或者其他方式對信息的記錄”），條例將其管轄的范圍僅限定于以電子方式記錄的數據；二是須通過網絡處理和產生，此處的網絡應既包括互聯網也包括局域網。19 另外，條例還明確適用于境外開展網絡數據處理活動的場景。數安法第二條規定了特定情形下的域外適用效力，即以“后果論”為標準以“后果論”為標準，如果境外的數據活動對我國國家、社會、公民利益造成損害的，相關組織和個人應被追究法律責任。個保法第三條第二款規定，以向境內自然人提供產品或者服務為目的，或者分析、評估境內自然人的行為，即使處理活動位于境外，也適用個保

59、法。條例第二條第二款表明其同樣適用 個保法 第三條第二款的情形；倘若不構成 個保法 第三條第二款的情形，但是處理活動（無論是個人信息還是非個人信息）損害國家安全、公共利益或者公民、組織合法權益的，也適用條例。這體現出條例融合了數安法以“后果論”適用的域外長臂管轄的精髓。同時，條例第五一四條明確規定，境外的組織、個人從事危害中華人民共和國國家安全、公共利益，或者侵害中華人民共和國公民的個人信息權益的網絡數據處理活動的，國家網信部門會同有關主管部門可以依法采取相應的必要措施，這也進一步彰顯我國以國家利益為主導掌握數據安全主動權的堅定信念。此外，條例沿襲了個保法的規定，同樣認為自然人因個人或者家庭事

60、務進行的個人信息處理活動不被適用。條例還指出，開展涉及核心數據、國家秘密、工作秘密的網絡數據處理活動一分特殊，應當依據國家專門法規或者規定執行，也排除于本條例的適用范圍。（二）受規制對象（二）受規制對象 條例的規制對象覆蓋面廣泛，主要包括境內網絡數據處理者、境外網絡數據處理者，以及既作為監管主體又作為被約束主體的監督管理機構。條例還認為在跨境數據流動背景下，境外數據接收者的合規管理同樣不容忽視，特別是在處理涉及國家安全、個人隱私和重要數據時，需滿足（條例的特殊要求?？傮w來看，這些主體的合規行為將直接影響整個網絡數據安全管理的秩序與有效性。條例通過對多元主體的規制，為不同場景和角色下的數據處理行

61、為設定了明確的紅線。這種全方位、多層次的監管模式，既體現了立法者對保障網絡數據安全的決心，也標志著國家在數字安全領域的法治化進程上又邁出了堅實一步。然而，條例的實施對企業的合規管理提出了前所未有的挑戰，不同類型的主體需要投入更多資源與精力去理解并遵守復雜的法律要求。如何在合規與發展之間找到平衡，將成為企業在未來發展中必須面對的重要課題。1、一般網絡數據處理者、一般網絡數據處理者 根據條例第六一二條，網絡數據處理者，是指在網絡數據處理活動中自主決定處理目的和處理方式的個人、組織。根據網絡數據處理者處理數據的地域，可將其劃分在中華人民共和國境內開展網絡數據處理活動的處理者與在中華人民共和國境外開展

62、網絡數據處理活動的處理者；根據處理數據類型不同，網絡數據處理者可分為重要數據處理者以及個人信息處理者。此外，根據網絡數據處理者提供的業務類型不同，網絡數據處理者涵蓋了網絡服務提供商、網絡平臺服務提供者（其中根據平臺規模的大小，還 20 可區分出大型網絡平臺服務提供者）、預裝應用的智能終端設備生產者、應用程序分發平臺、網絡身份統一認證公共服務平臺等廣泛群體。網絡數據處理者需要承擔一般性的安全、合規義務與主體責任，通常不難理解。但在特殊場景和情形下，其義務及責任還可能提升和加重。具體來說：首先，當網絡數據處理者因為處理了某些特殊類型的數據而需要承受比一般性合規義務更重的責任。例如其處理活動涉及重要

63、數據或者敏感個人信息，或者開展委托處理或者共同處理活動但涉及電子政務活動和政務數據、公共服務系統和公共數據，那么網絡數據處理者的合規義務將會由此升級。其次，若相關運營主體在開展業務過程中提供了網絡產品與服務，或者利用網絡數據面向社會提供產品或者服務，那么這些網絡數據處理者都因將受保護客體的特殊性而被施加特殊義務。再者，如果網絡數據處理者的某些行為較為特殊，例如使用了技術類工具收集或訪問網絡數據、利用網絡數據向公眾進行個性化推薦、使用生成式人工智能工具向公眾提供服務，那么上述處理者需要遵守更高的合規義務，以保證數據處理的安全性。最后，如果網絡數據處理者向境外提供產生或者來源于境內的個人信息或者重

64、要數據，或者由于公司實體結構發生變更（如因合并、分立、解散等）而需要轉移網絡數據，那么該網絡數據處理者也需提前履行相應的合規義務，以避免因處理活動可能產生的風險。2、重要數據處理者、重要數據處理者 根據條例，重要數據處理者，是指處理特定領域、特定群體、特定區域或者達到一定精度和規模，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全的數據的個人、組織。重要數據處理者本身也屬于網絡數據處理者中的一類，其因處理的數據量大、數據敏感性強、潛在風險高，一旦泄露、濫用或破壞，可能會對國家安全、社會穩定或經濟秩序產生嚴重后果，因而受到更加嚴格的監管。因

65、此條例也因此在第四章針對重要數據處理者的義務進行了專章規定，要求內部建立嚴格的安全管理制度，包括識別與申報重要數據、明確網絡數據安全責任人和管理機構、以及針對責任人和關鍵崗位人員進行背景審查；提供、委托處理、共同處理重要數據前，應當進行風險評估；涉及合并、分立、解散、破產等情形，應當采取措施保障網絡數據安全，并向相關主管部門報告重要數據處置方案；定期開展安全風險評估并向相關部門報送風險評估報告等。3、網絡平臺服務提供者、網絡平臺服務提供者 條例以專章的形式對網絡平臺服務提供者的責任和義務進行了明確規定。對于網絡平臺服務提供者，征求意見稿使用了“互聯網平臺運營者”的概念，將“互聯網平臺運營者”定

66、義為向用戶提供信息發布、社交、交易、支付、視聽等互聯網平臺服務的數據處理者。此次條例對網絡平臺服務提供者并未進行明確定義，而是直接沿用了未成年人網絡保護條例中的描述，同時又為滿足全文表述一致性的要求，使用了條例網絡數據處理者中的“網絡”這一概念。結合條例第四一條和第四一一 21 條的規定，預裝應用的智能終端等設備生產者、提供應用程序分發的服務提供者，都需要適用網絡平臺服務提供者的相關規定。相較于征求意見稿，此次條例對于網絡平臺服務提供者的義務和責任有所放寬，例如，前文中所述征求意見稿曾要求網絡平臺在平臺規則的重大修訂前向社會公開征求意見不少于 30 個工作日，超大型網絡平臺需要報請主管部門同意

67、等，此次條例已不再體現。單設第六章明確網絡平臺服務提供者義務（取代征求意見稿互聯網平臺運營者義務），通過七個條款，分別規定了一般網絡平臺服務提供者和大型網絡平臺服務提供者的責任和義務。針對一般網絡平臺服務提供者，條例第四一條第一款要求其必須通過平臺規則或合同形式明確接入其平臺的第三方產品和服務提供者的網絡數據安全保護義務。這意味著網絡平臺需要對第三方產品和服務的網絡數據安全履行平臺監督義務，確保他們接入平臺提供的服務能夠采取足夠的技術和管理措施來保護數據安全。條例第四一條第二款進一步明確了預裝應用程序的智能終端設備生產者也同樣適用條例第四一條第一款，即預裝應用程序的智能終端設備生產者需要對預裝

68、應用程序的安全性起到整體管理責任，在接入預裝應用前應確保預裝應用能夠符合法律法規的要求。此外，根據 條例第四一條第三款，第三方產品和服務提供者違反法律、行政法規的規定或者平臺規則、合同約定開展數據處理活動，對用戶造成損害的，各方應當依法承擔相應責任。這里首先應當注意的是，立法者在第三方產品和服務違反法定與約定義務之間用了“或者”而不是“和”和“以及”，代表消費者只要主張平臺內的第三方產品和服務提供者違法或者違約，只要二者未遵守其一，相關責任人即應當按照過錯承擔責任。預裝應用程序若違法或違約，也應適用此規則。其次，如前所述，此前征求意見稿第四一四條第二款規定，第三方產品和服務提供者對用戶造成損害

69、的，用戶可以要求平臺運營者先行賠償。此次條例第四一條第三款不再要求平臺運營者先行賠償，一定程度上體現了對于網絡平臺服務提供者責任的放寬，但各方可能需要在損害責任認定以及賠償比例分擔方面進行舉證和主張。最后，值得注意的是，條例第四一條最后一款還鼓勵保險公司開發網絡數據損害賠償責任險種，以增強網絡平臺服務提供者、第三方產品和服務提供者、預裝應用程序的智能終端設備生產廠商的風險抵御能力，為義務方積極履行損害賠償責任、為用戶提出正當救濟權利均提供了保障。除上述三類網絡平臺服務提供者以外，條例第四一一條還對應用程序分發服務這一類網絡平臺服務提供者（例如蘋果的 App Store、安卓的 Google P

70、lay、華為應用市場等）提出了相關要求。首先，應用程序分發平臺應當建立應用程序核驗規則并開展網絡數據安全相關核驗。其次，當該類平臺發現待分發或者已分發的應用程序不符合法律、行政法規的規定或者國家標準的強制性要求的，應當及時采取警示、不予分發、暫停分發或者終止分發等措施。以上規定意味著，應用分發服務的網絡平臺服務提供者需要制定一套針對應用程序的審核標準，確保這些應用程序在上架前和運營中不會存在危害用戶隱私、數據安全或影響網絡安全的風險，特別是涉及用戶數據的收集、存儲、傳輸等 22 方面的安全措施。除發布規則外，在應用程序上架到應用商店或在運營過程中，應用商店還需要對這些應用進行定期或不定期的安全

71、檢查。例如，應用程序在首次運行時，是否彈出符合規范的隱私政策，是否告知用戶其將收集哪些個人信息。如果應用程序涉及跨境數據傳輸，是否符合相關的跨境數據傳輸規定。應用程序是否明確規定了數據的保存期限、刪除機制、用戶對其個人數據的控制權等內容，如果隱私政策不清晰或不符合要求，應用商店應拒絕該應用上架。此外，還應核查應用程序在與其服務器通信時，是否使用了安全的加密協議（如 HTTPS），如果應用程序通過明文傳輸用戶的聊天記錄或照片，應當拒絕上架。當應用程序請求了過多的系統權限，平臺應進一步核查這些權限是否合理，例如，當一個社交應用程序要求訪問用戶的通話記錄，且未能給出合理的解釋或無法向用戶解釋其用途，

72、應用程序分發平臺應要求該應用修改或拒絕其上線。如果涉及金融類應用，應用程序分發平臺還應檢查應用程序是否對用戶的賬戶信息、交易記錄等進行了端到端加密、是否采取了有效的賬戶保護措施，例如多因素身份驗證（MFA）、密碼強度要求、是否安裝了防止身份盜用、異常交易監控等功能，以減少網絡詐騙和數據泄露的風險。并且，應用程序分發平臺還應使用自動化安全工具檢測應用是否存在已知的安全漏洞或風險，譬如是否有被惡意代碼注入的可能。如果相關應用程序存在能夠被惡意攻擊者利用的安全漏洞，應用程序分發平臺應要求開發者修復后再重新提交。條例第四一三條明確國家推進網絡身份認證公共服務建設，按照政府引導、用戶自愿原則，鼓勵網絡平

73、臺服務提供者支持用戶使用國家網絡身份認證公共服務登記、核驗真實身份。2024 年 7 月 26 日，公安部和網信辦曾發布國家網絡身份認證公共服務管理辦法（征求意見稿）并提出了“網號”“網證”的概念，以規范網絡空間中的身份認證服務，確保在網絡活動中的真實身份可追溯，防止虛假身份、匿名使用網絡服務所帶來的網絡安全風險。此次條例以個保法 網安法中關于網絡實名制認證的要求為基礎，從行政法規層級上明確了立法態度，為未來國家網絡身份認證公共服務管理辦法的正式出臺明確了方向，以便推動國家級的網絡身份認證平臺的建設。目前條例對用戶使用國家網絡身份認證公共服務登記、核驗真實身份信息持鼓勵支持的政策，實則當用戶在

74、使用特定網絡服務（例如社交媒體注冊、在線支付、網絡購物、網絡游戲、網絡評論等）時，通過國家認證平臺的統一技術標準進行真實身份信息，包括姓名、身份證號碼等內容的校驗，能確保所驗證的身份信息準確、真實。因此，身份認證服務網絡平臺提供者在提供此服務的過程中需要承擔用戶實名制認證中的管理責任，若發生信息泄露或違規行為，相關方需要承擔法律后果。條例在本章中還提到了另一類網絡平臺服務提供者，即大型網絡平臺服務提供者。關于如何認定“大型”的門檻，根據條例第六一二條定義，大型網絡平臺是指注冊用戶 5000 萬以上或者月活用戶 1000 萬以上，業務類型復雜，網絡數據處理活動對國家安全、經濟運行、國計民生等具有

75、重要影響的網絡平臺。相比于此前 征求意見稿對于大型互聯網平臺運營者的定義（用戶超過五千萬、處理大量個人信息和重要數據、具有強大社會動員能力和市場支配地位的互聯網平臺運營者），條例將用戶規模大分 23 成兩個維度理解，其一為用戶注冊數量多，其二為用戶月活程度高。此次設定的數量門檻并沒有采取此前討論過的互聯網平臺分類分級指南（征求意見稿）和互聯網平臺落實主體責任指南（征求意見稿）中對大型、超大型平臺以年活躍用戶的計數標準，也未納入市值（估值）作為衡量規模的尺度。條例雖然保留了“業務類型復雜”這一考量因素，但使用“網絡數據處理活動對國家安全、經濟運行、國計民生等具有重要影響”取代了征求意見稿中“具有

76、強大社會動員能力和市場支配地位”這一要素，主要是從受影響主體的廣度和潛在風險的嚴重程度出發進行考量，而不僅看平臺的規模和其在市場上的壟斷和支配能力，確保對用戶數據和公共利益產生重大影響的平臺能夠承擔更嚴格的合規要求。因此，符合前述條件的網絡平臺提供者應當遵守條例第四一四條至四一六條的要求，包括每年度發布社會責任報告、不得實施差別待遇、不得無正當理由限制用戶訪問和使用網絡數據、不得以誤導、欺詐、脅迫等方式處理用戶在平臺上產生的網絡數據等。這也與（個保法 對大型互聯網平臺責任加重的規定一脈相承，其中對涉及處理大量個人信息的運營者，要求其建立獨立的個人信息保護機構，并定期進行外部審計。特別地，條例第

77、四一六條還兼容了反壟斷指南關于平臺經濟領域的反壟斷指南 平臺經濟反壟斷指南（草案）國務院關于促進平臺經濟規范健康發展的指導意見 關于推動平臺經濟健康發展的實施意見等立法精神，對用戶基數龐大的平臺，明確要求其承擔更多的社會責任，以消除這些平臺可能利用網絡數據、算法、平臺規則等從事對用戶產生不合理差別待遇等反競爭行為。并且，企業也應結合互聯網信息服務算法推薦管理規定 關于加強互聯網信息服務算法綜合治理的指導意見等規定理解條例內容，主管機構有可能依據條例及其他法規進一步加強對算法治理和公開透明實踐的監管，規范大型網絡平臺服務提供者在使用算法進行信息推送、個性化推薦等服務時的合規義務。4、承擔網絡數據

78、安全和相關監督管理工作的機構、承擔網絡數據安全和相關監督管理工作的機構 雖然政府部門本身不是被直接規制的對象，但它們在執行條例、進行數據監管和執法過程中也受到相應的約束和監督。條例第七章主要圍繞網絡數據安全監督管理的職責劃分、監督檢查機制、銜接和互認等方面進行了詳細規定。雖然從文章體系角度，應當將監管機構的監督管理放置于責任章節之前，但由于監管機構本身也是條例的受監督對象，從避免贅述的角度，我們統一放在此處進行梳理和解讀。從職責分工來看，根據條例第四一七條、第四一九條以及第三一七條，國家網信部門負責統籌協調數據安全和相關監督管理工作；統籌協調主管部門及時匯總、研判、共享、發布數據安全風險相關信

79、息；統籌協調網絡數據安全信息共享、風險和威脅監測預警、安全事件應急處置；同時統籌協調有關部門建立國家數據出境安全管理專項工作機制，研究制定國家網絡數據出境安全管理相關政策，協調處理網絡數據出境安全重大事項。公安機關、國家安全機關在各自職責范圍內承擔數據安全監管職責，依法防范、查處、打擊危害國家安全、公共利益的網絡數據安全違法行為和犯罪活動。各地區和行業主管部門承擔所在區域、行業和領域的數據安全監管職責，明確本領域、本行業網絡 24 數據安全保護工作機構的設定、統籌制定并組織本行業、本領域網絡數據安全事件應急預案、定期組織開展本行業、本領域網絡數據安全風險評估，并對網絡數據處理者履行網絡數據安全

80、保護義務的情況進行監督、檢查（包括條例第五一條要求數據處理者出具情況說明、查閱文件和記錄、檢查設備物品和數據安全措施的運行情況等）并指導、督促其整改相關風險隱患。值得注意的是，條例第四一七條第三款還提及了國家數據管理部門在具體承擔數據管理工作中履行相應的網絡數據安全職責。對此，可結合 2023 年中共中央、國務院發布的（國務院關于提請審議國務院機構改方方案的議案 和（國務院機構改方方案中對國家數據局在安全管理職能方面的描述進行理解，文件特別提及國家數據局將承擔“數據安全和數據開發利用的統籌監管職責”，為全國范圍的數據管理和安全工作提供指導和規范。條例第七章通過四個條款說明了各監管機構之間的職責

81、分工，而后通過第五一一條、第五一二條和第五一三條對監管機構執法工作提出了管理要求。首先，第五一條第二款、第五一二條第二款，強調了各類監管機構工作之間應當配合、銜接和互認，包括個人信息保護合規審計、重要數據風險評估、數據出境安全評估等，避免企業對于此類評估或審計工作存在重復作業的情況。同時，針對重要數據風險評估和網絡安全等級測評涉及內容重合的部分，認可相關結果之間互相采信的方式，降低企業合規成本和人力、物力的重復鋪設。除此以外，針對監管機構在開展執法監督過程中的行為與措施提出嚴格要求，譬如，有關主管部門開展網絡數據安全監督檢查，應當客觀公正，不得向被檢查單位收取費用；在網絡數據安全監督檢查中不得

82、訪問、收集與網絡數據安全無關的業務信息，獲取的信息只能用于維護網絡數據安全的需要，不得用于其他用途；不得將知悉的個人隱私、個人信息、商業秘密、保密商務信息等網絡數據泄露或者非法向他人提供，應當依法予以保密。未履行條例中規定的上述要求，相關主管機關會被根據條例第六一條的規定依法追究法律責任。（三）網絡數據安全總體框架下的細化規定（一般規定）（三）網絡數據安全總體框架下的細化規定（一般規定）條例第二章（“一般規定”作為本法規的核心章節，為我國網絡數據處理活動提供了系統的規范框架。該章從多個維度對網絡數據的處理、保護和管理進行了詳細規定，涵蓋了非法活動的禁止性要求、網絡數據處理者的責任、產品和服務的

83、安全性要求、應急預案的制定、國家安全審查、自動化工具使用限制以及針對生成式人工智能服務安全管理等方面內容。在充分吸收征求意見稿及公眾意見的基礎上，相較于之前的個保法 數安法和網安法，本章呈現出一系列值得關注的要點。具體分析如下：1.詳細規定了網絡數據非法詳細規定了網絡數據非法處理處理活動的具體類型活動的具體類型 相較于征求意見稿，條例第八條釋明了何為利用網絡數據從事非法活動的行為，具體涵蓋竊取、以非法方式獲取、非法出售及非法提供網絡數據。同時，條例特別強調，任何個人和組織都不得提供專門用于非法活動的程序、工具；如果明知他人 25 從事此類非法活動，也不得為其提供任何形式的技術支持或幫助，具體包

84、括互聯網接入、服務器托管、網絡存儲、通訊傳輸以及廣告推廣和支付結算等技術支持和服務類型。這一修訂對網安法第二一七條、數安法第三一二條中所禁止的危害網絡安全行為和從事非法網絡數據處理活動又進行了細化，提高了法律法規的可操作性和對非法從事網絡數據處理活動的打擊精度。與現行 數安法 相比，雖然 數安法 第四章規定了數據處理者的安全保護義務，但未詳細列明非法技術支持和服務提供的具體內容，而“非法網絡數據活動”的背后往往涉及多種技術支持，包括互聯網接入、服務器托管、網絡存儲和通訊傳輸等。條例新增規定對此進行了補充，若相關網絡數據處理者及其相關技術支持者在明知是非法活動的情況下仍然予以協助或者提供支持的，

85、則都可能會被認為違反本條例規定。例如，某個網絡服務提供商明知其客戶（如“絲綢之路”）從事非法活動，仍繼續為其提供互聯網接入服務，那么該服務提供商可能面臨法律責任；如果某托管公司為一個非法運營的網站（例如銷售非法商品的暗網市場）提供服務器支持，并且在知曉該網站從事非法活動后未能及時切斷服務，這類行為也可能違反條例；類似的，提供云存儲服務的公司如果已經知道存儲了非法平臺的數據或內容（例如非法交易記錄或用戶信息），而沒有采取行動進行切斷和報告，也可能觸犯該法規；又如，平臺之間或用戶與平臺之間的非法通訊，如果得到了技術層面的幫助，例如通過加密傳輸系統或私有通訊網絡幫助非法活動規避監管，對被協助事宜事先

86、知悉的技術提供方也可能受到法律追責。2.強化網絡數據處理者的主體責任強化網絡數據處理者的主體責任 條例第九條要求網絡數據處理者在網絡安全等級保護的基礎上，建立健全網絡數據安全管理制度，加強網絡數據安全防護手段，處置網絡數據安全事件，防范針對和利用網絡數據實施的違法犯罪活動，這說明國家希望通過技術手段和管理制度相結合的方式，提升網絡數據的安全防護水平。并且，該條強調了網絡數據處理者對其所處理的網絡數據安全承擔主體責任，一旦發生數據泄露、篡改或非法獲取等安全事件，網絡數據處理者將直接面臨法律責任。這不僅迫使企業在遵守信息安全等級保護管理辦法信息安全技術 網絡安全等級保護基本要求（GB/T 2223

87、9-2019）等法律法規和標準的基礎上，根據不同數據的特點和風險程度，加強安全投入，采取動態的網絡數據安全保障措施，防止網絡數據被違法犯罪分子利用，也反映出國家在應對日益復雜的網絡安全威脅時，采取了更為系統、全面的治理思路，對企業提出了更高的安全管理要求。3.明確網絡明確網絡產品和服務的安全性要求與應急預案產品和服務的安全性要求與應急預案 條例第一條對網絡數據處理者提供網絡產品和服務提出了安全性要求。相較于征求意見稿及此前發布的網絡產品安全漏洞管理規定，條例第一條更加注重提升整體網絡安全水平、保護用戶權益，不僅與數安法保持了一致標準，強制性要求網絡產品和服務須符合國家標準，而且規定當存在安全缺

88、陷、漏洞等風險時，應立即采取補救措施，并及時告知用戶、報告主管部門。相比之下，網絡產品安全漏洞管理 26 規定 僅規定了網絡產品提供者在發現或獲知安全漏洞后 2 日內向工業和信息化部網絡安全威脅和漏洞信息共享平臺報送相關信息。此外，條例還要求在涉及國家安全和公共利益時，網絡數據處理者應具備快速響應能力，當安全缺陷、漏洞等風險涉及危害國家安全、公共利益時，網絡數據處理者須在 24 小時內向有關主管部門報告。這與 2023年 12 月 8 日網信辦發布的網絡安全事件報告管理辦法（征求意見稿）要求對較大、重大或特別重大網絡安全事件在 24 小時內補報相關情況和計算機信息系統安全保護條例要求在 24

89、小時內向當地縣級以上人民政府公安機關報告計算機系統中發生的案件存在異曲同工之處。實踐中，對無任何風險應對經驗的企業來說，履行 24 小時內的網絡風險報告義務存在一定的壓力，因此建議相關企業在日常管理中做好充分的準備和演練。針對網絡安全事件的報告和通知，網安法第二一五條中已明確要求網絡運營者應當事前制定網絡安全事件應急預案，并在發生網絡安全事件時立即啟動該應急預案，防止危害擴大，并按照規定向有關主管部門報告。數安法也提及了發生數據安全事件時，應當立即采取處置措施，按照規定及時告知用戶并向有關主管部門報告。相較于征求意見稿，條例刪除了安全事件報告的具體時間要求（如（“在發生安全事件的八小時內”和（

90、“在事件處置完畢后五個工作日內”），而是采用了更為原則性的表述，這可能是為了給予網絡數據處理者根據事件的具體情況靈活處理的空間，這種靈活性也意味著關于報告程序的具體要求將依賴于網絡安全事件報告管理辦法正式稿的出臺。除了制定應急預案和向主管部門報告、通知受影響主體，條例第一一條還增加了網絡數據處理者在處置網絡數據安全事件過程中發現涉嫌違法犯罪線索時的報案、配合偵查、調查和處置工作的義務。除此以外，條例第二一條還要求面向社會提供產品、服務的網絡數據處理者應當接受社會監督，建立便捷的網絡數據安全投訴、舉報渠道，公布投訴、舉報方式等信息，及時受理并處理網絡數據安全投訴、舉報。通過強化社會監督，鼓勵公眾

91、積極舉報潛在的網絡數據安全問題，不僅能夠及時發現和解決潛在的網絡數據安全風險，還能有效地保障公眾在網絡數據安全保護中的知情權和參與權。這種雙重監督模式有助于提高網絡數據安全問題處理的透明度，形成一種更廣泛的監督體系，增強網絡數據處理者的安全意識和自律性，進而促使其在網絡數據安全管理中更加嚴謹和負責。4.界定數據處理具體場景下的管理要求界定數據處理具體場景下的管理要求 首先，條例第六一二條對委托處理和共同處理的概念進行了明確。雖然基本定義與個保法中的概念如出一轍，但條例將處理重要數據也納入定義范圍。針對對外提供或委托處理個人信息和重要數據，條例第一二條規定了網絡數據處理者必須通過合同等形式與網絡

92、數據接收方明確約定處理目的、方式、范圍及安全保護義務，并由網絡數據處理者對網絡數據接收方的履行情況進行監督。同時，相較于征求意見稿，條例將相關數據處理情況記錄的保存期限從（“至少五年”縮短為（“至少三年”。27 我們理解，這種調整可能是為了減輕網絡數據處理者的合規負擔，同時也考慮到了實際操作的可行性和數據安全保護的基本需求。此外，在電子政務系統以及公共服務系統的委外承建事宜方面，相較于征求意見稿，條例加強了對政務數據處理的監管和保護要求。第一五條和第一六條明確，一方面國家機關在委托他人建設、運行、維護電子政務系統時，必須經過嚴格的依法批準程序，國家機關需要監督受托方履行網絡數據安全保護義務，確

93、保政務數據的安全。另一方面，國家機關應當通過合同約定，明確受托方的網絡數據處理權限、履行網絡數據安全保護義務和保護責任，不得在未經委托方同意的情況下對網絡數據進行關聯分析。這主要是針對許多企業受國家機關委托處理數據的現狀進行了更加明確的規制，可結合導讀一相關內容進行參考。5.公司結構發生變化時的網絡數據管理要求公司結構發生變化時的網絡數據管理要求 條例第一四條規定了當網絡數據處理者發生因合并、分立、解散、破產等原因需要轉移網絡數據的情形，其與個保法第二一二條的規定類似，都要求接收方繼續履行網絡數據安全保護義務或者個人信息保護義務。當前，隨著資產收購、股權轉讓和企業破產等商業行為日益頻繁，網絡數

94、據作為企業的一項重要資產，往往成為交易中不可忽視的部分。然而，在這些商業活動中，數據的安全轉移和后續保護往往面臨巨大挑戰。首先，如果交易仍處于保密狀態，若被交易的網絡數據涉及個人信息，需要考慮是否對個人進行告知，這取決于交易雙方針對原先處理目的、處理方式是否發生變更的商議。其次，針對提供方，需要按照交易條件進行交割，不得擅自留存數據，且在交易前妥善存儲被交易的網絡數據；針對接收方，則需嚴格遵循相關法律規定和安全標準，確保在轉移過程中的傳輸安全和最小范圍的人員接觸，否則交易前或者交易中一旦發生交易數據泄露或遭到非法利用，將可能對交易雙方產生重大且無法挽回的影響。特別是在企業破產清算或解散的情況下

95、，很多公司易忽視對剩余數據的安全處理，或未對數據的去向做出明確交代，導致用戶個人信息、商業機密，甚至破產企業涉及處理的重要數據泄露風險增大。條例第一四條明確要求了公司主體結構產生特殊情況下，數據接收方仍須承擔保護責任，從而避免數據因企業破產、分立、解散等而被非法獲取或被濫用。重要數據處理者因合并、分立、解散、破產等可能影響重要數據安全的，條例第三一二條另有規定，我們將在下文進一步分析。6.回應新回應新興技術興技術處理網絡數據處理網絡數據的監管的監管要求要求 與生成式人工智能服務管理暫行辦法第七條中的規定相銜接，條例第一九條要求提供生成式人工智能服務的網絡數據處理者加強針對訓練數據的安全管理。數

96、據質量和安全直接決定了模型的表現和風險，因此生成式人工智能服務管理暫行辦法要求服務提供者使用具有合法來源的數據和基礎模型，且在涉及處理個人信息時，應當事先取得個人同意或者符合法律法規的其他情形。在實際操作中，生成式人工智能的應用已滲透到各個行業，如自動化文本生成、圖像生成、聊天機器人等。一旦訓練數據包 28 含有害、不合規信息，或者處理不當，生成的內容便有可能出現偏見、錯誤，甚至侵犯個人隱私、侵犯他人權益。因此，網絡數據處理者有責任從源頭上加強數據安全管理，通過嚴格篩選、清理和監管訓練數據，降低生成內容的潛在風險。條例進一步強調了防范和處置網絡數據安全風險的必要性，要求網絡數據處理者采取有效措

97、施，對訓練數據采取嚴格的安全措施，如加密存儲、訪問控制、去標識化等，以防止數據泄露或被不法分子利用。同時，處理者還需要制定完善的應急預案，及時處置因數據不當使用引發的網絡安全事件或數據合規風險，防范各種安全隱患。此外，條例第一八條明確地規范了網絡數據處理者在使用自動化工具訪問和收集網絡數據時的行為。根據該條規定，條例間接承認了自動化采集工具本身的技術中立性，因此要求網絡數據處理者在使用自動化工具前應當進行風險影響評估，此外，條例 明確要求不得利用爬蟲等自動化采集工具非法侵入他人的網絡或干擾第三方網絡服務的正常運行。（數據安全管理辦法（征求意見稿）第一六條規定，當采用爬蟲技術訪問收集流量超過網站

98、日均流量三分之一時，可能會被認為“嚴重影響網站運行”。但條例沒有糾結究竟多大流量構成干擾網絡正常運行，實踐中網絡數據處理者也往往沒有能力測試到被爬網站的流量數量，原有規定反而造成不少網絡數據處理者的困惑，甚至權利人憑借此條尋求救濟的也寥寥無幾。與條例第一八條相媲美的還有網絡反不正當競爭暫行規定，其明確規定利用技術手段，非法獲取、使用其他經營者合法持有的數據，妨礙、破壞其他經營者合法提供的網絡產品或者服務的正常運行的行為，可能構成不正當競爭，從反不正當競爭的角度規范爬蟲等自動化采集數據的行為。然而，自動化工具和生成式人工智能服務的技術復雜性較高，如何科學合理地評估其影響并進行有效的監管，有賴于實

99、踐層面進不斷探索和總結。此外，條例還進一步規定了利用自動化采集技術采集非必要個人信息的影響和相關處置措施，我們將在下一章節中進一步分析。（四）數據的特殊類型之一：個人信息保護細化規定（四）數據的特殊類型之一：個人信息保護細化規定 條例第三章在個保法及其他個人信息保護相關法律法規和標準的基礎上，進一步細化了個人信息處理活動中的告知義務、同意的獲取、主體權利的保障以及跨境數據流動等方面的要求。特別地，條例針對自動化采集技術的應用和“數據可攜帶權”，提出明確具體的執行路徑。此外，相較于征求意見稿，本章內容在個人信息保護規則上進行了優化，更加注重實踐中的可行性，體現了我國在數字經濟背景下對個人信息保護

100、的重視和對國際立法趨勢的積極回應，具體關注要點如下：1.強化個人信息處理規則中的告知義務強化個人信息處理規則中的告知義務 首先，個保法第一七條規定了處理個人信息時，個人信息處理者應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知相關事項，條例第二一一條進一步細化了上述規則。在告知上，（條例明確了個人信息處理規則的展示方式，即（“集中公開展示”“易于訪問”“置于醒目位置”。同時，對于網絡數據處理者向其他網絡數 29 據處理者提供個人信息的情況，條例要求以清單等形式予以列明，這一規定與 2021年 11 月工業和信息化部發布的關于開展信息通信服務感知提升行動的通知中提出的（“雙清單”制度相

101、呼應。上述通知要求相關企業建立（“已收集個人信息清單”和（“與第三方共享個人信息清單”，以增強用戶對個人信息處理活動的感知和控制。而（條例的出臺，標志著來源于工信部規范性文件的“雙清單”制度已經正式上升到了行政法規層面規范的內容。在告知內容上，除個保法中提到的基本信息外，條例還特別指出需包含處理敏感個人信息的必要性及對個人權益的影響、個人信息保存期限及其確定方法等內容。我們理解，這一調整有利于提高個人信息主體對自身合法權益被侵犯風險的認知水平，同時也促使網絡數據處理者在設計產品時應充分考慮隱私保護的因素。值得注意的是，相較于征求意見稿，條例第二一一條中對于個人信息保存期限的規定更加靈活。針對難

102、以事先確定保存期限的情況，允許網絡數據處理者根據實際情況制定具體的確定方法，這種靈活性既保證了個人信息主體的信息安全，又給予了網絡數據處理者一定的操作空間。從落地角度，企業可基于內部數據存儲策略，在個人信息處理規則中明確具體的存儲期限，也可將確定存儲期限的流程和要求向用戶進行告知。最后，條例第二一一條沿襲了兒童個人信息網絡保護規定的規定，特別指出對于不滿一四周歲未成年人的信息處理需要具備專門的個人信息處理規則?？紤]到兒童作為特殊群體，在使用互聯網服務時往往缺乏足夠的判斷力和自我保護能力，因此給予他們額外的關注具有必要性。2.強化強化用戶隱私保護與用戶隱私保護與增強增強透明度透明度 條例 第二一

103、二條建立在 個保法 第一三條合法性基礎上，但特別針對“同意”這項合法性基礎進行了重申并細化了具體要求，包括同意的表達應當“自愿”、同意的范圍應該符合必要性、當個人信息的處理目的、方式、種類發生變更的，應當重新取得個人同意。該條第一款第五項還規定“不得在個人明確表示不同意處理其個人信息后，頻繁征求同意”。在實踐中，一些應用程序或網絡數據處理者可能會采用不斷彈出請求窗口的方式，試圖改變用戶的決定，這種行為不僅干擾了用戶體驗，也違背了用戶的真實意愿，即使用戶無奈最后按了“同意”鍵，但這樣的同意應當屬于“無效”的同意。與（信息安全技術 個人信息安全規范（GBT 35273-2020）第 5.3 條 d

104、)項規定相呼應，這個規定有利于減少網絡數據處理者利用模糊規則進行反復請求的機會，從而避免相關用戶受到不必要的打擾，能夠有效提升整體用戶體驗。針對處理除兒童個人信息以外的敏感個人信息，條例還規定應當取得個人的單獨同意或者法律、行政法規規定的書面同意；針對處理兒童個人信息，條例要求網絡數據處理者應當取得未成年人的父母或者其他監護人的同意。以上規定連同條例第二一三條個人行權要求，均未超出個保法的相關規定。3.細化細化“數據可攜帶權”的“數據可攜帶權”的實現途徑實現途徑 30“數據可攜帶權”作為一類新型權利，在借鑒歐盟（通用數據保護條例（GDPR）立法經驗的基礎上，個保法第四一五條第三款僅對其做出原則

105、性的界定，即個人請求將個人信息轉移至其指定的個人信息處理者，符合國家網信部門規定條件的，個人信息處理者應當提供轉移的途徑。然而，何為“國家網信部門規定的條件”，個保法并未公布其解。并且，個保法實施后，由于缺乏實施細則，實踐中，要實現此條的操作技術難度也較高，因此企業目前僅實現了“數據可攜帶權”的一半含義，即“副本下載”，尚未能充分實現另一半立法本意，即數據向第三方產品和服務提供方實現完全移送。條例 第二一五條首次以立法形式細化了個人信息轉移請求的實現途徑，使得個人信息轉移請求不再是抽象的原則。這不僅提高了法律條文的可執行性，還減少了因解釋模糊而產生的爭議。具體而言，該條明確規定個人信息轉移請求

106、的條件，須涵蓋請求人的真實身份驗證、待轉移個人信息的范圍（僅限于本人同意或基于合同約定部分）、具備可轉移此個人信息的技術可行性及保護其他相關方合法權益的要求，這一規定為網絡數據處理者提供了清晰的操作指南，對個保法第四一五條第三款預留的伏筆進行了填補。此外，為平衡轉移方與轉入方的利益，例如由于用戶請求多次轉移，使網絡數據處理者發生了額外的運營和技術成本，法規允許網絡數據處理者在評估后向提出請求的用戶主張超出合理范圍的必要費用。在評估前述問題的過程中，網絡數據處理者可以引入個人信息保護影響評估等流程，以便評估與平衡轉移行為對個人信息主體權利和他人合法權益可能造成的影響。4.自動化采集技術的應用限制

107、自動化采集技術的應用限制 即使前文已經針對條例第一八條關于使用自動化工具訪問、收集網絡數據的規定進行了分析，條例第二一四條又針對使用自動化采集技術等手段無法避免采集到非必要個人信息或者采集了未依法取得個人同意的個人信息等情況提出了解決方案即刪除或匿名化處理此類不合規信息。此外，條例還特別考慮了實踐中的復雜性和多樣性，對于法律、行政法規規定的保存期限未屆滿或者憑借網絡數據處理者當時的技術手段和經驗難以實現刪除的，允許網絡數據處理者停止除存儲和必要的安全保護措施之外的處理活動。這種靈活的處理方式既為網絡數據處理者提供了在特定條件下合理的應對策略，從而避免了過于僵化的法律規定給實際操作帶來的困難，又

108、敦促網絡數據處理者仍然有義務采取必要措施妥善管理和保護個人信息，并且更加謹慎地對待自動化采集過程中可能產生的非必要信息，防止用戶個人信息被濫用或泄露。5.落實對落實對境外網絡數據處理者處理境內個人信息境外網絡數據處理者處理境內個人信息的監管的監管 條例 第二一六條主要適用于境外網絡數據處理者處理中國境內自然人個人信息的情形，特別強調個人信息保護層面的責任落實。這體現了中國對境外數據處理活動的監管力度不斷加強，并釋放出明確的信號：境外網絡數據處理者不僅要符合當地法律，還必須遵守中國的數據保護法律法規，這也為國際企業在華運營（特別是在中國境內未 31 設立法人實體、辦事機構，且服務器部署于境外但收

109、集中國境內個人信息的企業）提供了清晰的合規指引。該條首先要求境外網絡數據處理者按照（個保法第五一三條的要求，在境內設立專門機構或指定代表，并向所在地的市級網信部門報送相關信息，如機構名稱、代表姓名及聯系方式。這一要求旨在確保境外企業處理中國境內用戶個人信息時有具體的責任主體可以追溯和監管，防止出現個人信息管理的“真空地帶”，確保數據保護法律法規能夠得到有效執行。其次，該條明確了具體的報送對象為“設區的市級網信部門”，增加了信息共享和協同監管的機制，規定接收到信息的網信部門應當及時通報同級有關主管部門，從而增強信息透明度，便于各監管部門在發現數據泄露、濫用等安全事件時，能夠迅速采取應對措施，對違

110、規行為進行及時查處。6.網絡數據處理者處理網絡數據處理者處理 1000 萬以上萬以上個人信息個人信息的特殊合規義務的特殊合規義務 關于重要數據的識別和認定，信息安全技術 重要數據識別指南（征求意見稿）數據安全技術 數據分類分級規則（GB/T 43697-2024）及特定行業的法律規范和標準已提供了一定的指導，但是其中對于特定數量的個人信息能否構成重要數據尚未形成統一標準。（條例第二一八條明確規定，處理 1000 萬人以上個人信息的網絡數據處理者，還應當遵守 條例 第三一條（任命數據安全負責人及管理機構）和第三一二條（合并、分立、解散、破產時的報送義務）中對于重要數據的處理者的規定。相較于征求意

111、見稿中 100 萬的量級規定，本次條例放寬了認定門檻，這意味著對于處理個人信息數量在 100 萬到 1000 萬之間的企業，可以免于按重要數據處理者的合規要求和監管措施予以執行；同時，條例也縮小了適用條款的范圍，要求符合條件的網絡數據處理者僅遵守條例第三一條和第三一二條的規定，而非遵守（征求意見稿第四章中針對重要數據處理者的所有規定。這反映了立法者在平衡監管力度與企業運營成本之間進行了成熟考慮，避免對部分百萬級企業造成過大的合規負擔。（五）數據的特殊類型之二：重要數據的細化規定（五）數據的特殊類型之二：重要數據的細化規定 條例第四章規定了針對重要數據的安全管理要求，重點包括如下方面：1.重要數

112、據目錄與重要數據的識別、申報和確認重要數據目錄與重要數據的識別、申報和確認 條例第六一二條明確，重要數據是指特定領域、特定群體、特定區域或者達到一定精度和規模，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全的數據。相比于征求意見稿的列舉式定義，條例的定義進行了提煉和精簡，并基于數據出境安全評估辦法 數據安全技術 數據分類分級規則（GB/T 43697-2024）等相關法規標準中對于重要數據的定義8進一步優化和更新了表述。8 數據出境安全評估辦法第一九條 本辦法所稱重要數據，是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國

113、家安全、經濟運行、社會穩定、公共健康和安全等的數據。數據安全技術 數據分類分級規則（GB/T 43697-2024）3.2 重要數據：特定領域、特定群體、特定區域或者達到一定精度和規模，一旦遭到篡改、破壞、泄露，可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全的 32 為了保障重要數據安全，條例第二一九條第一款首先基于數安法的原則性要求9（，明確國家數據安全工作協調機制，統籌協調有關部門制定重要數據目錄，加強對重要數據的保護。同時敦促各地區、各部門應當按照數據分類分級保護制度，確定本地區、本部門以及相關行業、領域的重要數據具體目錄，對列入目錄的網絡數據進行重點保護。條例第二一九條第二款

114、重點規定了網絡數據處理者對重要數據的識別、申報義務與相關地區、部門的確認和告知、公開要求，具體可包括如下步驟：首先，網絡數據處理者應當按照國家有關規定識別重要數據。即企業應當首先自行判斷是否涉及處理重要數據。具體而言，企業需要對于所持有的數據資產進行梳理，參考行業相關法律法規、各地區發布的重要數據目錄和/或數據安全技術 數據分類分級規則（GB/T 43697-2024）等國家標準所列舉的重要數據識別因素進行判斷，明確企業收集的數據類型，識別數據資產清單中各類數據的用途、面臨的主要安全威脅，判斷數據安全性（保密性、完整性、可用性等）遭破壞后可能對國家安全及公共利益造成的影響，形成本企業的重要數據

115、目錄。其次，在識別企業內部的重要數據后，該網絡數據處理者還需要履行申報義務。但條例尚未明確申報重要數據的具體流程、時限和申報監管機構，因此實踐中企業如何進行申報還有待未來相關監管機構的進一步明確。另外，條例未采納征求意見稿 中要求數據處理者在識別重要數據后的一五個工作日內向設區的市級網信部門備案的義務10。最后，待企業完成自主申報后，根據條例的規定，最終是否屬于重要數據的判定結果應當由相關地區、部門進行確認。對確認為重要數據的，相關地區、部門應當及時向企業告知或者公開發布重要數據目錄、清單，企業應當履行網絡數據安全保護責任。此外，條例第二一九條第三款還鼓勵性地建議企業使用數據標簽標識等技術和產

116、品。根據屬性、用途、敏感度等信息給特定數據打上相應的標簽或標識，不僅能夠幫助企業實現對數據的分類分級，以此清晰地知道某一數據的類型、重要性、訪問權限以及處理方式，還能提高本企業對重要數據安全管理水平，以及幫助企業在出現數據合規 數據。9 數據安全法第二一一條 國家建立數據分類分級保護制度，根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數據實行分類分級保護。國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄，加強對重要數據的保護。各地區、各部門應當按照數據分類分級保護制度，確定本地區、本部

117、門以及相關行業、領域的重要數據具體目錄，對列入目錄的數據進行重點保護。10 網絡數據安全管理條例（征求意見稿）第二一九條 重要數據的處理者，應當在識別其重要數據后的一五個工作日內向設區的市級網信部門備案，備案內容包括：（一）數據處理者基本信息，數據安全管理機構信息、數據安全負責人姓名和聯系方式等；（二）處理數據的目的、規模、方式、范圍、類型、存儲期限、存儲地點等，不包括數據內容本身；（三）國家網信部門和主管、監管部門規定的其他備案內容。處理數據的目的、范圍、類型及數據安全防護措施等有重大變化的，應當重新備案。依據部門職責分工，網信部門與有關部門共享備案信息。33 問題時更容易追蹤數據的來源、流

118、動情況和處理過程，以便有效應對潛在的數據泄露和風險事件，并提升審計效率。2.網絡數據安全責任人與安全管理機構網絡數據安全責任人與安全管理機構 條例 第三一條第一款要求重要數據的處理者應當明確網絡數據安全負責人和網絡數據安全管理機構。網絡數據安全管理機構應當履行下列網絡數據安全保護責任：1)制定實施網絡數據安全管理制度、操作規程和網絡數據安全事件應急預案；2)定期組織開展網絡數據安全風險監測、風險評估、應急演練、宣傳教育培訓等活動，及時處置網絡數據安全風險和事件；3)受理并處理網絡數據安全投訴、舉報。在網絡數據安全負責人的任職方面，條例第三一條第二款要求網絡數據安全負責人應當具備網絡數據安全專業

119、知識和相關管理工作經歷，由網絡數據處理者管理層成員擔任，有權直接向有關主管部門報告網絡數據安全情況。值得注意的是，條例第三一條第三款還明確要求“掌握有關主管部門規定的特定種類、特定規模重要數據的網絡數據處理者，應當對網絡數據安全負責人和關鍵崗位的人員進行安全背景審查，加強相關人員培訓”。因此，建議企業應當特別關注所在行業主管部門是否已經發布過針對特定種類、規模的重要數據認定清單或者應當專項咨詢監管。例如，雖然汽車數據安全管理若干規定（試行）明確規定了汽車領域特定種類（如車輛流量、物流等反映經濟運行情況的數據、包含人臉信息、車牌信息等的車外視頻、圖像數據等）、規模（涉及個人信息主體超過 10 萬

120、人的個人信息）屬于重要數據11，但交通部仍然需要對掌握哪些種類和規模重要數據的企業應當對網絡數據安全負責人和關鍵崗位人員進行嚴格意義的背景審查做出明確指示。在主管部門尚未給出明確指引前，若已經有相關部門規章規定了某行業特定類型數據為重要數據的，建議該處理重要數據的網絡數據處理者對聘用的網絡數據安全負責人和關鍵崗位人員在入職前或者啟動專項前均宜啟動背景審查。針對背景審查的具體內容，企業可以參考信息安全技術 個人信息安全規范（GB/T 35273-2020）第 11.6（a）條的規定，包括審查相關人員的犯罪記錄、誠信狀況等情況。條例規定，符合上述條件進行背景審查時，可以申 11 汽車數據安全管理若

121、干規定（試行）第三條明確在汽車領域下的重要數據包括：（一）軍事管理區、國防科工單位以及縣級以上黨政機關等重要敏感區域的地理信息、人員流量、車輛流量等數據；（二）車輛流量、物流等反映經濟運行情況的數據；（三）汽車充電網的運行數據；（四）包含人臉信息、車牌信息等的車外視頻、圖像數據；（五）涉及個人信息主體超過 10 萬人的個人信息；國家網信部門和國務院發展改方、工業和信息化、公安、交通運輸等有關部門確定的其他可能危害國家安全、公共利益或者個人、組織合法權益的數據。34 請公安機關、國家安全機關協助。具體如何申請公安機關和國家公安機關的協助，可能有賴于實踐中的進一步觀察。3.重要數據提供、委托處理或

122、共同處理的風險評估重要數據提供、委托處理或共同處理的風險評估 根據 條例 第三一一條，如果企業作為重要數據處理者，涉及向外部第三方提供、委托處理或者共同處理重要數據的，應當依據條例的規定就該處理活動開展風險評估；但如果是企業為了履行法定職責或者相關法定義務的，則可以豁免該風險評估的要求。相比于征求意見稿，條例未將“交易”“向境外提供”兩種場景納入風險評估范疇，原因是“交易”的范圍太大，可能涉及第三一二條（合并、分立、解散、破產等）中的某些場景，也可能被第一二條向其他網絡數據處理者提供所包含；如果未得到合法授權的，還可能落入第八條規定的非法向他人提供的情況。企業“向境外提供重要數據”前必須經過數

123、據出境安全評估，而企業向網信部門提出安全評估申請前還會進行數據出境風險自評估。這些都已經在在數據出境安全評估辦法中進行了規定且評估內容比較特殊，因此無需包括在條例第三一一條中。此外，條例還刪除了在共享、交易、委托處理重要數據前獲取主管部門或網信部門同意的前置審批要求12。這一變化體現了立法層面從強調事前的行政審批向企業履行自主合規管理和風險管理的轉變，不僅提高了企業的自主性和靈活性，也更加符合國際數據安全管理的趨勢。同時，這種自主評估機制并不意味著放松監管。企業的風險評估結果可能需要在后續監管中接受檢查，一旦被發現未能進行適當評估或未采取足夠的安全措施，相關網絡數據處理者仍將面臨嚴厲處罰。這種

124、事后監督的方式也增強了監管的彈性，優化了監管資源的配置，使得監管部門可以根據實際情況調整監管力度。根據條例，在涉及提供、委托處理、共同處理場景下的風險評估應當重點評估下列內容：1)合法正當必要性：合法正當必要性：提供、委托處理、共同處理網絡數據，以及網絡數據接收方處理網絡數據的目的、方式、范圍等是否合法、正當、必要；2)數據泄露的風險：數據泄露的風險：提供、委托處理、共同處理的網絡數據遭到篡改、破壞、泄露或者非法獲取、非法利用的風險，以及對國家安全、公共利益或者個人、組織合法權益帶來的風險；3)數據接收方背景：數據接收方背景：網絡數據接收方的誠信、守法等情況；4)合同義務約定：合同義務約定：與

125、網絡數據接收方訂立或者擬訂立的相關合同中關于網絡數據安全的要求能否有效約束網絡數據接收方履行網絡數據安全保護義務；5)技術管理措施有效性：技術管理措施有效性：采取或者擬采取的技術和管理措施等能否有效防范網絡 12 征求意見稿第三一三條 數據處理者共享、交易、委托處理重要數據的，應當征得設區的市級及以上主管部門同意，主管部門不明確的，應當征得設區的市級及以上網信部門同意。35 數據遭到篡改、破壞、泄露或者非法獲取、非法利用等風險；6)其他內容：其他內容：有關主管部門規定的其他評估內容。與征求意見稿相比，條例雖然未明確評估風險為高的后果，但從合規實踐來看，如果企業經過評估認為重要數據的共享、委托處

126、理或共同處理可能危害國家安全、經濟發展和公共利益，則企業應當避免共享、委托處理或共同處理數據，以免引發監管部門的關注和相關處罰后果。4.重要數據處理者合并、分立、解散、破產時的報告義務重要數據處理者合并、分立、解散、破產時的報告義務 條例第三一二條規定了重要數據處理者發生合并、分立、分散、破產等情況且經過評估認為可能影響重要數據安全的，重要數據處理者應采取措施履行網絡安全保障與上報義務。不難理解，企業在合并、分立、解散、破產等情況下，可能會涉及數據資產的轉移或處置，而重要數據的特殊性決定了其處理不當會對國家安全、公共利益、個人隱私等產生重大影響。因此，條例要求重要數據處理者上報處置方案、接收方

127、信息等，旨在確保數據處理過程經過充分的安全考量，防止數據的濫用、泄露或非法轉移。同時，通過上報處置方案，主管部門能夠全面了解重要數據的處置過程，從而在需要時進行指導、干預或采取措施，以保證網絡數據的安全和合規性。由于重要數據涉及到國家安全、經濟運行、社會穩定等重大利益，因此需要受到較高層級的監管，以確保各級政府能夠有足夠的權限和能力來應對潛在風險。省級以上的主管部門通常具備更高的資源和權威，能夠處理更復雜和重大的數據安全事件，因此相比于征求意見稿13，條例提高了上報部門的級別、細化了需要上報的內容，要求重要數據的處理企業需要向省級以上有關主管部門報告重要數據處置方案、接收方的名稱或者姓名和聯系

128、方式等；主管部門不明確的，應當向省級以上數據安全工作協調機制報告?！笆〖壱陨蠑祿踩ぷ鲄f調機制”是指由中央網信辦及相關部委組成的跨部門協調機構，負責跨行業、跨領域的網絡數據安全監管。對于很多企業來說，在合并、分立或解散時，可能不清楚具體應該向哪個主管部門報告，尤其是在數據涉及多個行業或跨區域的情況下，不同部門之間的管轄權還可能不明確。如果行業主管部門或網信部門沒有清晰界定的，對重要數據的處置需要由更高行政級別的行政機關進行綜合協調。省級以上的主管部門或協調機制能夠跨部門、跨地區進行監督管理，避免地方保護主義或部門壁壘，確?？绮块T和區域下的的數據安全措施在全國統一實施。5.重要數據處理者的年度

129、風險評估重要數據處理者的年度風險評估 數安法第三一條提出，重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估，并向有關主管部門報送風險評估報告。風險評估報告應當包括網絡數據處理者所處理的重要數據的種類、數量、開展數據處理活動的情況、面臨的數據安全風 13 根據征求意見稿第一四條，企業發生合并、重組、分立等情況的，數據接收方應當繼續履行數據安全保護義務，涉及重要數據的，應當向設區的市級主管部門報告。若企業發生解散、被宣告破產等情況的，應當向設區的市級主管部門報告，按照相關要求移交或刪除數據，主管部門不明確的，應當向設區的市級網信部門報告。36 險及其應對措施等。部分行業（例如汽車行業）

130、也在部門規章中明確了年度風險評估報告報送的要求。條例第三一三條進一步細化規定了重要數據年度風險評估的頻率與報告應涉及的內容等。首先，重要數據的處理者應當每年度對其網絡數據處理活動開展風險評估；其次，重要數據處理者需要向省級以上有關主管部門報送風險評估報告；再次，由于網絡數據安全涉及網信部門、公安機關等多個監管和執法機構的共同管理，形成合力提前準備提升風險預警和應對能力，防范潛在的網絡安全事件，因此有關主管部門在接收到重要數據處理者提交的年度風險評估報告后，還應當及時通報同級網信部門、公安機關。最后，年度風險評估報告應當包括下列內容：1)網絡數據處理者基本信息、網絡數據安全管理機構信息、網絡數據

131、安全負責人姓名和聯系方式等；2)處理重要數據的目的、種類、數量、方式、范圍、存儲期限、存儲地點等，開展網絡數據處理活動的情況，不包括網絡數據內容本身；3)網絡數據安全管理制度及實施情況，加密、備份、標簽標識、訪問控制、安全認證等技術措施和其他必要措施及其有效性；4)發現的網絡數據安全風險，發生的網絡數據安全事件及處置情況；5)提供、委托處理、共同處理重要數據的風險評估情況；6)網絡數據出境情況；7)有關主管部門規定的其他報告內容。條例特別指出，處理重要數據的大型網絡平臺服務提供者（定義詳見本文第二章第 3 點的內容）報送的風險評估報告，除包括前款規定的內容外，還應當充分說明關鍵業務和供應鏈網絡

132、數據安全等情況。如前所述，首先，大型網絡平臺涉及到的用戶數量巨大，且業務類型通常涵蓋電子商務、支付服務、社交媒體、云服務等，業務流程極其復雜，其處理網絡數據的影響力遠遠超過一般的網絡數據處理者。一旦這些平臺的關鍵業務或供應鏈受到攻擊，可能產生系統性風險，不僅關乎企業本身，也可能影響多個行業和領域的穩定性，乃至對國家安全產生重大影響。大型網絡平臺的關鍵業務往往涉及大量的數據交互和共享，存在多種多樣的數據風險，例如涉及用戶數據、支付信息、交易記錄等敏感數據。因此，在評估報告中詳細說明關鍵業務的數據安全狀況，有助于主管機構提前了解并識別該平臺的哪些業務節點可能出現數據泄露或濫用的風險，有可能幫助該大

133、型網絡平臺采取針對性的保護措施進行事先防范。同時，大型網絡平臺往往也依賴復雜的供應鏈，包括硬件提供商、軟件供應商、外包服務等，某些合作伙伴或外包商倘若存在較低的安全保障措施，鏈條中的任何一方出現任何漏洞都可能成為攻擊者的突破口，進而波及整個平臺。況且，有些大型網 37 絡平臺的供應鏈中還可能涉及到海外的軟硬件供應商，特別是網絡平臺在使用國外服務器、數據存儲設備或軟件的時候，還存在潛在的供應鏈攻擊或服務斷供的風險。這類平臺的數據安全問題一旦被利用，可能對國家經濟、公共服務以及社會穩定造成巨大影響。因此，要求充分說明供應鏈的安全情況，有助于主管部門識別和控制這種外部安全威脅，提前掌握企業是否存在過

134、度依賴國外供應鏈的情況，評估可能的地緣政治風險帶來的安全威脅。大型網絡平臺的關鍵業務與供應鏈的安全性，往往直接或間接地與國家安全和公共利益掛鉤，但由于其規模和業務復雜性，網絡數據安全的管理需要差異化的措施，不可能一刀切。因此，要求大型平臺報告中詳細說明關鍵業務和供應鏈安全情況，有助于主管部門針對具體的業務場景制定更精細化的監管要求。條例還要求，如果重要數據的處理者存在可能危害國家安全的重要數據處理活動的，省級以上有關主管部門應當責令其采取整改或者停止處理重要數據等措施，重要數據的處理者應當按照有關要求立即采取措施。此外，相比于征求意見稿第三一二條，條例刪除了赴境外上市的數據處理者進行年度風險評

135、估的要求，因為現在香港聯交所在聆訊前會要求發行人提供數據合規相關的專業法律意見，而律師出具專業法律意見前，一般都會要求企業進行嚴格的由第三方中介機構主導的全面風險評估或審計；而赴境外上市的數據處理者如果涉及處理重要數據的，則仍然需要遵守條例第三一三條的規定，因此征求意見稿的考慮之意，實踐中都有在被執行。立法者從抓主要矛盾解決問題的視角，取消赴境外上市的數據處理者進行年度風險評估是合理的，也是進一步對企業合規義務減負的表現。同時，條例也刪除了須“在每年 1 月 31 日前”提交報告的時間要求以及評估報告“應當至少保留三年”的要求，而留給企業很多自主、靈活處理的權利。（六）網絡數據處理活動之特殊行

136、為規定：網絡數據跨境安全管理（六）網絡數據處理活動之特殊行為規定：網絡數據跨境安全管理 條例第五章規定了涉及數據跨境傳輸的安全管理要求，重點包括如下方面：1.向境外提供個人信息的合規機制向境外提供個人信息的合規機制 在總結數據出境安全評估辦法 個人信息出境標準合同辦法 促進和規范數據跨境流動規定等部門規章制定實施經驗基礎上，條例第三一四條進一步明確了國家網信部門在網絡數據出境活動中的功能與作用，同時優化了數據跨境流動的合規機制。條例 第三一五條規定了七種向境外提供個人信息的條件以及一項兜底條款，既融合了個保法的三大數據跨境傳輸合規機制，也包括促進和規范數據跨境流動規定中規定的豁免情形（相關解讀

137、可參考流動與安全并重：促進和規范數據跨境流動規定來了，企業應當如何應對？）。并且，結合條例第三一六條規定的依據中國加入的國際條約、協定向境外提供個人信息的特殊情形，我國合規地向境外傳輸個人信息的條件總共有以下八項：38 1)通過數據出境安全評估：通過數據出境安全評估：通過國家網信部門組織的數據出境安全評估；2)取得個保認證：取得個保認證：按照國家網信部門的規定經專業機構進行個人信息保護認證；3)簽訂標準合同簽訂標準合同：符合國家網信部門制定的關于個人信息出境標準合同的規定；4)履行合同所必需：履行合同所必需：為訂立、履行個人作為一方當事人的合同，確需向境外提供個人信息；5)人力資源管理所必需：

138、人力資源管理所必需：按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理，確需向境外提供員工個人信息；6)履行法定義務所必需：履行法定義務所必需：為履行法定職責或者法定義務，確需向境外提供個人信息；7)緊急情況：緊急情況：緊急情況下為保護自然人的生命健康和財產安全，確需向境外提供個人信息;8)法律、行政法規或者國家網信部門規定的其他條件其他條件。9)國際條約國際條約規定規定：中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息的條件等有規定的，可以按照其規定執行。2.向境外提供重要數據的合規機制向境外提供重要數據的合規機制 條例第三一七條基于數據出境安全評

139、估辦法的規定，要求網絡數據處理者在中華人民共和國境內運營中收集和產生的重要數據確需確需向境外提供的，應當通過國家網信部門組織的數據出境安全評估。首先還是要明確重要數據的認定標準，具體可詳見本文第四章的分析。條例第三一七條重申了二點：其一，向境外提供在中華人民共和國境內運營中收集和產生的重要數據需要具有一足的必要性，故相關企業需要自行評估論證，并提供相關證明材料以支撐“確需”提供之說；其次，根據促進和規范數據跨境流動規定的要求，重要數據的認定以地方和行業主管部門的通知或公開發布為標準。若相關企業未被相關部門、地區通知處理了重要數據，或者相關部門、地區公開發布的重要數據目錄清單中暫未包括本企業所處

140、理的數據的，則企業無需將某類數據作為重要數據申報數據出境安全評估。此外，企業還應當關注，我國各地區正在積極探索建立數據分級分類保護制度，制定數據跨境流動的正面/負面清單，明確“重要數據”的類型。例如，天津自由貿易試驗區于今年 2 月 5 日率先發布了中國（天津）自由貿易試驗區企業數據分類分級標準規范14將數據分為 13 大類 40 子類，核心、重要、一般三個級別；上海臨港新片區于今年 2 月 8 日發布中國（上海）自由貿易試驗區臨港新片區數據跨境流動分類分級管理 14 參見天津市商務局官網：https:/ 39 辦法（試行）15，提出對跨境數據進行分類分級管理，并提出重要數據目錄制定、應用與更

141、新機制的管理要求；北京市網信辦等三部門也于 8 月 26 日印發中國（北京）自由貿易試驗區數據出境負面清單管理辦法（試行）中國（北京）自由貿易試驗區數據出境管理清單（負面清單）（2024 版）16，首批選擇汽車、醫藥、零售、民航、人工智能等 5 個領域率先制定，詳細列明了各領域需要通過數據出境安全評估的重要數據清單，涉及 18 個數據子類及其基本特征與描述。3.向境外提供數據時的其他合規義務向境外提供數據時的其他合規義務 數據出境安全評估辦法第八條17要求數據出境安全評估時應當對數據出境的目的、范圍、方式的合法性、正當性與必要性進行評估；第九條18要求數據處理者應當在與境外接收方訂立的法律文件

142、中明確約定數據安全保護責任，包括數據出境的目的、方式和數據范圍，境外接收方處理數據的用途、方式等。條例第三一八條明確提出，網絡數據處理者通過數據出境安全評估后向境外提供個人信息和重要數據的，不得超出評估時明確的數據出境目的、方式、范圍和種類、規模等。因此，企業在通過數據出境安全評估后，應當嚴格按照評估材料以及與境外接收方合同約定的內容開展數據跨境傳輸活動。如果實際的跨境傳輸活動超過評估時申報的內容，則企業可能被國家網信部門認定為“數據出境活動在實際處理過程中不再符合數據出境的安全管理要求”，因此國家網信部門可能會依據數據出境安全評估辦法，要求企業終止數據出境活動；如企業需要繼續開展的，則應當按

143、照要求整改后重新申請評估19。15 參見：https:/ 16 參見：https:/ 17 數據出境安全評估辦法第八條 數據出境安全評估重點評估數據出境活動可能對國家安全、公共利益、個人或者組織合法權益帶來的風險，主要包括以下事項：（一）數據出境的目的、范圍、方式等的合法性、正當性、必要性；（二）境外接收方所在國家或者地區的數據安全保護政策法規和網絡安全環境對出境數據安全的影響；境外接收方的數據保護水平是否達到中華人民共和國法律、行政法規的規定和強制性國家標準的要求；（三）出境數據的規模、范圍、種類、敏感程度，出境中和出境后遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等的風險；（四

144、）數據安全和個人信息權益是否能夠得到充分有效保障；（五）數據處理者與境外接收方擬訂立的法律文件中是否充分約定了數據安全保護責任義務；（六）遵守中國法律、行政法規、部門規章情況；（七）國家網信部門認為需要評估的其他事項。18 數據出境安全評估辦法第九條 數據處理者應當在與境外接收方訂立的法律文件中明確約定數據安全保護責任義務，至少包括以下內容：（一）數據出境的目的、方式和數據范圍，境外接收方處理數據的用途、方式等；（二）數據在境外保存地點、期限，以及達到保存期限、完成約定目的或者法律文件終止后出境數據的處理措施；（三）對于境外接收方將出境數據再轉移給其他組織、個人的約束性要求；（四）境外接收方在

145、實際控制權或者經營范圍發生實質性變化，或者所在國家、地區數據安全保護政策法規和網絡安全環境發生變化以及發生其他不可抗力情形導致難以保障數據安全時，應當采取的安全措施；（五）違反法律文件約定的數據安全保護義務的補救措施、違約責任和爭議解決方式；（六）出境數據遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等風險時，妥善開展應急處置的要求和保障個人維護其個人信息權益的途徑和方式。19 數據出境安全評估辦法第一七條 國家網信部門發現已經通過評估的數據出境活動在實際處理過程中不再符合數據出境安全管理要求的，應當書面通知數據處理者終止數據出境活動。數據處理者需要繼續開展數據出境活動的，應當按照要

146、求整改，整改完成后重新申報評估。40 如果是個人信息出境的，除了需要確定適用哪項前述提到的出境合規機制，以及評估是否適用自貿區新政以外，還需要向相關個人進行告知，并取得個人的單獨同意。與向第三方提供網絡數據需要獲取單獨同意一樣，此處的單獨同意，仍然采取條例第六一二條給出的定義，即指個人針對其個人信息出境的特定處理活動而專門作出具體、明確的同意。同時，出境方還需要開展個人信息保護影響評估、建立個人信息主體權利響應渠道、采取必要的技術保障措施以使出境活動的安全水平達到國家法律法規的保護標準，并對跨境活動進行記錄并保存。此外，條例第三一九條一再強調了數據跨境傳輸過程中，網絡數據處理者對安全風險的防范

147、責任。從具體實施的角度，既包括國家將采取措施，防范、處置網絡數據跨境安全風險和威脅，也包括任何個人、組織不得提供專門用于破壞、避開技術措施的程序、工具等，以此遏制黑客等組織在社會上擴散犯罪工具；也不得在明知他人從事破壞、避開技術措施等活動，仍為其提供技術支持或者幫助。本條明確，即使個人或組織本身沒有直接參與破壞、規避技術措施，只要存在上述行為，同樣需要承擔法律責任，以此有效減少“共犯”行為，進一步遏制犯罪發生。（七）法律責任（七）法律責任 條例第八章規定了違反條例的法律責任，與征求意見稿相比，條例有較大的修改。一方面針對特定違法行為明確了罰則，另一方面也更加突出上位法和 條例的銜接關系，特別是

148、在認定不同違法行為的處罰力度時，條例體現出與現行法律框架保持一致的特點，這有利于當出現跨領域的復雜案件、可能涉及到適用多部法律法規的情形，執法部門能夠妥善處理不同法律和不同效力等級法規之間的關系。同時，條例在歸責處理上又有以下新的亮點：首先，條例針對特定違法行為，規定了違反數據安全義務（第五一五條）、未按照有關規定進行安全審查的（第五一六條）、違反重要數據相關義務（第五一七條）等情況下的罰則；而針對違反條例規定的其他義務的情況，具體行政處罰由上位法補足，即由監管部門直接按照網安法 數安法 個保法等法律追究責任。其次，在罰則上引入了分級處罰機制，罰款額度總體上較（征求意見稿有了更明確的規定，依據

149、違法行為的情節輕重、整改情況等設置了不同層次的罰款和制裁，特別是在處罰下限和上限上做了更細化的劃分。例如，條例規定了初次違法并及時改正或輕微違法的行為可以從輕處罰（第五一九條），而對于拒不改正或情節嚴重的行為，則可能面臨更嚴厲的罰款、停業整頓、吊銷執照等處罰（第五一五條、第五一六條、第五一七條）。這種分級處置機制不僅增強了執法的靈活性，還體現了“寬嚴相濟”的立法思路。但是，條例對于一些特定行為的處罰力度有所提升，例如，第五一六條規定情節嚴重者可處 100 萬元以上、1000 萬元以下罰款，反映了國家對網絡數據安全的日益重視。但需要注意的是，條例的罰款力度仍需與企業規模、違法行為的具體后果等因素

150、相匹配，以免出現過度處罰的風險。41 再次，相較于網安法和數安法，（條例進一步明確了對（“直接負責的主管人員”和（“其他直接責任人員”的法律責任，不僅規定了罰款額度，還特別強調了在情節嚴重的情況下，這些責任人員可能面臨不同程度的個人罰款（第五一五條至第五一七條）。這反映出條例對管理層和一線直接責任人員的歸責更加具體、明確，從內部流程和管理上要求強化管理者的個人責任意識。繼承（網安法 數安法（個保法的傳統，條例第六一一條也同樣明確了違法行為不僅需承擔行政責任，還可能涉及民事甚至刑事責任。這表明（條例的法律責任與上位法多層次、多維度的責任規定保持一致，企業不僅需要應對監管部門的行政處罰，還可能面臨

151、受害者的民事違約或者侵權的索賠或國家控訴機關的刑事追責。因此，企業在遵守（條例時，需要特別關注潛在的多重責任風險，并進行全面的法律合規風險評估。此外，條例中多次提到“網信、電信、公安、國家安全”等多個部門聯合執法（第五一五條、第五一六條），反映了監管的協調性。這種聯動機制不僅呼應了第七章中要求監管機構執法上采取協調配合的機制，也確保了不同類型的數據安全問題能夠在專業化的背景下得到處理，特別是對于重要數據跨境傳輸、關鍵信息基礎設施保護等敏感領域，以保證執法的全面性和權威性。通過明確的監管職責劃分、嚴格且協作的監督檢查機制以及嚴厲的法律責任追究制度，為網絡數據的安全與秩序提供了有力保障。最后，條例

152、第六一條強調了國家機關不履行數據安全保護義務時的法律責任，這是與數安法和個保法的一個重要區別。通過對國家機關責任的明確規定，（條例 避免了公權力機關在網絡數據安全管理職責中的責任缺位或互相推諉，強化了對公共機構的監督與問責。（八）（八）結論與展望結論與展望 條例的出臺，標志著我國網絡數據安全立法體系的進一步完善，成為了數字經濟時代下的護航力量。立足當前數字經濟發展的需求，條例作為應對日益復雜的網絡安全挑戰的重要法律支撐，不僅回應了社會對網絡數據安全的呼聲，還為網絡數據安全管理提供了更加具體、全面的操作指南。通過動態風險評估、分級責任追究、嚴明執法機制，條例展現了“寬嚴相濟”的立法理念，既強調了

153、對違法行為的懲治力度，也首次為輕微違規提供了糾錯的空間。這種兼具嚴密與靈活的規則設計，為數字經濟的可持續、高質量發展奠定了堅實的法律基石。未來，隨著前沿科技的不斷發展和應用場景的持續拓展，數據的流動性、復雜性將持續增加，網絡數據安全將面臨更多新的挑戰和機遇。條例作為護航數字經濟的重要法律保障，將在應對更加復雜的網絡安全風險中發揮更加不可或缺的作用。無論是對于國家安全，還是企業的持續發展，數據安全都將成為長期決勝的關鍵因素。而在這場沒有硝煙的數字戰役中，法規的完善與執行，正是確保數字經濟健康發展的重要防線。因此，洞悉網絡數據安全管理條例背后的立法精神，不僅僅是認識到其對于違法行為的懲戒意義，更是

154、要理解它在當前階段促進數字生態系統健康運轉中的長遠作用。42 未來，企業唯有將網絡數據安全視作核心競爭力的一部分，真正融入到日常運營與戰略規劃中，才能在這個不斷演化的數字戰役中立于不敗之地。而（條例的實施，正是國家為全新的數字時代保駕護航提供的重要舉措和關鍵力量，其將進一步推動網絡數據安全與數字經濟的共生繁榮。43 2.數據分類分級：解讀數據安全技術數據分類分級：解讀數據安全技術 數據分類分級規則：綱舉目張，數據分類分級規則：綱舉目張，安則有序安則有序20 引言引言 2024 年 3 月 21 日，全國網絡安全標準化技術委員會（原全國信息安全標準化技術委員會）發布 數據安全技術 數據分類分級規

155、則 報批稿（正式標準編號為 GB/T 43697-2024）（以下簡稱“（規則”）。此次發布的規則是全國網絡安全標準化技術委員會更名后，正式發布的第一部以“數據安全技術”命名的國家標準。規則有效銜接了中華人民共和國數據安全法（以下簡稱“（數據安全法”）的原則性規定，提供了數據分類分級的統一通用規則，同時延續和更新了此前發布的信息安全技術 重要數據識別指南（征求意見稿）（以下簡稱“重要數據識別指南”）關于重要數據的相關規定，正式確定重要數據的識別標準，即將結束長期以來重要數據識別“無法可依”的局面。規則的發布既回應了社會各行各業的期待，也是實現國務院辦公廳扎實推進高水平對外開放更大力度吸引和利用

156、外資行動方案（國辦發20249 號）提出的“健全數據跨境流動規則，科學界定重要數據的范圍”目標的重要舉措。該國家標準將于 2024 年 10月 1 日正式實施。一、我國數據分類分級和重要數據立法現狀一、我國數據分類分級和重要數據立法現狀（一一）數據安全法的原則性規定數據安全法的原則性規定 國家“一四五”規劃明確提出要建立健全數據要素市場規則和完善適用于大數據環境下的數據分類分級保護制度。2021 年 9 月 1 日實施的數據安全法第二一一條明確規定國家建立數據分類分級保護制度，對數據實行分類分級保護。數據安全法在法律層面確立了數據劃分為“國家核心數據”、“重要數據”以及“一般數據”并實行不同程

157、度的管理、保護制度這一基本原則。同年 11 月 1 日實施的中華人民共和國個人信息保護法也在其第五條中指出個人信息處理者應對個人信息實行分類管理。數據安全法 等法律雖規定了數據分類分級保護的原則，但并未就數據分類和分級方法提供具體的落地指導，也未明確定義何為“國家核心數據”“重要數據”；配套的行政法規、部門規章和國家標準等也遲遲未能正式出臺，數據處理者在實際工作開展過程中缺乏相對有效的明確指導。（二二）各行業分類分級標準各行業分類分級標準 隨著數據安全法等上位法的頒布和推進，各個行業領域的數據分類分級相關標準規范的制定也快馬加鞭進入快車道。以金融領域為例，三項數據分類分級相關的標準金融數據安全

158、 數據安全分級指南(JR/T0197-2020)（證期期業業數據分類分級指引(JR/T 0158-2018)（個人金融信息保護技術規范(JR/T0171-2020)，分別從金融業數據、20 作者：孟潔、錢星辰、黎耀琦 44 證期期業業數據和個人金融信息的維度對金融數據分類分級做出了規定。電信、工業、醫療健康、智能網聯車、政務等行業和領域也紛紛制定了相應的數據分類分級相關標準或政策，以規范行業發展、指引數據合規實踐的落地。在地方層面，各地也根據數據分類分級實踐情況積極探索相應的規范治理規則和模式。2016 年，貴州省質量技術監督局發布 政府數據 數據分類分級指南（DB52/T1123-2016）

159、，從主題、行業和服務三個維度對政府數據進行分類，作為貴州省政府數據分類和分級的頂層標準。除貴州省外，浙江省、上海市、山東省青島市等也曾發布數字化改方 公共數據分類分級指南（DB33/T 2351-2021）上海市公共數據開放分級分類指南(試行)青島市公共數據分類分級指南等標準或文件，指導當地的政府與公共數據分類分級。由于國家統一的數據分類分級標準和相應實施細則長期缺位，各行業、各地方的數據分類分級標準往往呈現較為明顯的區別：不同行業的業務類型、業務范圍、數據處理活動特征差別明顯，導致不同行業間的分類分級標準存在一定差異；各地方的數據分類分級側重點和產業發展著力點有所區別，致使數據分類分級的地方

160、性文件也呈現出一定的地方特色。由于各行業、各地區數據分類分級標準之間存在銜接適用的問題，數據處理者在實際開展分類分級工作過程中會面臨諸多困惑，數據分類分級保護機制的整體落地具備一定的挑戰。本次規則的發布，一方面落實了數據安全法等上位法所規定的原則，在理論上與現行法律法規相銜接，完善了數據分類分級制度體系；另一方面，有助于解決因缺乏國家統一的數據分類分級指導性規則而導致相關國家數據安全制度、數據分類分級保護要求難以整體落地的問題，具有重要的意義。二、數據分級分類的框架與規則二、數據分級分類的框架與規則 就具體內容而言，規則包含“數據分類分級規范標準”和“重要數據識別標準”兩大重要組成部分。規則提

161、供了數據分類分級的原則、框架、方法、規則和流程，并在其前身信息安全技術 網絡數據分類分級要求（征求意見稿）（以下簡稱“（網絡數據分類分級要求”）的基礎上提供了重要數據識別指南，指引數據處理者在行業領域主管部門的引導下進一步準確識別和劃分核心數據、重要數據和一般數據，妥善落實數據分級分類保護工作。（一一）分類分級基本原則分類分級基本原則 根據規則第 4 條，數據處理者應遵循如下五項基本原則對數據進行分類分級：1.科學實用原則：從便于數據管理和使用的角度，科學選擇常見、穩定的屬性或特征作為數據分類的依據，并結合實際需要對數據進行細化分類。45 2.邊界清晰原則：數據分級的各級別應邊界清晰，對不同級

162、別的數據采取相應的保護措施。3.就高從嚴原則：采用就高不就低的原則確定數據級別，當多個因素可能影響數據分級時，按照可能造成的各個影響對象的最高影響程度確定數據級別。4.點面結合原則：數據分級既要考慮單項數據分級，也要充分考慮多個領域、群體或區域的數據匯聚融合后的安全影響，綜合確定數據級別。5.動態更新原則：根據數據的業務屬性、重要性和可能造成的危害程度的變化，對數據分類分級、重要數據目錄等進行定期審核更新。規則發布前的各類政策文件和國家標準，僅有部分文件對數據分類分級原則做出了相應的規定，多數文件規定了合法合規、可執行性、就高從嚴、時效性、差異性和客觀性原則，少數標準和文件還提出了自主性、合理

163、性、關聯疊加效應原則。此次規則在完全吸收網絡數據分類分級要求中發布的五項基本原則的基礎上，對不同行業領域的數據分類分級原則進行了一定的統合和增減，為行業領域主管部門和數據處理者明確了工作方向。（二二）數據分類規則數據分類規則 根據規則第 5 條，數據分類的框架為先按照行業領域行業領域分類、再根據業務屬性業務屬性分類的思路進行，并提出個人信息等法律法規有專門管理要求的數據類別應按照有關規定和標準進行識別和分類，其中：行業領域包括：工業、電信、金融、能源、交通運輸、自然資源、衛生健 康、教育、科學等；業務屬性包括：業務領域、責任部門、描述對象、流程環節、數據主體、內容主題、數據用途、數據處理和數據

164、來源等。規則在提供分類框架和分類方法的基礎上，在其附錄 A 中就描述對象和數據主體兩個業務屬性的分類提供了如下示例：數據類別數據類別 類別定義類別定義 示例示例 用戶數據 在開展業務服務過程中從個人用戶或組織用戶收集的數據，以及在業務服務過程中產生的歸屬于用戶的數據 如個人信息、組織用戶信息(如組織基本信息、組織賬號信息、組織信用信息等)業務數據 在業務的研發、生產、運營過程中收集和產生的非用戶類數據 參考業務所屬的行業數據分類分級，結合自身業務特點進行細分，如產品數據、合同協議等 46 數據類別數據類別 類別定義類別定義 示例示例 經營管理數據 數據處理者在單位經營和內部管理過程中收集和產生

165、的數據 如經營戰略、財務數據、并購融資信息、人力資源數據、市場營銷數據等 系統運維數據 網絡和信息系統運行維護、日志記錄及網絡安全數據 如網絡設備和信息系統的配置數據、日志數據、安全監測數據、安全漏洞數據、安全事件數據等 表 1 基于描述對象的數據分類參考示例 數據分類數據分類 類別定義類別定義 示例示例 公共數據 各級政務部門、具有公共管理和服務職能的組織及其技術支撐單位，在依法履行公共事務管理職責或提供公共服務過程中收集、產生的數據 如政務數據，在供水、供電、供氣等公共服務運營過程中收集和產生的數據等 組織數據 組織在自身生產經營活動中收集、產生的不涉及個人信息和公共利益的數據 如不涉及個

166、人信息和公共利益的業務數據、經營管理數據、系統運維數據等 個人信息 以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息 如個人身份信息、個人生物識別信息、個人財產信息、個人通信信息、個人位置信息、個人健康生理信息等 表 2 基于數據主體的數據分類參考示例 其中，表 1 完全吸收了網絡數據分類分級要求所作的描述對象方面的示例，采用面分類法，從行業內組織經營維度，將用戶數據和經營中的其他數據進行區分，再依據生產經營的各個環節對其他數據進行分類。表 2 提供的分類參考示例則與中共中央、國務院發布的關于構建數據基礎制度 更好發揮數據要素作用的意見（以下簡稱“數據二一條”）規定相銜接，明確

167、參照“數據二一條”將數據分為公共數據、企業/組織數據和個人信息數據的基本分類，同時結合了信息安全技術 個人信息安全規范（GB/T 35273-2020）（以下簡稱“（個人信息安全規范”）對個人信息所作的定義和示例，并在規則附錄 B 中就個人信息提供了更為細致的分類示例。根據上述分類框架，規則提供了行業領域數據分類的具體步驟和方法，數據分數據分類工作主要涉及以下四個階段類工作主要涉及以下四個階段：1.明確數據范圍明確數據范圍：按照行業領域主管（監管）部門職責，明確本行業本領域管理的數據范圍。2.細化業務分類細化業務分類：對本行業本領域業務進行細化分類，包括：47 a)結合部門職責分工，明確行業領

168、域或業務條線的分類；b)按照業務范圍、運營模式、業務流程等，細化行業領域或明確各業務條線的關鍵業務分類。3.業務屬性分類業務屬性分類：選擇合適的業務屬性，對關鍵業務的數據進行細化分類。4.確確定分類規則定分類規則：梳理分析各關鍵業務的數據分類結果，根據行業領域數據管理和使用需求，確定行業領域數據分類規則，例如：a)可采取“業務條線關鍵業務業務屬性分類”的方式給出數據分類規則；b)對關鍵業務的數據分類結果進行歸類分析，將具有相似主題的數據子類進行歸類。由于不同行業領域的自身特性，主管部門應結合本行業領域具體的數據管理和使用需求，以及已經具備的數據分類基礎，靈活指導本行業的數據分類工作，使得數據處

169、理者能夠將所掌握的數據科學分類至合適的數據大類與子類中。（三三）數據分級規則數據分級規則 根據規則第 6 條，數據分級的基本框架為根據數據在經濟社會發展中的重要程度，以及一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，對國家運行、經濟運行、社會秩序、公共利益、組織權益、個人權益等不同影響對象所造成影響的危害程度，將數據從高到低分為核心數據、重要數據、一般數據三個級別。根據規則，數據分級工作主要包括如下四個步驟數據分級工作主要包括如下四個步驟：1.確定分級對象：確定數據項、數據集、衍生數據、跨行業領域數據等待分級數據。2.分級要素識別：識別數據的領域、群體、區域、精度、規模、深度、覆蓋

170、度、重要性等識別要素（具體請參見規則附錄 C）。3.影響分析：分析數據一旦遭到風險可能影響的對象和影響程度（具體請參見 規則附錄 D、附錄 E 及附錄 F）。4.綜合確定級別：結合上述分析綜合確定數據級別。規則在其第 6.5 條中，指出了結合上述分級要素形成的如下規則表：影響對象影響對象 影響程度影響程度 特別嚴重危害特別嚴重危害 嚴重危害嚴重危害 一般危害一般危害 國家安全 核心數據 核心數據 重要數據 經濟運行 核心數據 重要數據 一般數據 社會秩序 核心數據 重要數據 一般數據 48 影響對象影響對象 影響程度影響程度 特別嚴重危害特別嚴重危害 嚴重危害嚴重危害 一般危害一般危害 公共利

171、益 核心數據 重要數據 一般數據 組織權益 個人權益 一般數據 一般數據 一般數據 注：如果影響大規模的個人或組織權益，影響對象可能不只包括個人權益或組織權益，也可能對國家安全、經濟運行、社會秩序或公共利益造成影響。表 3 數據級別確定規則表 根據上表，影響對象的確定對于數據級別的明確有非常顯著的作用。對于關系到國家安全的數據，不論其造成的影響程度如何，一律屬于重要數據或核心數據，需要采取更為全面的保護措施、受到更為嚴格的監管。如果數據僅影響到組織或個人，則其重要性顯著下降。對于關系到經濟、社會秩序和公共利益的數據，其重要性則依據其影響程度而定。在此基礎上，可總結出核心數據、重要數據、一般數據

172、的的級別確定情況：級別級別 核心數據核心數據 重要數據重要數據 一般數據一般數據 識 別識 別標準標準 1)數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，直接對國家安全造成特別嚴重危害（如直接影響政治安全）或嚴重危害（如關系其他國家安全重點領域）；2)數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，直接對經濟運行造成特別嚴重危害（如關系國民經濟命脈）；3)數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，直接對社會秩序 造成特別嚴重危害（如關系重要民生）；4)數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，直接對公共利益 造成特別嚴重危害

173、（如關系重大公共利益）；5)對領域、群體、區域具有較高覆蓋度，直接影響政治安全的重要數據；6)達到較高精度、較大規模、較高重要性或深度，直接影響政治安全的重要數據；1)數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，直接對國家安全造成一般危害；2)數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，直接對經濟運行造成嚴重危害；3)數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，直接對社會秩序造成嚴重危害（如影響社會穩定）；4)數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，直接對公共利益造成嚴重危害（如危害公共健康和安全）；5)數據直接關系國

174、家安全、經濟運行、社會穩定、公共健康和安全的特定領域、特定群體或特定區域；6)數據達到一定精度、規模、深度或重要性，直接影響國家安全、經濟運行、社未 識 別 為核心數據、重 要 數 據的 其 他 數據 49 級別級別 核心數據核心數據 重要數據重要數據 一般數據一般數據 7)經有關部門評估確定的核心數據。會穩定、公共健康和安全；7)經行業領域主管（監管）部門評估確定的重要數據。表 4 核心數據、重要數據與一般數據的級別確定 從上表中不難看出，規則中“核心數據”的定義既延續了上位法數據安全法第二一一條中“關系國家安全、國民經濟命脈、重要民生、重大公共利益”對國家核心數據的識別標準，又充分吸收了網

175、絡數據分類分級要求和各地方發布的數據分類分級標準規范中“較高覆蓋度、較高精度、較大規模、一定深度”等識別要素，定義更為明確和完善?！爸匾獢祿钡亩x同樣延續了 數據安全法 第二一一條中“一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度”的原則性規定；新增的“特定領域、特定群體、特定區域或達到一定精度和規?！弊R別要素一方面與核心數據的定義相銜接，另一方面也吸收和借鑒了重要數據識別指南 工業和信息化領域數據安全管理辦法（試行）等文件對于特定敏感行業領域和群體的列示性規定，將相關要求進行濃縮和歸納。在一般數據的分級方面，此前各個行業領域的政策文

176、件和國家標準對數據分級的規定不一，匯總如下表：標準標準 分級標準分級標準 分級級別數量分級級別數量 金融數據安全金融數據安全 數據安全分級數據安全分級指南（指南（JR/T 0197-2020）數據安全遭破壞后的影響對象和影響程度 5 級 基礎電信企業數據分類分級方基礎電信企業數據分類分級方法（法（YD/T 3813-2020）數據對象的重要敏感程度 4 級 車聯網信息服務車聯網信息服務 數據安全技數據安全技術要求（術要求（YD/T 3751-2020）車聯網信息服務數據敏感性 2 級 信息安全技術信息安全技術 健康醫療數據健康醫療數據安全指南（安全指南（GB/T 39725-2020）數據重要

177、程度、風險級別可能造成的損害和影響 5 級 證期期業業數據分類分級指證期期業業數據分類分級指引（引（JR/T 01582018）影響對象、影響程度、影響范圍 4 級 表 5 各行業領域標準數據分級的級別數量對比 本次規則則在其附錄 H 中為“一般數據”的分級提供了 4 級、3 級、2 級的靈活分級框架參考，并提供了敏感個人信息、禁止開放/共享的公共數據、組織內部員工個人信息等特定類型一般數據在不同級別框架下的最低參考級別。50 規則 同時按照數據加工程度不同，將數據分為原始數據、脫敏數據、標簽數據、統計數據、融合數據，其中脫敏數據、標簽數據、統計數據、融合數據均屬于衍生數據。根據規則中的分級參

178、考，衍生數據的級別需要數據處理者根據實際處理情況確定。脫敏數據因去標識化等處理，數據的敏感性和重要性降低，其數據級別一般較原始數據降低；標簽數據、統計數據、融合數據則需要綜合數據處理后的相應結果，再次根據分級要素、影響對象和影響程度進行影響分析，進行數據定級，其級別可比原始數據級別降低或升高。規則 所建立的“核心數據+重要數據+一般數據（2 級至 4 級）”的分級規則體系，以及關于不同類型衍生數據的分級說明與指引，有助于各行業領域主管部門和數據處理者根據行業領域的特性、具體業務流程和數據的差異性，靈活確定具體的分級規則，并據此制定相應的數據保護措施。（四四）重要數據識別準則重要數據識別準則 規

179、則的另一大亮點是以附錄的形式正式發布了規范性質的重要數據識別指南。本次國家標準發布之前，各行業領域主管部門和數據處理者主要參考數據出境安全評估辦法 網絡數據安全管理條例（征求意見稿）重要數據識別指南等文件自主識別重要數據，但這類文件或僅作原則性規定，或未正式生效，導致有效的重要數據識別準則始終缺位。國家互聯網信息辦公室于 2024 年 3 月 22 日正式發布并自公布之日起實施的 促進和規范數據跨境流動規定，在其第二條中規定了“數據處理者應當按照相關規定識別、申報重要數據。未被相關部門、地區告知或者公開發布為重要數據的，數據處理者不需要作為重要數據申報數據出境安全評估”，即明確了行業主管及監管

180、相關部門、各地區應發布重要數據的識別規則，并按要求指導數據處理者開展重要數據的識別和申報工作。（相關解讀可參考團隊文章 流動與安全并重：促進和規范數據跨境流動規定 來了，企業應當如何應對？；從源頭到結果，從內部到外部：重要數據處理安全要求全景解析）在重要數據的識別因素方面，此前發布的 重要數據識別指南 列舉了 14 項因素，本次規則在附錄 G 中將重要數據識別指南所列識別因素則增加至 18 項，具體對比如下：重要數據識別指南（征求意見稿）重要數據識別指南（征求意見稿）規則規則 a)反映國家戰略儲備、應急動員能力，如戰略物資產能、儲備量屬于重要數據；b)支撐關鍵基礎設施運行或重點領域工業生產，如

181、直接支撐關鍵基礎設施所在行業、a)直接影響領土安全和國家統一，或反映國家自然資源基礎情況，如未公開的領陸、領水、領空數據；b)可被其他國家或組織利用發起對我國的軍事打擊，或反映我國戰略儲備、應急動員、51 重要數據識別指南（征求意見稿）重要數據識別指南（征求意見稿）規則規則 領域核心業務運行或重點領域工業生產的數據屬于重要數據；c)反映關鍵信息基礎設施網絡安全保護情況，可被利用實施對關鍵信息基礎設施的網絡攻擊，如反映關鍵信息基礎設施網絡安全方案、系統配置信息、核心軟硬件設計信息、系統拓撲、應急預案等情況的數據屬于重要數據；d)關系出口管制物項，如描述出口管制物項的設計原理、工藝流程、制作方法等

182、的信息以及源代碼、集成電路布圖、技術方案、重要參數、實驗數據、檢測報告屬于重要數據；e)可能被其他國家或組織利用發起對我國的軍事打擊，如滿足一定精度要求的地理信息屬于重要數據；f)反映重點目標、重要場所物理安全保護情況或未公開地理目標的位置，可能被恐怖分子、犯罪分子利用實施破壞，如反映重點安保單位、重要生產企業、國家重要資產(如鐵路、輸油管道)的施工圖、內部結構、安防等情況的數據，以及未公開的專用公路、未公開的機場等的信息屬于重要數據；g)可能被利用實施對關鍵設備、系統組件供應鏈的破壞，以發起高級持續性威脅等網絡攻擊，如重要客戶清單、未公開的關鍵信息基礎運營者采購產品和服務情況、未公開的重大漏

183、洞屬于重要數據；h)反映群體健康生理狀況、族群特征、遺傳信息等的基礎數據，如人口普查資料、人類遺傳資源信息、基因測序原始數據屬于重要數據；i)國家自然資源、環境基礎數據，如未公開的水情信息、水文觀測數據、氣象觀測數據、環保監測數據屬于重要數據；j)關系科技實力、影響國際競爭力，如描述與國防、國家安全相關的知識產權的數據屬于重要數據；k)關系敏感物項生產交易以及重要裝備配備、使用，可能被外國政府對我實施制裁，如重點企業金融交易數據、重要裝備生產制造信息，以及國家重大工程施工過程中的重作戰等能力，如滿足一定精度指標的地理數據或與戰略物資產能、儲備量有關的數據；c)直接影響市場經濟秩直接影響市場經濟

184、秩序序，如支撐關鍵信息基礎設施所在行業、領域核心業務運行或重要經濟領域生產的數據；d)反映我國語言文字、反映我國語言文字、歷史、風俗習慣、民族價值觀念等特歷史、風俗習慣、民族價值觀念等特質，如記錄歷史文化遺產的數據；質，如記錄歷史文化遺產的數據；e)反映重點目標、重要場所物理安全保護情況或未公開地理目標的位置，可被恐怖分子、犯罪分子利用實施破壞，如描述重點安保單位、重要生產企業、國家重要資產(如鐵路、輸油管道)的施工圖、內部結構、安防情況的數據；f)關系我國科技實力、影響我國國際競爭力，或關系出口管制物項，如反映國家科技創新重大成果，或描述我國禁止出口限制出口物項的設計原理、工藝流程、制作方法

185、的數據，以及涉及源代碼、集成電路布圖、技術方案、重要參數、實驗數據、檢測報告的數據；g)反映關鍵信息基礎設施總體運行、發展和安全保護情況及其核心軟硬件資產信息和供應鏈管理情況，可被利用實施對關鍵信息基礎設施的網絡攻擊，如涉及關鍵信息基礎設施系統配置信息、系統拓撲、應急預案、測評、運行維護、審計日志的數據；h)涉及未公開涉及未公開的攻擊方法、攻擊工具制作方法或攻的攻擊方法、攻擊工具制作方法或攻擊輔助信息，可被用來對重點目標發擊輔助信息，可被用來對重點目標發起供應鏈攻擊、社會工程學攻起供應鏈攻擊、社會工程學攻擊等網擊等網絡攻擊，如政府、軍工單位等敏感客戶絡攻擊，如政府、軍工單位等敏感客戶清單，以及

186、涉及未公開的產品和服務清單，以及涉及未公開的產品和服務采購情況、未公開重大漏洞情況的數采購情況、未公開重大漏洞情況的數據；據；i)反映自然環境、生產生活環境基反映自然環境、生產生活環境基礎情況，或可被利用造成環境安全事礎情況，或可被利用造成環境安全事件，如未公開的與土壤、氣象觀測、環件，如未公開的與土壤、氣象觀測、環保監測有關的數據；保監測有關的數據；j)反映水資源、能反映水資源、能源資源、土地資源、礦產資源等資源儲源資源、土地資源、礦產資源等資源儲備和開發、供給情況，如未公開的描述備和開發、供給情況，如未公開的描述水文觀測結果、耕地面積或質量變化水文觀測結果、耕地面積或質量變化情況的數據；情

187、況的數據；k)反映核材料、核設施、反映核材料、核設施、52 重要數據識別指南（征求意見稿）重要數據識別指南（征求意見稿）規則規則 要裝備配備、使用等生產活動信息屬于重要數據；1)在向政府機關、軍工企業及其他敏感重要機構提供服務過程中產生的不宜公開的信息，如軍工企業較長一段時間內的用車信息；m)未公開的政務數據、工作秘密、情報數據和執法司法數據，如未公開的統計數據；n)其他可能影響國家政治、國土、軍事、經濟、文化、社會、科技、生態、資源、核設施、海外利益、生物、太空、極地、深海等安全的數據。具備以上因素之一的，是重要數據。核活動情況，或可被利用造成核破壞核活動情況，或可被利用造成核破壞或其他核安

188、全事件，如涉及核電站設或其他核安全事件，如涉及核電站設計圖、核電站運行情況的數據；計圖、核電站運行情況的數據；l)關系關系海外能源資源安全、海上戰略通道安海外能源資源安全、海上戰略通道安全、海外公民和法人安全，或可被利用全、海外公民和法人安全，或可被利用實施對我國參與國際經貿、文化交流實施對我國參與國際經貿、文化交流活動的破壞或對我國實施歧視性禁活動的破壞或對我國實施歧視性禁止、限制或其他類似措施，如描述國際止、限制或其他類似措施，如描述國際貿易中特殊物項生產交易以及特殊裝貿易中特殊物項生產交易以及特殊裝備配備、使用和維修情況的數據；備配備、使用和維修情況的數據；m)關關系我國在太空、深海、極

189、地等戰略新疆系我國在太空、深海、極地等戰略新疆域的現實或潛在利益，如未公開的涉域的現實或潛在利益，如未公開的涉及對太空、深海、極地進行科學考察、及對太空、深海、極地進行科學考察、開發利用的數據，以及影響人員在上開發利用的數據，以及影響人員在上述領域安全進出的數據；述領域安全進出的數據；n)反映生物技術研究、開發和應用情況，反映族群特征、遺傳信息，關系重大突發傳染病、動植物疫情，關系生物實驗室安全，或可能被利用制造生物武器、實施生物恐怖襲擊，關系外來物種入侵和生物多樣性，如重要生物資源數據、微生物耐藥基礎研究數據；o)反映全局性或重點領域經濟運行、金融活動狀況，關系產業競爭力，可造成公共安全事故

190、或影響公民生命安全，可引發群體性活動或影響群體情感與認知，如未公開的統計數據、重點企業商業秘密；p)反映國家或地區群體健康生理狀況，關系疾病傳播與防治，關系食品藥品安全，如涉及健康醫療資源、批量人口診療與健康管理、疾控防疫、健康救援保障、特定藥品實驗、食品安全溯源的數據；q)其他可能影響國土、軍事、經濟、文化、社會、科技、電磁空間、網絡電磁空間、網絡、生態、資源、核、海外利益、太空、極地、深海、生物、人工智能人工智能等安全的數據；r)其他可能對經濟運行、社會秩序或公共利益造成嚴重危害的數據。具備以上因素之一的數據，可被識別為重要數據。表 6 重要數據識別指南內容對比 53 由此可見，在具體內容

191、方面，規則在整合重要數據識別指南規定的基礎上，新增或重點補充了多處重要數據識別因素。補足完善的內容一方面是對我國近年來數據保護實踐的歸納總結，另一方面也是為防范諸如涉疆法案等利用數據破壞我國國際合作、影響我國在戰略新領域開拓等事件所采取的舉措，與我國數據安全法 數據出境安全評估辦法和促進和規范數據跨境流動規定等法律法規對重要數據跨境流動所作出的規定要求相銜接。三、規則發布的意義與數據分類分級工作開展建議三、規則發布的意義與數據分類分級工作開展建議（一一）提供完整規則框架，引導數據處理者建立并完善數據分類分級管理體系提供完整規則框架，引導數據處理者建立并完善數據分類分級管理體系 數據分類分級是組

192、織內部數據安全合規處理的基礎保障，也是數據安全治理和科學管理的主要措施。結合此次發布的規則，數據處理者可以參照如下流程與方式開展內部數據分類分級工作。數據資產梳理數據資產梳理 數據處理者可以首先以盤點的方式劃定待開展分類分級工作的數據資源范圍，通過技術工具，對結構化和非結構化數據資產進行全量的掃描識別，明確各類數據所涉及的行業領域、所對應的數據處理場景、所涉及的系統、所存儲的數據庫，以及數據處理的具體方式及結果，并劃定原始數據與各類衍生數據的邊界，為分類分級工作的實施做好充分準備。制訂內部規則制訂內部規則 對于涉及單一行業領域的數據處理者，應根據行業領域主管部門已制定的行業數據分類分級規則指南

193、，結合數據資產梳理情況，確立內部識別核心數據和重要數據的流程，并根據自身的數據掌握情況和管理體系形成適用于本組織的一般數據的分類分級規則。對于尚未形成針對性數據分類分級標準的行業，數據處理者可在規則的基礎上探索形成自身的分類分級框架體系，并主動與行業領域主管部門開展必要的溝通。對于業務涉及多個行業領域的數據處理者，則可以在參考規則的基礎上，分別按照各個行業領域的行業規范設定分類分級規則。在此情況下，所處理的同一類型的數據在不同行業領域內可能被確定為不同的數據級別，這需要數據處理者完成內部的協調，實現科學管理。在實踐中，數據處理者可參考規則的附錄 H 和各行業領域制訂的數據分類行業標準或指南文件

194、，選擇合適的定級框架體系對各行業領域的一般數據進行管理，并將核心數據和重要數據定義為更高級別，形成最高可至 6 級的數據定級體系。此外，對于已經建立內部商業數據保密體系的部分數據處理者，可通過構建數據映射表的方式，將原有的數據保密體系和建設中的數據分類分級規則進行關聯映射，方便內部人員理解且合理開展分類分級工作，并進一步對工作成果加以開發利用。實施數據分類實施數據分類 54 數據處理者應根據規則提供的分類維度，結合自身業務情況，對數據進行大類和子類的劃分，并對不同子類進行定義說明，將所含具體數據字段的情況進行列舉。在此工作方式下，數據處理者處理的全量原始數據和衍生數據均可以被劃入具體的子類中。

195、實施數據分級實施數據分級 開展數據分級工作時，數據處理者可以根據加工對分級要素、影響對象、影響程度的影響，首先對原始數據進行數據分級，再基于對原始數據的處理活動對通過不同加工方式形成的衍生數據進行定級。在分類分級結果形成后，數據處理者可根據規則并參考金融數據安全 數據安全分級指南附錄 A 等文本的格式，形成組織內部的數據數據分類分級清單分類分級清單（以下為示例，僅供參考）以管理數據分類分級結果：數據分類分級情況及說明數據分類分級情況及說明 一級一級子類子類 二級二級子類子類 定義定義說明說明 三級三級子類子類 定義定義說明說明 四級四級子類子類 所含所含字段字段 數據數據安全安全級別級別 備注

196、備注 業務業務數據數據 合約協議 指合同或協議所包含的所有屬性數據 合同通用信息 指合同以及商業銀行法所規定的、各種特定業務通用的基本屬性 合同信息 合同編號、合同名稱、合同種類、合同狀態、合同金額、幣種等 2 級 一般數據 存款業務信息 指存款業務所涵蓋的相關屬性數據 基本信息 貸款類型、貸款用途、保證金金額等 2 級 一般數據 計息信息 存款業務種類、期限2 級 一般數據 55 數據分類分級情況及說明數據分類分級情況及說明 類型等 賬戶信息 賬戶相關數據/介質信息 介質號碼、卡種類等 3 級 一般數據 用戶用戶數據數據 經營經營管理管理數據數據 系統系統運維運維數據數據 表 7 數據分類分

197、級清單示例 在實際數據分級管理工作中，基于數據項（數據庫表某一列字段等）將組織內全部的數據以數據字段維度進行管理的難度較大，操作性較低。目前各類組織較為常見的方式是以數據集（由多個數據記錄組成的集合，如數據庫表、數據文件等）而非數據項為單位進行數據分級的實操管理，從而在保障安全的前提下提升管理工作的便捷性。在數據集的分級方面，數據處理者可采用規則中的原則性建議，依據“就高不就低”的從嚴定級原則，參考所含數據項的級別對數據集進行定級，并按照數據集的級別確定安全管控措施。例如，在總體為 5 級（核心數據設定為 5 級，重要數據設定為 4 級，一般數據分為1 級、2 級、3 級進行管理）的數據分級框

198、架下，某一數據集中同時含有級別為 1 級、2級、3 級的一般數據，且該數據集中不含核心數據和重要數據，則此數據集的級別可首先預設為 3 級。但同時，需要判斷上述不同級別的數據在該數據集中形成的規模以及可能基于所含有數據形成的衍生數據的影響，從而視情況將數據集的級別調整為 4 級或 5級進行安全管理。審核上報目錄審核上報目錄 56 數據處理者應根據行業主管監管部門和各地區的要求，落實核心數據和重要數據的記錄和報送工作。此外，數據處理者應根據分類分級結果，在組織內部的數據管理系統、數據庫管理平臺中將數據的類別、級別進行標識，方便對數據處理行為進行管理和審核。對于業務涉及多個行業領域的數據處理者，則

199、應根據不同業務系統、數據庫對應的行業領域情況，對數據的類別、級別等分別進行標識，避免出現矛盾情形。動態更新管理動態更新管理數據處理者可參考規則附錄 J，在業務應用場景、數據處理方式和規模發生變化、發生數據安全事件導致數據敏感性發生變化等情形出現時，對數據分類分級的規則和結果進行更新。并在開展內部數據安全審計和個人保護影響評估等工作的過程中，對數據分類分級工作成果進行評估和相應處置。需要注意的是，分類分級規則的形成和清單的建立僅僅是分類分級管理的先導工作，數據處理者在形成規則和清單的基礎上，應進一步制訂數據分類分級保護的內部制度，并要求各部門人員根據制度要求對數據進行安全管理。在分類分級工作規范

200、開展方面，數據處理者可基于已形成的組織內分類分級規則和結果清單制定數據分類分級管理制度，明確組織內部不同部門及各崗位人員在數據分類分級識別、記錄、維護、更新、報送等方面的職責分工，書面確認分類分級工作的實施流程和細則要求。而在數據配套安全措施實施方面，數據處理者可在前述工作的基礎上，制訂數據分類分級安全保護策略，在數據訪問、存儲、對外提供、共享、前端展示等處理環節中采用與其級別、類別相適應的安全控制措施，提升數據處理活動的合規性。對于核心數據、重要數據的安全管理工作，還應參考信息安全技術 重要數據處理安全要求（征求意見稿）等文件的正式發布版本嚴格開展。（二二）明確主管部門的關鍵作用，加速行業數

201、據標準化管理與數據資源整合明確主管部門的關鍵作用，加速行業數據標準化管理與數據資源整合 由于不同行業所開展的經營活動性質存在差別，不同行業數據處理者處理活動的典型場景、數據類別、敏感程度等存在較大差別，數據處理者依據統一的規則完全自主開展數據分類分級工作仍具備較高難度。因此，行業領域主管機構的組織和引導工作則尤為重要。主管部門需要將分類分級的規則根據行業特性進行明確細化，所提供的不應僅是原則性的要求。在 規則提供的框架和附錄 G 的基礎上，各行業領域的主管部門可結合本行業現行的數據處理活動情況，制定行業數據分類分級標準規范：根據數據的分級要素，明確本行業領域核心數據和重要數據識別的具體細則，明

202、確所涉及的范圍，形成本行業領域核心數據、重要數據的推薦性目錄，為行業內數據處理者提供劃分依據說明；57 制定本行業領域數據處理者對自身核心數據、重要數據目錄的報送和管理要求，明確未按規定開展工作的后果；發布可落地的指南性文件，組織引導本行業本領域的數據分類分級工作，為數據處理者提供必要的支持和指導，引導數據處理者完成有效自查、管理和報送。結合本次發布的規則，各行業領域主管部門亦能夠以數據為切入點，加快本行業的數據標準化治理工作，形成行業數據目錄資源清單，推動本行業信息化、標準化發展，串聯打通行業上下游產業鏈，從而借助行業內的數據合作提升全行業的生產經營效率。（三三）銜接數據要素價值釋放制度，進

203、一步夯實數據要素流通交易的機制基礎銜接數據要素價值釋放制度，進一步夯實數據要素流通交易的機制基礎 本次規則的發布，也與“數據二一條”和“數據要素”三年行動計劃（20242026年）等數據要素統一市場建設方面的國家政策進行了有效聯動，數據處理者在 規則指引下開展數據分類分級工作有助于其結合自身掌握的數據資源，釋放數據要素價值。數據處理者可在基于已開展分類分級工作的成果，根據規則以數據主體為角度的方法對數據進行分類，以呼應“數據二一條”提出的“建立公共數據、企業數據、個人數據的分類分級確權授權制度”要求，并結合數據分級結果明晰組織內部的數據資源結構，從而進一步開展數據資源確權、數據資源入表、數據產

204、品的形成與交易等一系列工作。數據處理者可以在根據規則形成的數據分類分級清單的基礎上進一步判斷不同類別級別的數據是否由自身“合法擁有或控制”、“是否會給企業帶來經濟效益”，更為清晰的界定數據生產、流通、使用過程中各方享有的數據資源持有權、數據加工使用權、數據產品經營權等合法權利，并結合分類分級成果對原始數據進行價值復用與充分利用，推動組織內部的數據資本化等數據要素價值釋放進程。行業主管部門后續也有望結合行業數據分類分級標準，發布數據流通方面的行業標準及指南文件，推薦本行業符合流通要求的數據按照類別、級別流通的工作模式，以及不同類別、級別數據流通時應遵循的安全規則。此舉既可以提升行業內組織開展數據

205、分類分級工作的積極性，又能夠實現有序拓展數據要素應用場景的廣度和深度，基于可開發利用的數據資源打造典型的數據應用場景和流通體系，充分發揮數據要素的“乘數效應”。結語結語 本次規則的發布，與國家“一四五”規劃和數據安全法所提出的“建立數據分類分級保護制度”的相關要求相呼應，其作為通用性的數據分類分級指導框架，有助于各行業領域主管部門在此基礎上制定和更新數據分類分級制度和實施指南，為數據處理者在內部建立和完善數據數據分類分級制度、針對不同類別和級別的數據采取對應的數 58 據保護技術和管理措施提供指導。規則中正式發布的重要數據識別指南也將與促進和規范數據跨境流動規定一同幫助數據處理者識別重要數據，

206、妥善進行數據跨境流動，避免合規風險。開展數據分類分級工作本身不是目的，而是應當據此合理配置數據安全管理資源，作為前置程序有序推進各行業各領域的數據治理工作。對在不同行業、不同業務場景下的差異化數據進行系統的梳理，形成標準化、體系化的數據結構，將有助于推進數據分類分級確權授權使用和市場化流通交易，形成符合數字經濟發展規律的數據要素市場。各行業領域的數據處理者需要結合自身所處行業、業務場景等因素，密切關注配套行業標準和文件的出臺，并根據規則和所處行業的要求建立內部的數據分類分級管理制度，在提升組織數據處理活動安全合規能力、加強對不同類別級別數據安全保護的同時，促進數字經濟生態的建設發展，釋放自身掌

207、握的數據要素價值，實現數據有序流動。59 3.數據跨境傳輸：解讀促進和規范數據跨境流動規定：流動與安全并數據跨境傳輸：解讀促進和規范數據跨境流動規定：流動與安全并重重21 引言引言 以往，數據出境安全評估辦法 等法律法規，雖搭建出數據出境合規監管框架（簡稱“舊框架”），但由于細則規定不夠明確，企業在數據出境時往往需要結合其主體類型、出境數據類型和累計出境的數量等，綜合判斷采取何種數據出境制度（即“申報并通過數據出境安全評估、簽署并備案個人信息出境標準合同（簡稱“SCC”）、獲得個人信息保護認證”的統稱）。自 2023 年 9 月 28 日，國家網信辦（簡稱“網信辦”）發布了規范和促進數據跨境流

208、動規定（征求意見稿）（簡稱“（征求意見稿”）（相關解讀可參考文章構建安全可控、促進發展的數據跨境流動框架：法律與實踐的探索）之日起，社會各界便對數據出境合規措施的選擇展開了廣泛討論。討論最多的話題，例如“直接在境外收集境內自然人個人信息應當直接適用個保法但是否屬于數據出境的范疇？向境外總部傳輸員工個人信息、供應商和客戶聯系人信息是否無需進行SCC備案？向境外傳輸設備運維數據或日志數據等是否需要采取出境制度以及需要采取哪一個具體的合規路徑？”這些均是近半年來客戶在數據跨境傳輸方面最為關注的一些問題。歷經半年，網信辦對于各方的反饋意見（例如，建議說明出境個人信息數量時間計歷經半年，網信辦對于各方的

209、反饋意見（例如，建議說明出境個人信息數量時間計算方式、明確是否需要將擬出境敏感個人信息的數量作為申報數據出境安全評估的考算方式、明確是否需要將擬出境敏感個人信息的數量作為申報數據出境安全評估的考慮因素、明確出境時應當取得個人慮因素、明確出境時應當取得個人“單獨單獨”同意等）進行了細致研判，在同意等）進行了細致研判，在 2023 年年 11 月月 28日在網信辦第日在網信辦第 26 次室務會議審議通過后，終于在次室務會議審議通過后，終于在 2024 年年 3 月月 22 日正式公布了促進日正式公布了促進和規范數據跨境流動規定（簡稱和規范數據跨境流動規定（簡稱“規定規定”），并自頒布之日起施行。）

210、，并自頒布之日起施行。規定對數據出境監管框架進行了細化（新舊框架的對比詳見本文附件表格），相比舊框架，規定進一步放寬了數據跨境流動條件，且相對收窄了數據出境安全評估范圍，把進一步放寬了數據跨境流動條件，且相對收窄了數據出境安全評估范圍，把“促進促進”調整調整到了到了“規范規范”前面前面，釋放出要確保在保障數據安全的前提下，更加關切國家經濟發展，通過便利數據跨境流動，降低企業合規成本，促進服務貿易與數字經濟的大力開展和實施。同日，網信辦也發布了配套指南數據出境安全評估申報指南（第二版）個人信息出境標準合同備案指南（第二版），進一步說明了申報數據出境安全評估、備案個人信息出境標準合同的方式、流程和

211、材料等具體要求。并且，規定明確表示，當數據出境安全評估辦法 個人信息出境標準合同辦法 等相關規定與 規定 有沖突的，相關規定與 規定 有沖突的，以規定為準予以適用以規定為準予以適用。因規定對企業選擇數據出境制度有重大影響，本文結合實踐需求，通過分析加問答的形式來解答企業關切的重點問題。21 作者：孟潔、趙姝、戴暢、田梓儀 60 一、新規下什么行為會被認定為一、新規下什么行為會被認定為“數據出境數據出境”？在討論如何執行規定之前，首先需要明確“數據出境”的定義。網信辦最新發布的 數據出境安全評估申報指南（第二版）個人信息出境標準合同備案指南（第二版）對于“數據出境”的認定標準進行了更新，包括如下

212、情形：（1）數據處理者將在境內運營中收集和產生的數據傳輸至境外；（2）數據處理者收集和產生的數據存儲在境內，境外的機構、組織或者個人可以查詢、調取、下載、導出；（3）符合中華人民共和國個人信息保護法（簡稱個人信息保護法）第三條）符合中華人民共和國個人信息保護法（簡稱個人信息保護法）第三條第二款第二款22情形（包括以向境內自然人提供產品或者服務為目的；分析、評估境內自然人情形（包括以向境內自然人提供產品或者服務為目的；分析、評估境內自然人的行為），在境外處理境內自然人個人信息等其他數據處理活動（新增）。的行為），在境外處理境內自然人個人信息等其他數據處理活動（新增）。據此，除了過往熟悉的“境內數

213、據向境外直接傳輸”、“境內數據被境外訪問或調取”兩種場景之外，今后直接在境外處理境內自然人個人信息的行為也已被確定屬于數據直接在境外處理境內自然人個人信息的行為也已被確定屬于數據出境的范疇出境的范疇。例如，某設立在境外的外國企業面向我國境內用戶提供 App 的下載服務，并且直接收集境內用戶個人信息并處理，則將被認定為該企業的活動涉及個人信息出境。二、二、“重要數據重要數據”出境應當申報安全評估，那么究竟如何認定出境應當申報安全評估，那么究竟如何認定“重要數據重要數據”？一直以來，監管部門明確要求企業對“重要數據”23的出境活動在進行安全風險自評估的基礎上，向網信部門申報數據出境安全評估。（一）

214、（一）“識別識別”與與“認定認定”的義務分配更明確的義務分配更明確 規定第二條首先指出，企業應當按照相關規定識別、申報重要數據企業應當按照相關規定識別、申報重要數據。就在規定 公布的前一天，國家標準 數據安全技術 數據分類分級規則（GB/T 43697-2024）（簡稱“（數據分類分級規則”）正式發布，并將于 2024 年 10 月 1 日起正式實施。該規則吸收并細化了信息安全技術 重要數據識別指南（征求意見稿）的內容，在附錄G 部分明確列舉“重要數據”的 17 項考慮因素以及相應的示例，以供企業參考。盡管如此，在實踐操作過程中，不少企業在自行判斷擬出境數據是否屬于“重要數據”時，還是存在一定

215、的困難和挑戰。對此，規定給出了明確指引，即重要數據的認重要數據的認定以地方和行業主管部門的通知或公開發布為標準。若企業未被相關部門、地區通知處定以地方和行業主管部門的通知或公開發布為標準。若企業未被相關部門、地區通知處理了重要數據，或者相關部門、地區未公開發布的重要數據目錄清單中未包括企業所處理了重要數據，或者相關部門、地區未公開發布的重要數據目錄清單中未包括企業所處理數據的，則企業無需將某類數據作為重要數據申報數據出境安全評估理數據的，則企業無需將某類數據作為重要數據申報數據出境安全評估。一方面，將認定重要數據的艱巨任務從企業身上“移除”，讓對自身數據出境的合規風險有了更加明確 22 第三條

216、 在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動，有下列情形之一的，也適用本法：（一）以向境內自然人提供產品或者服務為目的；（二）分析、評估境內自然人的行為；（三）法律、行政法規規定的其他情形。23 根據數據出境安全評估辦法，重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據。61 的可預見性，減輕了企業的合規壓力，體現出 規定 促進數據流動的初衷；另一方面，這也反向督促各地區、各部門落實 數據安全法 的規定，按照數據分級分類保護要求，加快制定、確定本地區、本部門以及相關行業、領域的重要數據目錄和清單。各地

217、區也正在積極探索建立數據分級分類的保護制度，以確定“重要數據”為目的，同步促進數據跨境流動管理。例如，天津自由貿易試驗區于今年 2 月 5 日率先發布了中國（天津）自由貿易試驗區企業數據分類分級標準規范24，將數據分為 13 大類 40子類，核心、重要、一般三個級別，以此解決企業數據跨境流動政策訴求；上海市政府也于 2 月 3 日印發了上海市落實的實施方案，提出率先制定重要數據目錄25。（二）企業現階段的應對措施（二）企業現階段的應對措施 在期待各行業、各地區、各部門“重要數據”目錄和清單出臺的同時，我們也建議相我們也建議相關企業關企業：依據現有法律法規以及數據分類分級規則等國家標準進行企業內

218、部的數企業內部的數據分級分類制度建設據分級分類制度建設，識別可能涉及的重要數據并采取相應的保護措施。在相關目錄和清單出臺之前，仍應審慎對待本企業的數據出境活動；主動與各地區、行業的主管部與各地區、行業的主管部門溝通門溝通，及時調整數據跨境策略；持續關注持續關注“重要數據重要數據”目錄和清單調整范圍目錄和清單調整范圍，并對企業擬出境數據的合規性進行階段性確認，對未來可能發生的政策變化進行提前預防。三、如何進行三、如何進行“個人信息個人信息”和其他普通數據出境的合規工作？和其他普通數據出境的合規工作？（一）哪些情況下可豁免采?。ㄒ唬┠男┣闆r下可豁免采取“數據出境制度數據出境制度”？為促進數據的自由

219、流動，規定第三條、第四條、第五條、第六條均規定了免予申報安全評估、訂立標準合同、通過個人信息保護認證的特殊場景，如下：1.個人信息過境個人信息過境 根據規定第四條，如果企業在境外收集和產生的個人信息傳輸至境內處理后向如果企業在境外收集和產生的個人信息傳輸至境內處理后向境外提供，處理過程中沒有引入境內個人信息或者重要數據的（新增），不再需要采取境外提供，處理過程中沒有引入境內個人信息或者重要數據的（新增），不再需要采取數據出境制度數據出境制度。這也提示企業，如希望適用該條豁免規定的，則應當注意將從境外收集產生的數據與境內的數據分開存儲、進行物理隔離，防止在處理過程中境內外數據發生混同，進而無法被

220、認定為“個人信息過境”導致無法豁免“安全保障性措施”。2.為訂立、履行個人作為一方當事人的合同所必需為訂立、履行個人作為一方當事人的合同所必需 根據規定第五條第一項，符合“為訂立、履行個人作為一方當事人的合同”的合法性基礎，確需向境外提供個人信息的，不需要采取數據出境制度。為“履行合同所必需”的場景包括跨境購物、跨境寄遞（新增）、跨境匯款、跨境支付（新增）、跨境開戶跨境購物、跨境寄遞（新增）、跨境匯款、跨境支付（新增）、跨境開戶 24 參見天津市商務局官網：https:/ 25 參見上海市人民政府官網：https:/ 62（新增）、機票酒店預訂、簽證辦理、考試服務（新增）（新增）、機票酒店預訂

221、、簽證辦理、考試服務（新增）等需要向境外提供個人信息的情形。例如，消費者投資國際金融產品時，可能需要向境外提供投資人姓名、身份證信息、聯系方式、財務狀況等必要個人信息，在此情況下很可能得以豁免。而哪些信息屬于“確需”的范疇，仍須進一步通過實踐案例進行識別和明確。3.基于人力資源管理所必需而出境員工個人信息基于人力資源管理所必需而出境員工個人信息 根據規定第五條第二項，按照依法制定的勞動規章制度和依法簽訂的集體合同按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理，確需向境外提供本企業內部員工個人信息的，不需要采取數據出境實施人力資源管理，確需向境外提供本企業內部員工個人信息的，不需

222、要采取數據出境制度制度。但是，企業依據本場景豁免采取數據出境制度的，還需在實踐中進一步評估以下問題：例如，如何確定向境外提供員工個人信息的行為是為實施人力資源管理所“確需”的；如何確定特定字段的出境是為實施人力資源管理所“確需”的。4.緊急情況下為保護自然人的生命健康和財產安全緊急情況下為保護自然人的生命健康和財產安全 根據規定第五條第三項，緊急情況下為保護自然人的生命健康和財產安全，確緊急情況下為保護自然人的生命健康和財產安全，確需向境外提供個人信息的，不需要采取數據出境制度需向境外提供個人信息的，不需要采取數據出境制度。例如，某國家發生了突發性疫情，為了挽救受影響的人民群眾的生命安全，某些

223、組織需要將患者的個人信息發送給國際救援機構，以便采取救援措施。但“緊急”到何種程度才可以受豁免，仍然需要通過實踐運用而細化明確。5.特殊場景下的普通數據出境特殊場景下的普通數據出境 企業在實踐中常常會問到這一問題：除了個人信息或者重要數據之外的其他數據，例如外貿數據、營銷數據、設備運維數據等出境是否需要履行數據出境的相關合規義務。規定 第三條相對明確地回應了企業的疑慮，針對下述商業貿易、跨境運輸（新增）、針對下述商業貿易、跨境運輸（新增）、生產制造、學術交流等數據跨境流動頻繁的領域生產制造、學術交流等數據跨境流動頻繁的領域對普通數據（不包含個人信息或者重要數據）采取數據出境制度進行了豁免，旨在

224、促進對外開放。以下，我們通過舉例的方式，對上述場景中涉及的跨境傳輸數據情況進行闡釋。國際貿易國際貿易 例如，當某國內外貿企業向他國出口商品時，需要將關于商品的數量、商品的數量、規格、重量、價值等信息規格、重量、價值等信息發送給進口方，以便幫助各國的海關和貿易伙伴更好地管理和監控這批出口業物的安全交付過程，確保業物能夠按時到達目的地，并保證貿易合規性?？缇尺\輸跨境運輸 例如，在國際貿易過程中，某國內企業在選定國際物流公司后，需要將運輸訂單信息、業運線路、運輸方式、運輸工具、報關信息、在途信息運輸訂單信息、業運線路、運輸方式、運輸工具、報關信息、在途信息以及費用結算信息等以及費用結算信息等必要信息

225、傳輸給業物接收方，以便完成物流運輸配送。這一場景往往和上述“國際貿易”緊密相連，故規定在征求意見稿的基礎上加入了“跨境運輸”的場景。學術合作學術合作 例如，當國內某研究所與其他國家或機構的研究人員合作進行學術研究時，可能需要共享一些數據，包括實驗結果、調查結論、統計數據等實驗結果、調查結論、統計數據等，以便研究人員更好地共享知識、經驗和研究成果，推動國際學術界的合作與交流。但是，需要注意，該場景下的數據出境涉及行業及領域的適 63 用性較寬，某些敏感領域中的數據，即使不屬于個人信息或重要數據，但是否還可能構成“情報”信息等也有待觀察。并且，實踐中如何在學術合作場景中鑒別被共享的學術數據不涉及重

226、要數據或者國家秘密，也是一項技術性很強的工作?？鐕a制造跨國生產制造 例如，一家制造型國企在全球多個國家設有生產基地，在進行產品生產制造和裝配時，一些數據，例如物料庫存管理信息、零部件生產計劃等物料庫存管理信息、零部件生產計劃等，需要從我國出境以支持對生產基地的有效供應鏈管理，使該企業更好地協調和管理其在全球的供應鏈，確保物料的及時供應、使當地生產順利進行。市場營銷市場營銷 例如，一家跨國消費品企業打算進入我國市場或擴大其在中國市場的業務前，需要對我國市場進行分析調研。在這個過程中，該企業必然需要收集和分析市場數據，包括我國各線市場調研報告、同行市場占比分析我國各線市場調研報告、同行市場占比

227、分析數據、消費者行為數據等數據、消費者行為數據等，以了解目標市場的消費者需求、競爭情況、市場趨勢等，從而制定相應的市場營銷策略和計劃。其他普通數據其他普通數據 規定 使用了“等活動”是為了對以上舉例場景以外的不包含個人信息或者重要數據的普通數據進行兜底。然而，如何確定“等活動”的具體范圍？如何確定跨境活動下的數據為普通數據且能夠自由跨境流動而無須采取出境制度？這些細節問題均需要在實踐中進行精準判斷后，逐步形成確定性意見，并由監管機構進一步發布補充性解釋說明。通常一個企業如涉及出境活動的，往往涉及各類業務場景、集團內不同法律實體，并且涉及相關環節、參與方多樣，涉及的數據類型和境外接收方也往往很多

228、，數據出境的鏈條也較為復雜。例如，在市場營銷場景下，企業往往會針對特定個人信息主體進行精準營銷，也包括利用去標識化處理后的數據對某類人群包進行定向分析和營銷，另外還有些不包括個人信息或重要數據的普通數據（例如 aggregative data）。企業若要適用豁免機制，則需要首先準確地判斷擬出境的數據是否已經全部達到個人信息匿名化的處理要求。因此，如何識別擬出境的數據是否“不屬于個人信息或重要數據”，仍需在實踐中進一步探索合規落地標準，也建議企業與監管機構保持溝通或關注其他相關新規出臺，或者咨詢專業律師以獲取對不明確問題的指導與解釋。6.未列入未列入“自貿區負面清單自貿區負面清單”的數據的數據

229、規定 設計了“自貿區負面清單”的機制自由貿易試驗區在國家數據分類分級自由貿易試驗區在國家數據分類分級保護制度框架下，可以自行制定區內需要納入數據出境安全評估、個人信息出境標準合保護制度框架下，可以自行制定區內需要納入數據出境安全評估、個人信息出境標準合同、個人信息保護認證管理范圍的數據清單同、個人信息保護認證管理范圍的數據清單（簡稱“負面清單”），并經省級網絡安全和信息化委員會批準后報國家網信部門、國家數據管理部門備案，以簡化數據出境機制。據此，如果企業位于自貿區內，向境外提供負面清單以外的數據，可以免予申報數如果企業位于自貿區內，向境外提供負面清單以外的數據，可以免予申報數據出境安全評估、訂

230、立個人信息出境標準合同、通過個人信息保護認證據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。但需要注意的是，在自貿區負面清單出臺前，注冊在自貿區內企業的數據出境活動仍需要按照國家數據出境安全管理有關規定執行。64 以上海自貿區和臨港新片區近期的數據跨境流動管理動態為例。上海市人民政府于2024 年 2 月 3 日印發了上海市落實的實施方案，提出制定重要數據目錄、探索建立合法安全便利的數據跨境流動機制、在臨港新片區建立數據跨境服務中心等措施之后，臨港新片區于 2024 年 2 月 8 日編制發布了中國（上海）自由貿易試驗區臨港新片區數據跨境流動分類分級管理辦法（試行），規定了重要

231、數據目錄和一般數據清單的管理要求；企業對于在一般數據清單內的數據，向管委會進行申請備案后，可自由流在一般數據清單內的數據，向管委會進行申請備案后，可自由流動動26。其思路是通過建立其思路是通過建立“正面清單正面清單”，推動規定落地和鼓勵符合要求的轄區內數據，推動規定落地和鼓勵符合要求的轄區內數據進行自由跨境傳輸。進行自由跨境傳輸。此外，上海自貿區和臨港新片區已基本編制完成智能網聯汽車車輛遠程診斷、公募基金市場投研信息、跨國公司集團管理、生物醫藥臨床試驗和研發等 20 個場景的跨境流動分級分類的首批清單目錄，在完成論證后將于近期對外發布。27 我們建議設立在自貿區的企業時刻關注自貿區發布數據出境

232、負面清單的最新動向，及時了解自身所在的自貿區是否為企業設置了數據跨境流通的便利通道（例如“白名單”機制），并及時學習并遵守相關規定，由此確保企業既符合數據出境合規性，又享受自貿區內順暢進行數據跨境流通的優惠待遇，降低數據出境的合規成本和業務壓力。（二）無法豁免的情形下，數據出境應當采取哪種（二）無法豁免的情形下，數據出境應當采取哪種“數據出境制度數據出境制度”？如果數據出境不屬于上文中提及的可以豁免的業務情形，根據規定第五條第四項、第七條第二項和第八條，針對擬向境外提供個人信息的一般企業，應當根據如下標準判斷自身應當采取的數據出境制度：1.自當年當年 1 月月 1 日起累計向境外提供不滿日起累

233、計向境外提供不滿 10 萬人個人信息萬人個人信息（不含敏感個人信息）的，免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證；2.自當年當年 1 月月 1 日起累計向境外提供日起累計向境外提供 10 萬人以上、不滿萬人以上、不滿 100 萬人個人信息萬人個人信息（不含敏感個人信息）或者不滿不滿 1 萬人敏感個人信息萬人敏感個人信息的，應當依法與境外接收方訂立個人信息出境標準合同或者通過個人信息保護認證；3.自當年當年1月月1日起累計向境外提供日起累計向境外提供100萬人以上個人信息萬人以上個人信息（不含敏感個人信息）或者 1 萬人以上敏感個人信息萬人以上敏感個人信息，應通過

234、所在地省級網信部門向國家網信部門申報并通過數據出境安全評估。關于采取何種數據出境制度的判斷標準，此前數據出境安全評估辦法的著眼點在自上一年度起已出境的自上一年度起已出境的個人信息主體數據量，以及企業作為個人信息處理者已處理的已處理的 26 參見中國（上海）自由貿易試驗區臨港新片區管理委員會官網：https:/ 27 在 3 月 6 日一四屆全國人大二次會議上海代表團舉行開放團組會議上，全國人大代表、臨港新片區黨工委副書記袁國華接受外媒采訪時說明的內容，參見觀察者網報道：https:/ 65 數據存量數據存量28。征求意見稿不再談論“過往”，重點關注預計未來一年內預計未來一年內擬出境的個人信息主

235、體數據量29。相較之下，（規定 則在（規定 則在“過往過往”和和“未來未來”之間選擇了一條之間選擇了一條“立足當下立足當下”的的折中路徑折中路徑-從當年從當年 1 月月 1 日起向境外提供的個人信息主體數據量加總作為判斷標準日起向境外提供的個人信息主體數據量加總作為判斷標準，不再要求企業進行“預判”，從而降低企業與監管各自的工作難度。規定 也優化調整了可以采取豁免數據出境制度的人數判定閾值：相較于此前 征求意見稿提出的“不滿 1 萬人”，規定將這個數字提升到“不滿 10 萬人”，加大了企業可相對自由地向境外傳輸個人信息的空間。另一方面，規定也將需要申報數據出境安全評估的門檻從數據出境安全評估辦

236、法項下的“10 萬人以上個人信息”提升到“100 萬人以上個人信息”，但敏感個人信息數量保持在 1 萬人以上需要申請數據出境安全評估不變，但起始點卻從去年 1 月 1 日起統一變為自當年 1 月 1 日起。因此也僅為適度收窄了數據出境安全評估的范圍，減輕企業一部分負擔。此外，規定的出臺厘清了征求意見稿中有關個人信息出境方面的幾個重要問題，為企業判斷采取何種數據出境制度提供了更為細化、明確的標準：敏感個人信息出境情況是否需要考慮在內？敏感個人信息出境情況是否需要考慮在內？規定給出的答案是：需要。并且以當年規定給出的答案是：需要。并且以當年 1 月月 1 日起累計滿日起累計滿 1 萬人敏感個人信息

237、萬人敏感個人信息作為須申請出境安全評估的門檻標準。作為須申請出境安全評估的門檻標準。征求意見稿的文本未對個人信息、敏感個人信息進行了區分只統一討論個人信息（不管是否包含敏感個人信息）出境人數這種情況。而規定則回歸到數據出境安全評估辦法的思路，將“敏感個人信息”對應的擬出境的自然人數量納入與個人信息所對應的當年擬出境人數并列關注的范圍，并以自并以自當年當年 1 月月 1 日起累計向境外提供日起累計向境外提供“1 萬人以上敏感個人信息萬人以上敏感個人信息”作為須申請數據出境安全作為須申請數據出境安全評估的閾值標準評估的閾值標準。既存在豁免情形，但由于向境外提供個人信息的人數超出既存在豁免情形，但由

238、于向境外提供個人信息的人數超出 10 萬人而需要完成萬人而需要完成數據出境制度時，該如何處理？數據出境制度時，該如何處理？企業可能會問到，如果其符合規定第五條第二項“為實施跨境人力資源管理”的豁免條件，但該企業出境的員工人數超過 10 萬人而不滿 100 萬人的，是否仍需要完成個人信息標準合同備案或通過個人信息保護認證；倘若出境個人信息的人數超過 100 萬人時是否仍須申報安全評估？28 根據數據出境安全評估辦法，一般企業向境外提供個人信息時需要申報數據出境安全評估的情形包括：（i）處理 100 萬人以上個人信息的；（ii）自上年 1 月 1 日起累計向境外提供 10 萬人個人信息的；或（ii

239、i）自上年 1 月 1日起累計向境外提供 1 萬人敏感個人信息的。29 根據征求意見稿第五條、第六條：（i）預計一年內向境外提供 1 萬人以下個人信息的一般企業，將豁免數據出境安全評估申報、標準合同備案或個人信息保護認證；（ii）預計一年內向境外提供 1 萬人以上不滿 100 萬人個人信息的一般企業，需要進行標準合同備案或個人信息保護認證，可以不申報數據出境安全評估；（iii）預計一年內向境外提供 100 萬人及以上個人信息的一般企業，需要申報數據出境安全評估。66 規定給出的答案是：否，優先遵從豁免情形規定給出的答案是：否，優先遵從豁免情形。如果存在上文所述豁免數據出境制度的特殊情形（規定第

240、三條、第四條、第五條、第六條規定情形的），從其規定。如何計算當年累計向境外提供的個人信息數據量（如何計算當年累計向境外提供的個人信息數據量（1 萬、萬、10 萬、萬、100 萬）？萬）？規定頒布后國家網信辦答記者問（下稱規定頒布后國家網信辦答記者問（下稱“答記者問答記者問”）明確了如何計數的問題：）明確了如何計數的問題：（1）計算周期為自當年）計算周期為自當年 1 月月 1 日起至申報數據出境安全評估之日。日起至申報數據出境安全評估之日。（2）在數量統計上：）在數量統計上：需要以自然人為單位進行去重，例如涉及出境一個自然人需要以自然人為單位進行去重，例如涉及出境一個自然人的多種個人信息的，記一

241、個自然人；并且的多種個人信息的，記一個自然人；并且屬于上文所述豁免采取數據出境制度的情形屬于上文所述豁免采取數據出境制度的情形（規定第三條、第四條、第五條第一款第一項至第三項、第六條規定情形的），不計（規定第三條、第四條、第五條第一款第一項至第三項、第六條規定情形的），不計入累計數量。入累計數量?！耙烟幚硪烟幚?100 萬人個人信息的個人信息處理者萬人個人信息的個人信息處理者”是否還適用？是否還適用？規定給出的答案是：不再適用。規定給出的答案是：不再適用。過去，根據數據出境安全評估辦法，如果某企業屬于已經處理了 100 萬人以上個人信息的個人信息處理者，即使其只出境了 1 個自然人的個人信息，

242、也需申報數據出境安全評估。規定 已不再強調企業歷史上已處理的個人信息主體數據量（即處理 100萬人以上個人信息），而是限定在某一特定時期內（即自當年 1 月 1 日起至申報數據出境安全評估之日）累計出境的個人信息或敏感個人信息的數量。這將極大減輕有出境業務企業的出境負擔，只要該企業自當年 1 月 1 日起實際出境的個人信息數量少于 100 萬人或敏感個人信息少于 1 萬人的，便可以免于申報數據出境安全評估。（三）數據出境企業應當履行哪些其他合規義務？（三）數據出境企業應當履行哪些其他合規義務？應當注意的是，無論是否存在豁免采取數據出境安全保障措施的情形或人數，規定第一條強調，企業作為個人信息處

243、理者都應當履行個人信息保護法下的個人信企業作為個人信息處理者都應當履行個人信息保護法下的個人信息保護義務以確保數據出境的合規性（新增）息保護義務以確保數據出境的合規性（新增）。包括：1.告知并取得個人單獨同意告知并取得個人單獨同意 除非具有個人信息保護法第一三條第二項至第七項規定的不需取得個人同意的情形，根據個人信息保護法第三一九條的規定，企業應當向個人告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使主體權利的方式和程序等事項，并取得個人的單獨同意。2.進行個人信息保護影響評估進行個人信息保護影響評估 根據個人信息保護法第五一五條的規定，企業應

244、當在個人信息出境前進行個人信息保護影響評估。如果企業在規定出臺前已開展了部分數據出境合規工作（例如出境數據情況摸排和個人信息保護影響評估）的，則建議應繼續進行，并將個人信息保護影響評估報告至少留存三年以備檢查、確保合規。67 3.履行數據安全保護義務履行數據安全保護義務 根據規定第一一條，企業還需要采取技術措施和其他必要措施，保障數據出境的安全，包括通過合同、組織和技術等措施確保境外接收方達到適當的數據安全保護水平30。如果發生或者可能發生數據安全事件的，企業應當采取補救措施，及時向省級以上網信部門和其他有關主管部門報告。四、關鍵信息基礎設施運營者向境外提供重要數據或個人信息需要滿足什么合規四

245、、關鍵信息基礎設施運營者向境外提供重要數據或個人信息需要滿足什么合規要求？要求？規定答記者問重申，關鍵信息基礎設施運營者（簡稱關鍵信息基礎設施運營者（簡稱“CIIO”）的認定仍以）的認定仍以“是是否被通知否被通知”作為標準作為標準。涉及的重要行業和領域的主管部門、監督管理部門負責制定本行業、本領域關鍵信息基礎設施（簡稱“CII”）的認定規則，并由其組織認定本行業、本領域的 CII，且及時將認定結果通知 CIIO。由于 CIIO 數據的泄露、損毀與滅失將對國家安全、社會穩定和個人隱私等產生重大影響，因此規定第七條第一項與網絡安全法第三一七條、個人信息保護法第四一條和數據出境安全評估辦法的相關規定

246、保持一致。如果 CIIO 向境外提供個人信息或重要數據，應通過所在地省級網信部門向國家網信部門申報數據出境安全評估。屬于規定第三條、第四條、第五條、第六條規定情形的，從其規定。雖然目前大多數企業并未被認定為 CIIO，但這些企業需要關注其客戶或合作方是否有可能屬于 CIIO，以及企業在與 CIIO 客戶進行業務活動時，需要特別遵守與對方在跨境數據交互過程中的合規義務。五、違反相關規定會面臨什么處罰？五、違反相關規定會面臨什么處罰？相較于數據出境安全評估辦法和個人信息出境標準合同辦法，規定第一二條規定的罰則相對緩和，給予了數據處理者接受監督、及時整改、消除隱患的機會，對于擬開展數據出境的企業是一

247、大利好消息。針對“拒不改正或者導致嚴重后果的”情況，規定第一二條明確規定將“依法追究法律責任”，即主要追究行政責任（例如 5000 萬元以下或者上一年度營業額 5%以下罰款，直接負責的主管人員和其他直接責任人員擔責等），也可能涉及民事責任甚至刑事責任。征求意見稿中規定的“依法責令其停止數據出境活動，保障數據安全”也必然會在企業受到法律責任的同時被要求。因此，企業應當引起重視，盡早依法依規完成合規工作。六、還有哪些需要注意的程序性事項？六、還有哪些需要注意的程序性事項？30 個人信息保護法第三一八條第三款：個人信息處理者應當采取必要措施，保障境外接收方處理個人信息的活動達到本法規定的個人信息保護

248、標準。68 相比于征求意見稿，規定以及配套發布的數據出境安全評估申報指南（第二版）、個人信息出境標準合同備案指南（第二版）明確了相關程序性事項，在此一并提示企業注意。（一）數據出境安全評估結果有效期是多長？（一）數據出境安全評估結果有效期是多長？規定給出的答案是：首次通過有效期規定給出的答案是：首次通過有效期 3 年，期滿后可以再延年，期滿后可以再延 3 年。年。規定將通過數據出境安全評估結果的有效期由數據出境安全評估辦法中規定的 2 年延長至 3 年（自評估結果出具之日起計算）。同時，增加企業可以申請延長評估結果有效期的規定。有效期屆滿，需要繼續開展數據出境活動且未發生需要重新申報數據出境安

249、全評估情形的，企業可以在有效期屆滿前 60 個工作日內通過所在地省級網信部門向國家網信部門提出延長評估結果有效期申請。經國家網信部門批準，可以延長評估結果有效期 3 年。這意味著，如果企業在首次申報并通過數據出境安全評估后的 3 年內，該企業的數據出境活動仍未觸發需要再次申報數據出境安全評估的情形，則企業數據出境安全評估結果有效期可以延長至 6 年。至于 6 年屆滿后，是否還能繼續延長，規定和答記者問均未給出明確的答復，我們相信后續監管會給出具體標準。（二）已經完成或者正在進行的數據出境安全評估與個人信息出境標準合同備案（二）已經完成或者正在進行的數據出境安全評估與個人信息出境標準合同備案怎么

250、辦？怎么辦？規定答記者問給出的答案是：規定施行前已經通過數據出境安全評估的數規定答記者問給出的答案是：規定施行前已經通過數據出境安全評估的數據出境活動，數據處理者可以根據申報事項繼續開展。據出境活動，數據處理者可以根據申報事項繼續開展。規定施行前未通過或者部分未通過數據出境安全評估，根據規定免予申報數據出境安全評估的數據出境活動，數據處理者可以依法通過訂立個人信息出境標準合同、通過個人信息保護認證等其他途徑向境外提供個人信息。規定施行前已經申報數據出境安全評估、提交個人信息出境標準合同備案，根據規定無需開展上述程序的，數據處理者可以按照原程序進行，也可以向所在地省級網信部門撤回申報、備案。由上

251、可見，在新舊規定兩者的銜接問題上，監管部門采用的是“有利于企業開展數據出境”為原則的監管思路。隨著近年來各省級網信部門咨詢窗口實踐水平的提升，以及 規定 第一二條明確提出各地網信部門應當加強對數據處理者數據出境活動的指導監督，強化事前事中事后全鏈條全領域監管，如果企業有任何疑問，也可咨詢監管。（三）申報與備案提交途徑有無變化？（三）申報與備案提交途徑有無變化？隨著規定的出臺，網信部門也在不斷優化申報和備案的流程。根據數據出境安全評估申報指南（第二版）的新規定，申報數據出境安全評估、備案個人信息出境 69 標準合同的企業可以登錄專設的數據出境申報系統（網址為 https:/）進行操作。根據規定答

252、記者問，申請個人信息保護認證可以登錄個人信息保護認證管理系統（網址為 https:/）。CIIO 或者其他不適合通過數據出境申報系統申報數據出境安全評估的（目前指南中暫未明確“其他”不適合線上申報的范圍），采用線下方式通過所在地省級網信部門向國家網信部門申報數據出境安全評估。指南在數據出境安全評估申報表中設置了勾選重要數據情況一欄，因此我們理解涉及重要數據出境的企業可填寫該申報表進行申報。七、結語七、結語 千呼萬喚始出來的規定堅定地拉開了數據跨境流動規范的新篇章。它確立了旨在促進和規范數據跨境自由流動的全面框架體系，通過多種“豁免場景”的設置以及對“數據出境制度”門檻與流程的優化，釋放出為企業

253、減負的友好信號。（一）非（一）非 CIIO 企業應當根據規定及時評估對現有數據出境合規工作的影響：企業應當根據規定及時評估對現有數據出境合規工作的影響：1.針對重要數據出境的：針對重要數據出境的：未收到通知屬于重要數據的非個人信息，也不屬于國家秘密或者其他規章規定的特殊類型數據的，則按普通數據跨境規則處理。同時，應當關注行業、地區“重要數據”目錄清單發布情況，并且企業應在內部建立健全數據分級分類制度，識別是否存在重要數據出境的情況。如自行評估后發現可能存在處理重要數據的情況，則應及時向主管部門申報或進行主動溝通確認。若被認定為是重要數據的，則任何一條數據出境均應通過數據出境安全評估。2.針對個

254、人信息出境的：針對個人信息出境的：企業應先判斷是否存在五類豁免場景，包括為訂立、履行個人作為一方當事人的合同；實施跨境人力資源管理，確需向境外提供員工個人信息；緊急情況下為保護自然人的生命健康和財產安全，確需向境外提供個人信息；以及，擬出境數據未列入“自貿區負面清單”內。企業應分別統計向境外傳輸個人信息或敏感個人信息當年的總人數，判斷應當采取何種數據出境制度。是否存在少量人數出境的豁免情形，即自當年 1 月 1 日起累計向境外提供不滿 10 萬人個人信息（不含敏感個人信息）。對于不需要實施數據出境安全評估、標準合同備案和個人信息保護認證三類數據出境制度的企業，也需要根據 個人信息保護法 等法律

255、法規，繼續完成“告知-同意”、事前個人信息保護影響評估等合規要求。70 對于仍需要遵循安全評估、標準合同備案或個人信息保護認證路徑的企業，則應繼續按時完成相應的申報、備案或認證工作，準確了解每類數據出境制度的具體要求和流程，并按照相關規定進行操作。3.針對普通數據（非重要數據或個人信息）出境的：針對普通數據（非重要數據或個人信息）出境的：針對國際貿易、跨境運輸、跨國生產制造、學術合作、市場營銷等活動中收集和產生的數據跨境流動豁免采取出境制度。其他普通數據仍需在實踐中進一步探索合規落地標準，但均屬于能自由跨境流動而無須采取出境制度。（二）被通知為（二）被通知為 CIIO 的企業涉及個人信息或重要

256、數據出境的，應依法依規完成數的企業涉及個人信息或重要數據出境的，應依法依規完成數據出境安全評估。據出境安全評估。同時，也建議企業密切關注監管部門后續對于規定的進一步解釋與適用，特別是規定的豁免場景在實踐中的認定情況（包括注冊在自貿區的企業應關注自貿區數據出境負面清單或正面清單），以判斷自身的數據出境情況是否滿足豁免條件，并據此及時調整合規策略，確保企業在數據出境方面符合法規要求。附件：數據出境合規框架的主要變化對比附件：數據出境合規框架的主要變化對比 對比項對比項 舊框架舊框架 征求意見稿征求意見稿 規定規定 重要數據出境 企業擬出境的數據為重要數據的，則應當申報數據出境安全評估。未被相關部門

257、、地區通知或者公開發布為重要數據的，不需要作為重要數據申報數據出境安全評估。企業應當按照相關規定識別、申報重要數據。未被相關部門、地區告知或者公開發布為重要數據的，不需要作為重要數據申報數據出境安全評估。個人信息出境 數據出境安全評估 如果擬出境的數據為個人信息的，滿足以下任一條件時，應當申報數據出境安全評估：（i）處理 100 萬人以上個人信息的；（ii）自上年 1 月 1日起累計向境外提供 10 萬人個人信息的；或（iii）自上年 1 月1 日起累計向境外提供 1 萬人敏感個人信息的。預計一年內向境外提供 100 萬人及以上個人信息的，應當申報數據出境安全評估。自當年1月1日起累計向境外提

258、供100萬人以上個人信息（不含敏感個人信息）或者 1 萬人以上敏感個人信息，應當申報數據出境安全評估。71 對比項對比項 舊框架舊框架 征求意見稿征求意見稿 規定規定 標準合同或認證 如果未滿足上述任一情形的，則可以選擇（i）訂立并備案個人信息保護標準合同，或（ii）通過個人信息安全保護認證后出境個人信息。預計一年內向境外提供 1 萬人以上、不滿 100 萬人個人信息，需要進行標準合同備案或個人信息保護認證，可以不申報數據出境安全評估。自當年1月1日起累計向境外提供 10 萬人以上、不滿 100 萬人個人信息（不含敏感個人信息）或者不滿1萬人敏感個人信息的，應當訂立個人信息出境標準合同或者通過

259、個人信息保護認證?；砻馇樾?N/A 預計一年內向境外提供不滿 1 萬人個人信息的，不需要申報數據出境安全評估、訂立個人信息保護標準合同、通過個人信息保護認證。自當年1月1日起累計向境外提供不滿 10 萬人個人信息（不含敏感個人信息）的，免予申報數據出境安全評估、訂立個人信息保護標準合同、通過個人信息保護認證?；砻獾奶厥鈭鼍?N/A a.個人信息過境；b.為訂立、履行個人作為一方當事人的合同所必需；c.基于人力資源管理所必需的出境員工個人信息；d.緊急情況下為保護自然人的生命健康和財產安全；e.國際貿易、學術合作、跨國生產制造和市場營銷等活動（不包含個人信息或重要數據）；f.未列入“自貿區負面清

260、單”的數據。a.個人信息過境；b.為訂立、履行個人作為一方當事人的合同所必需；c.基于人力資源管理所必需的出境員工個人信息；d.緊急情況下為保護自然人的生命健康和財產安全；e.國際貿易、跨境運輸、學術合作、跨國生產制造和市場營銷等活動（不包含 個 人 信 息 或 重 要 數據）；f.未列入“自貿區負面清單”的數據。CIIO CIIO 向境外提供個人信息或重要數據的，應當依法通過所在地省級網信部門向國家網信部門申報數據出境安全評估。72 4.數據跨境傳輸：解讀粵港澳大灣區（內地、香港）個人信息跨境流動數據跨境傳輸：解讀粵港澳大灣區（內地、香港）個人信息跨境流動標準合同實施指標準合同實施指引引：跨

261、境數據流動創新保障性措施的先行先試：跨境數據流動創新保障性措施的先行先試31 引言引言 2023 年 12 月 13 日，國家互聯網信息辦公室（下稱“國家網信辦”）與香港創新科技及工業局為落實關于促進粵港澳大灣區數據跨境流動的合作備忘錄（下稱“合作備忘錄”）中提出的組織實施粵港澳大灣區（下稱“大灣區”）個人信息跨境標準合同的要求，共同制定了粵港澳大灣區（內地、香港）個人信息跨境流動標準合同實施指引（下稱“實施指引”），并以附件的形式提供了粵港澳大灣區（內地、香港）個人信息跨境流動標準合同（下稱“大灣區標準合同”）與承諾書（模板）供相關主體使用。在 2023 年 6 月 29 日簽署的合作備忘錄

262、公告中，國家網信辦與香港特區政府創新科技及工業局共同提出將在國家數據跨境安全管理制度框架下，建立大灣區數據跨境流動安全規則。本次實施指引適用注冊于/位于大灣區內地部分（廣東省廣州廣東省廣州市、深圳市、珠海市、佛山市、惠州市、東莞市、中山市、江門市、肇慶市市、深圳市、珠海市、佛山市、惠州市、東莞市、中山市、江門市、肇慶市）或者香港特別行政區（下稱“香港特區”）的個人信息處理者及接收方。作為合作備忘錄核心思路的落地舉措，實施指引可以進一步促進大灣區的數據有序高效流動，促進數據作為生產要素在大灣區城市群內充分釋放價值，為大灣區產業發展賦能。一、一、中國數據出境政策現狀中國數據出境政策現狀 1.內地內

263、地 在中華人民共和國網絡安全法 中華人民共和國數據安全法 中華人民共和國個人信息保護法（下稱“（個保法”）三部法律相繼施行后，內地數據出境的基礎合規框架已初步形成。在個人信息跨境流動方面，個保法第三一八條列明了個人信息處理者應采取的三項安全保障措施，即“通過網信部門組織的安全評估”“按照國家網信部門的規定經專業機構進行個人信息保護認證”“按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務”（上述三點合稱為“數據出境保障性措施”）。隨后，為幫助三種出境保障性措施落地，國家網信辦及相關行業監管部門也陸續出臺了一系列部門規章和指南性文件。就“訂立個人信息出境標準合同”而言，根據

264、國家網信辦于 2023 年 2 月 22 日發布的個人信息出境標準合同辦法（下稱“標準合同辦法”）第四條，當個人信息處理者同時符合以下情形時，可以通過訂立標準合同的方式向境外提供個人信息：（一）非關鍵信息基礎設施運營者；31 作者：孟潔、王程、錢星辰、杜暢 73（二）處理個人信息不滿 100 萬人的；（三）自上年 1 月 1 日起累計向境外提供個人信息不滿 10 萬人的；（四）自上年 1 月 1 日起累計向境外提供敏感個人信息不滿 1 萬人的。標準合同辦法以附件的方式提供了個人信息出境標準合同（下稱“內地標準合同”）的文本，且配套出臺了個人信息出境標準合同備案指南（第一版），進一步為標準合同的

265、簽訂和備案提供了指引。順應 2022 年發布的 中共中央 國務院關于構建數據基礎制度更好發揮數據要素作用的意見（下稱“數據二一條”），國家網信辦在 2023 年 9 月 28 日發布了規范和促進數據跨境流動規定（征求意見稿）（下稱“跨境流動規定（征意稿）”），旨在確保數據有序跨境流動的同時降低企業的合規負擔?？缇沉鲃右幎ǎㄕ饕飧澹╇m未正式生效，但對三種數據出境保障性措施的適用邏輯進行了較大的調整更新，同時還提出了豁免采取安全保障措施的一大重點場景，較大程度地降低了個人信息出境合規要求的門檻。2.香港特區香港特區 在個人信息出境的立法方面，中國香港特區頒布的個人資料（私隱）條例（下稱“私隱條例”

266、）在其第 33 條中作出了專門規定。根據該條款，在香港進行或受主要營業地在香港的資料使用者32控制而收集、持有、處理33或使用34的個人資料35將原則上被禁止傳輸至香港以外的地方，除非滿足以下條件：轉移目的地存在與 私隱條例 相似或已經生效的與本條例目的相同的法律；使用者有合理理由認為該目的地存在上述法律；有關的資料當事人36已通過書面方式同意該轉移活動；該使用者有合理理由相信：（i）該項轉移是為避免針對資料當事人的不利行動或減輕該行動的影響而作出的；（ii）獲取資料當事人的書面同意不是切實可行的；及（iii）如獲取書面同意是切實可行的，且資料當事人會給予上述同意；32 私隱條例私隱條例項項下

267、的“資料使用者”：下的“資料使用者”：就個人資料而言，指獨自或聯同其他人或與其他人共同控制該資料的收集、持有、處理或使用的人（具體請參見私隱條例第一部分）。33 私隱條例私隱條例項項下的“下的“個人資料的處理個人資料的處理”：個人資料的修改、新增、刪除或重新排列（無論是否采用自動化或其他方法）（具體請參見私隱條例第一部分）。34 私隱條例私隱條例項項下的“下的“使用”：使用”：包括個人資料的披露或轉移（具體請參見私隱條例第一部分）。35私隱條例項下的私隱條例項下的“個人資料”：個人資料”：指符合以下說明的任何資料（數據）：（a）直接或間接與一名在世的個人有關的；（b）從該資料直接或間接地確定有

268、關的個人身份是切實可行的；及（c）該資料的存在形式使得查閱及處理均是切實可行的（具體請參見私隱條例第一部分）。36 私隱條例項下的私隱條例項下的資料當事人：資料當事人：就個人資料而言，指該資料隸屬的個人（具體請參見私隱條例第一部分）。74 該資料憑借私隱條例第 8 條的規定獲得豁免，包括執行司法職能、個人事務、雇傭等事由；或 該使用者已采取所有合理的預防措施并已作出所有應盡的努力，以確保該資料不會以違反轉移目的地條例的方式被收集、持有、處理或使用。雖然私隱條例第 33 條“限制”個人資料向香港以外的地區進行轉移且迄今已進行了數次修訂更新，但時至今日該條款仍未實施。香港目前也尚未規定數據處理活動

269、達到一定條件時必須采取的數據出境保障性措施，而更多是通過發布推薦性的指引來規范香港個人資料跨境轉移的活動，具體而言：2014 年 12 月，私隱公署發布了保障個人資料：跨境資料轉移指引（簡稱“2014 年指引”），初次提供了用于指導資料跨境轉移的建議合約條文范本，以建議性的方式鼓勵資料使用者采用該指引內的推薦操作模式來保護個人資料。2022 年 5 月，私隱公署發布了跨境資料轉移指引：建議合約條文范本（下稱“2022 年指引”），進一步提供了兩套用于資料跨境傳輸的范本，分別適用兩種不同的跨境數據轉移的情況，即（1）由一名資料使用者轉移予另一個資料使用者，及（2）由一名資料使用者轉移予一名資料處

270、理者，旨在應對愈加嚴格的全球數據保護監管與新型的通信科技對資料跨境轉移帶來的新挑戰。盡管私隱條例第 33 條至今尚未生效，由2014 年指引和2022 年指引構成的建議合約條文范本體系可以幫助香港企業及相關組織更好地開展數據使用和處理活動，使之在日常的經營活動及與其他機構的合作中逐漸調整和適應，在滿足合規要求的同時促進數據自由流動。3.粵港澳大灣區粵港澳大灣區 基于內地和香港分別就個人信息跨境流動實踐的探索，兩地政府在 2023 年 6月 29 日共同簽署了合作備忘錄，以在國家數據跨境安全管理框架下建立大灣區數據跨境流動的安全規則，推動該區域數字經濟產業的高質量發展。在合作備忘錄簽署后，大灣區

271、也在數據出境保障性措施的優化方面開展了部分探索性工作。2023 年 10 月，香港特區行政長官李家超發表行政長官 2023 年施政報告時提到，將在大灣區以先行先試方式，簡化內地個人資料流動到香港的合規安排。2023 年 11 月 1 日，全國信息安全標準化技術委員會進一步制定了網絡安全標準實踐指南粵港澳大灣區跨境個人信息保護要求（征求意見稿），規定了大灣區跨境處理個人信息應遵循的基本原則和保護要求。該標準文件作為實踐指南，雖不具有 75 法律強制性，但仍然為“個人信息保護認證”這一數據出境保障性措施在大灣區的彈性落地提供了實操性指引。本次發布的實施指引則進一步完善了大灣區的數據流動合規實施路徑

272、，有助于將數據作為推動經濟增長的新引擎，促進區域性數字經濟的發展。二、二、實施指引的七大亮點實施指引的七大亮點 本次發布的實施指引及其附件大灣區標準合同，在標準合同辦法及內地標準合同的基礎上，充分考慮了內地和香港兩個不同法域出境政策的要求和大灣區在數字經濟發展方面的重要戰略角色，其創新重點體現在以下七個方面。1.結合政策定位明確適用范圍結合政策定位明確適用范圍 根據香港特區政府資訊科技總監辦公室的說明，大灣區標準合同是一項簡化大灣區中內地地區與香港之間的個人信息跨境37流動合規安排的措施，屬自愿性質，讓兩地的個人及機構按統一范本訂立標準合同，規范合同雙方在個人信息保護方面的責任和義務38。依據

273、實施指引第二條，可以訂立大灣區標準合同的情形包括兩種：由大灣區中的內地地區向香港傳輸個人信息、或由香港向大灣區中的內地地區傳輸個人信息。實施指引同時明確，如果跨境流動的個人信息被其他相關法律文件認定為重要數據時，個人信息出境方無法通過與入境方簽署大灣區標準合同的方式作為數據合規保障路徑實施出境活動。在跨境個人信息數量或出境時間的要求方面，實施指引則沒有具體說明。根據實施指引第四條，通過訂立大灣區標準合同方式跨境提供個人信息的，應當履行標準合同列明的義務責任，并確保在個人信息處理者跨境提供個人信息前，按照個人信息處理者屬地法律法規要求告知個人信息主體或者取得個人信息主體的同意，且不得向大灣區以外

274、的組織、個人提供（包括不得從香港地區再傳輸到其他國家地區）。2.因地制宜因地制宜明確出境適用要求明確出境適用要求 實施指引和大灣區標準合同在法律法規的適用方面，充分考慮了內地和香港的數據保護法律體系的差異。大灣區標準合同在第一條中，基于內地個保法和香港私隱條例，對“個人信息處理者”“個人信息主體”“監管機構”等不同的術語進行了區分解 37 此處“跨境”指的是跨關境：關境以內即適用中華人民共和國海關法及相關關稅制度的區域，也即除港澳臺地區以外的中華人民共和國領土；關境以外，包括中華人民共和國擁有主權的港澳臺地區，和中華人民共和國行使主權的領土范圍以外的國家或地區。38 https:/www.og

275、cio.gov.hk/sc/our_work/business/cross-boundary_data_flow/index.html，最后訪問于 2024年 1 月 11 日。76 釋。而在個人信息識別和合規基礎義務的履行方面，大灣區標準合同也提出了應當按照兩地的法規進行分別確認。在爭議解決方面，大灣區標準合同第八條第四項列明了仲裁機構，在保留了中國國際經濟貿易仲裁委員會、中國海事仲裁委員會的基礎上，更新補充了中國廣州國際仲裁委員會、粵港澳大灣區國際仲裁中心、香港國際仲裁中心三個機構，并將訴訟涉及的管轄機構明確為“內地或者香港”有管轄權的人民法院。在該條第五項也明確了合同的解釋應當按照個人信

276、息處理者屬地相關法律法規的規定進行解釋，且不得與個人信息處理者的權利、義務相抵觸，降低了因合同產生爭議或糾紛而裁判依據不明確造成的解釋不準確性。3.結合實踐要求增加監管主體結合實踐要求增加監管主體 在大灣區標準合同適用的監管部門方面，實施指引第一條及第一一條列明了國家互聯網信息辦公室、廣東省互聯網信息辦公室或者香港特區政府創新科技及工業局、政府資訊科技總監辦公室、香港個人資料私隱專員公署有開展監管活動的權利、責任及義務，明確了內地與香港政府部門有序監管大灣區數據流動活動的監管框架。4.平衡個人信息處理者責任義務平衡個人信息處理者責任義務 雖然個人信息轉移雙方訂立的合同必須嚴格依據大灣區標準合同

277、訂立，不得隨意修改，但個人信息轉移雙方可在不與大灣區標準合同的內容相沖突的前提下就商業行為另定商業合同39。同時，在內地組織或個人作為個人信息處理者時，大灣區標準合同規制的內容與內地標準合同需要履行的義務和應承擔的責任相比之下較少。以訂立標準合同前需要開展的個人信息保護影響評估工作為例，實施指引將重點評估的內容縮減為三項，僅保留：（一）個人信息處理者和接收方處理個人信息的目的、方式等的合法性、正當性、必要性；（二）對個人信息主體權益的影響及安全風險；（三）接收方承諾承擔的義務，以及履行義務的管理和技術措施、能力等能否保障跨境提供的個人信息安全。對照內地標準合同辦法，個人信息處理者根據大灣區標準

278、合同開展個人信息保護影響評估時不再需要重點評估：跨境流動個人信息的規模、范圍、種類、敏感程度；個人信息跨境流動后遭到篡改、破壞、泄露、丟失、非法利用等的 39 https:/www.ogcio.gov.hk/sc/our_work/business/cross-boundary_data_flow/index.html，最后訪問于 2024年 1 月 11 日。77 風險，個人信息權益維護的渠道是否通暢等；接收方所在地區的個人信息保護政策和法規對標準合同履行的影響。上述評估維度的縮減可視作兩地對彼此數據保護立法政策方面的認同，并對兩地在合作機制下對實施指南與大灣區標準合同的靈活更新與調整具備充

279、分的信心。需要注意的是，當位于香港的組織或個人作為個人信息處理者通過簽署 大灣區標準合同的方式向內地傳輸個人信息時，因為大灣區標準合同的規定在較多維度上與內地的要求保持一致，因此香港的組織或個人也應重點關注 個保法等內地法律法規的要求和合同約定以履行合規義務。5.合理減輕接收方合規責任義務合理減輕接收方合規責任義務 在接收方的合規責任義務方面，大灣區標準合同較內地標準合同不僅移除了接收方利用個人信息進行自動化決策時需要履行的責任義務，還移除了接收方應允許個人信息處理者對必要數據文件和文檔進行查閱等方面的相關表述，在保障必要的責任義務的同時完成了合理減負。值得注意的是，與內地標準合同相比，大灣區

280、標準合同在第三條第八項中明確，接收方向同一轄區內的第三方提供個人信息時，僅需滿足確有業務需要、履行告知義務、以及依法征得有效同意并符合合同附錄所列約定的要求，極大提升了個人信息在大灣區內部流通的便捷性。雖然大灣區標準合同相較內地標準合同移除了多項合規要求，值得注意的是，大灣區標準合同在第三條第七項和第八項中，明確了不得向大灣區以外的組織、個人提供根據此合同接收的個人信息（包括個人信息向境外第三方的再傳輸行為），將個人信息跨境流轉的范圍限定在了大灣區。6.強調個人信息主體權利行使保障強調個人信息主體權利行使保障 大灣區標準合同 雖免除了個人信息處理者出境安全保障措施中的部分義務，但依據實施指引第

281、四條第一項的要求，處理者在跨境提供個人信息前仍然應當按照個人信息處理者屬地法律法規要求告知個人信息主體或者取得個人信息主體的同意，保障了個人信息主體知情同意的權利。大灣區標準合同除了強調須同時基于屬地法律法規要求和合同約定保護個人信息主體的相關權利外，其第四條第一項也明確了個人信息主體享有知情權、決定權，有權限制或者拒絕他人對其個人信息進行處理，有權要求查閱、復制、更正、補充、刪除其個人信息，有權要求對其個人信息處理規則進行解釋說明，并可以選擇向個人信息處理者或接收方提出行權請求，同時要求被請求方根據屬地法律要求在合理期限內完成響應。7.基于合同相關方承諾簡化備案手續基于合同相關方承諾簡化備案

282、手續 78 依據實施指南第八條，簽署大灣區標準合同的個人信息處理者及接收方應在標準合同生效之日起 10 個工作日內按照屬地向廣東省互聯網信息辦公室或者香港特區政府資訊科技總監辦公室進行標準合同備案，并提交如下材料：（一）法定代表人身份證件影印件；（二）承諾書（模板見附件 2）；（三）標準合同。與內地標準合同的備案要求相比，大灣區標準合同備案雖然免除了提大灣區標準合同備案雖然免除了提交個人信息保護影響評估報告的義務交個人信息保護影響評估報告的義務，但仍要求企業根據實施指南自主開展個人信息保護影響評估工作并基于評估結果作出合規承諾，因此對于簽訂大灣區標準合同的個人信息處理者來說，開展個人信息保護影

283、響評估更多的是作為加強企業自身風險管理能力的有效工具。大灣區標準合同對于備案程序的簡化一方面為大灣區組織及個人的個人信息跨境流動提供了便利，另一方面也沒有完全放松對相關組織及個人開展個人信息保護影響評估工作的要求。2024 年 1 月 4 日，廣東省互聯網信息辦公室（下稱“廣東省網信辦”）相應發布了關于落實粵港澳大灣區（內地、香港）個人信息跨境流動標準合同實施指引的通知（下稱“落實通知”），適用于粵港澳大灣區內地個人信息處理者及接收方針對大灣區標準合同開展備案工作。在備案材料提交方面，落實通知規定備案工作采取電子版預審與紙質版查驗相結合的方式，并要求企業提供與紙質版材料一致的 PDF 掃描件和

284、 WORD 版電子版材料。具體如下所示：在材料查驗、反饋及后續流程處理方面，落實通知 規定 大灣區標準合同備案流程包括材料提交、材料查驗及反饋備案結果、補充或者重新備案等環節，具體如下所示：79 此外，2023 年 12 月 14 日，香港特區發布了粵港澳大灣區（內地、香港）個人信息跨境流動標準合同備案指南（適用于香港特區）及備案表格40，適用于 大灣區標準合同下位于香港的合同方（不論作為大灣區標準合同下的個人信息處理者或接收方），為香港的組織或個人在備案的實踐開展方面提供了清晰的指引和參考。三、三、實施指引出臺的意義實施指引出臺的意義 在全球數字經濟蓬勃發展和中國“數據二一條”等政策的有力支

285、撐下，盡管跨境流動規定（征意稿）的正式稿尚未發布，但促進數字經濟發展和加速數據要素價值釋放的相關工作已經處于高速推進中。本次實施指引與跨境流動規定（征意稿）第七條的規定遙相呼應，進一步完善了數據跨境傳輸的體系。數據作為基礎生產要素，是推動科技創新和經濟高質量發展的重要動力，大灣區內各城市之間經濟合作開展緊密，城市間的數據跨境流動需求與日俱增。在具有標志性意義的合作備忘錄簽署后，本次發布的實施指引及配套的大灣區標準合同將為大灣區中的內地地區與香港之間的跨境數據流動帶來便利。通過簡化流程和降低合規成本，上述文件有力地推動大灣區內跨境貿易和服務。香港特區政府資訊科技總監辦公室提出，為有序開展大灣區標

286、準合同的落地工作，其將會同廣東省互聯網信息辦公室共同推出配套的便利措施，惠及大灣區內地城市和香港的各行各業。香港地區將組織進行大灣區標準合同便利措施的先行先試，在首階段邀請銀行業、征信業及醫療業企業參與。根據香港特區政府資訊科技總監辦公室的說明，企業參與大灣區標準合同的簽署與備案完全基于自愿原則。若大灣區企業作為個人信息處理者及接收方采 40 https:/www.ogcio.gov.hk/sc/our_work/business/cross-boundary_data_flow/doc/gbascc02_fg_sc.pdf，最后訪問于 2024 年 1 月 11 日。80 用大灣區標準合同，

287、須根據實施指引的要求及相關數據保護法律法規開展合規工作。綜上所述，大灣區企業在開展數據跨境流動活動的過程中應密切關注跨境流動規定（征意稿）的發布情況，并可以在滿足實施指引規定的前提下考慮與區域內的相關方簽署大灣區標準合同以增強出境活動的合規性和便利性，但同時企業也應當注意履行相關的個人信息保護合規義務以避免觸碰監管紅線。81 附錄：附錄：附錄一：標準合同涉及政策文件對比附錄一：標準合同涉及政策文件對比 比較維度比較維度/政策文件政策文件 內地內地 粵港澳大灣區粵港澳大灣區 香港香港 個人信息出境標準合同辦個人信息出境標準合同辦法法 粵港澳大灣區（內地、香港）個人信息粵港澳大灣區（內地、香港）個

288、人信息跨境流動標準合同實施指引跨境流動標準合同實施指引 2022 年跨境資料轉移指引：建議年跨境資料轉移指引：建議合約條文范本合約條文范本 制定原則及背制定原則及背景景 第一條第一條 為了保護個人信息權益，規范個人信息出境活動，根據中華人民共和國個人信息保護法等法律法規，制定本辦法。第一條第一條 為促進粵港澳大灣區個人信息跨境安全有序流動，推動粵港澳大灣區高質量發展，落實中華人民共和國國家互聯網信息辦公室與香港特別行政區政府創新科技及工業局關于促進粵港澳大灣區數據跨境流動的合作備忘錄（以下簡稱備忘錄），國家互聯網信息辦公室、香港特別行政區政府創新科技及工業局共同制定本實施指引。第一部第一部 引

289、言引言 鑒于近年處理個人資料日趨數字化及商業全球化，本地企業（尤其中小企業）在擬定合適的合約條款以實行跨境資料轉移并確保有關資料得到個人資料（隱私）條例（第 486 章）（私隱條例）下要求的相等保障時可能遇到實際困難。同時，隨著信息及通訊科技（包括大資料、云端運算、資料分析）的發展及演進，國際間進行資料轉移所面臨的挑戰和復雜性將會與日俱增。適用范圍適用范圍 第二條第二條 個人信息處理者通過與境外接收方訂立個人信息出境標準合同（以下簡稱標準合同）的方式向中華人民共和國第二條第二條 粵港澳大灣區（內地、香港）個人信息跨境流動標準合同（以下簡稱標準合同，見附件 1）為備忘錄下有關促進粵港澳大灣區個人

290、信息跨境流動的便利措施?；浉郯拇鬄硡^個人信息處理者及接收第一部第一部 引言引言 個人資料隱私專員公署（隱私公署）擬備了兩套跨境資料轉移建議合約條文模板（建議條文模板），分別供兩種不同的跨境資料轉移的情況應用，即（i）由一名 82 比較維度比較維度/政策文件政策文件 內地內地 粵港澳大灣區粵港澳大灣區 香港香港 個人信息出境標準合同辦個人信息出境標準合同辦法法 粵港澳大灣區（內地、香港）個人信息粵港澳大灣區（內地、香港）個人信息跨境流動標準合同實施指引跨境流動標準合同實施指引 2022 年跨境資料轉移指引：建議年跨境資料轉移指引：建議合約條文范本合約條文范本 境外提供個人信息，適用本辦法。方可以

291、按照本實施指引要求，通過訂立標準合同的方式進行粵港澳大灣區內內地和香港之間的個人信息跨境流動。被相關部門、地區告知或者公開發布為重要數據的個人信息除外。個人信息處理者及接收方應注冊于（適用于組織）/位于（適用于個人）粵港澳大灣區內地部分，即廣東省廣州市、深圳市、珠海市、佛山市、惠州市、東莞市、中山市、江門市、肇慶市，或者香港特別行政區。資料使用者轉移予另一名資料使用者；及（ii）由一名資料使用者轉移予一名資料處理者。建議條文模板列舉一般的條款及細則，適用于由一香港機構轉移個人資料至另一境外機構；或兩個均屬香港境外的機構之間的轉移而有關轉移由一名香港資料使用者所控制，借以讓跨境資料轉移的各方能考

292、慮隱私條例就此的相關規管要求，包括附表 1 的保障資料原則（保障資料原則）。通過訂立標準通過訂立標準合同的方式開合同的方式開展個人信息展個人信息出出境活動時應遵境活動時應遵循的原則循的原則 第三條第三條 通過訂立標準合同的方式開展個人信息出境活動，應當堅持自主締約與備案管理相結合、保護權益與防范風險相結合，保障個人信息跨境安全、自由流動。第三條第三條 通過訂立標準合同的方式開展個人信息跨境提供的，應當堅持自主締約與備案管理相結合、保護個人信息權益與防范風險相結合，保障個人信息跨境安全、自由流動。第一部第一部 引言引言 資料使用者在轉移資料到香港境外的同時亦需要確保符合隱私條例的規定，因此資料使

293、用者宜在跨境資料轉移中引入建議條文模板。采用建議條文模板有助顯示資料使用者已采取所有合理的預防措施及作出所有應作出的努 83 比較維度比較維度/政策文件政策文件 內地內地 粵港澳大灣區粵港澳大灣區 香港香港 個人信息出境標準合同辦個人信息出境標準合同辦法法 粵港澳大灣區（內地、香港）個人信息粵港澳大灣區（內地、香港）個人信息跨境流動標準合同實施指引跨境流動標準合同實施指引 2022 年跨境資料轉移指引：建議年跨境資料轉移指引：建議合約條文范本合約條文范本 力，以確保有關資料不會在獲轉移資料一方所屬的司法管轄區以違反私隱條例規定的方式（假如該些活動在香港發生）收集、持有、處理或使用（參見私隱條例

294、第33（2）（f）條下的盡職努力的規定）。當有懷疑或聲稱違反隱私條例要求（包括保障資料原則）的情況出現時，該等因素將會全被納入考慮當中。通過通過訂立標準訂立標準合同方式合同方式開展開展個人信息個人信息出境出境活動的條件活動的條件 第四條第四條 個人信息處理者通過訂立標準合同的方式向境外提供個人信息的，應當同時符合下列情形：（一）非關鍵信息基礎設施運營者；（二）處理個人信息不滿 100萬人的；第四條第四條 按照本實施指引，通過訂立標準合同跨境提供個人信息的，應當履行標準合同列明的義務和責任，包括滿足以下條件：（一）個人信息處理者跨境提供個人信息前，應當按照個人信息處理者屬地法律法規要求告知個人信

295、息主體或者取得個人信息主體的同意；第一部第一部 引言引言 本指引的附表所載列的建議條文范本是供資料使用者（尤其中小企業）使用的建議合約條文，是一個在跨境轉移個人資料方面確保相關個人資料獲足夠的保障的實用方法。建議條文范本分為兩套：A）第一套適用于由一個資料使用者轉移個人資料予另一個資料 84 比較維度比較維度/政策文件政策文件 內地內地 粵港澳大灣區粵港澳大灣區 香港香港 個人信息出境標準合同辦個人信息出境標準合同辦法法 粵港澳大灣區（內地、香港）個人信息粵港澳大灣區（內地、香港）個人信息跨境流動標準合同實施指引跨境流動標準合同實施指引 2022 年跨境資料轉移指引：建議年跨境資料轉移指引：建

296、議合約條文范本合約條文范本（三）自上年 1 月 1 日起累計向境外提供個人信息不滿 10 萬人的；（四）自上年 1 月 1 日起累計向境外提供敏感個人信息不滿1 萬人的。法律、行政法規或者國家網信部門另有規定的，從其規定。個人信息處理者不得采取數量拆分等手段，將依法應當通過出境安全評估的個人信息通過訂立標準合同的方式向境外提供。（二）不得向粵港澳大灣區以外的組織、個人提供。使用者的情況，當中資料轉移者和資料接收者均分別使用有關個人資料作其業務用途（例如，為它們各自的商業活動合作共享資料）（資料使用者轉移資料予資料使用者的建議合約條文范本）。B）第二套適用于由資料使用者轉移個人資料予資料處理者的

297、情況，當中資料接收者只會為資料轉移者指定的用途處理個人資料（例如，一間香港公司訂立使用境外的云端服務的安排）（資料使用者轉移資料予資料處理者的建議合約條文范本）。標準合同訂立標準合同訂立前的個人信息前的個人信息保護影響評估保護影響評估內容內容 第五條第五條 個人信息處理者向境外提供個人信息前，應當開展個人信息保護影響評估，重點評估以下內容：第五條第五條 個人信息處理者按照本實施指引，通過訂立標準合同跨境提供個人信息前，應當開展個人信息保護影響評估，重點評估以下內容：/85 比較維度比較維度/政策文件政策文件 內地內地 粵港澳大灣區粵港澳大灣區 香港香港 個人信息出境標準合同辦個人信息出境標準合

298、同辦法法 粵港澳大灣區（內地、香港）個人信息粵港澳大灣區（內地、香港）個人信息跨境流動標準合同實施指引跨境流動標準合同實施指引 2022 年跨境資料轉移指引：建議年跨境資料轉移指引：建議合約條文范本合約條文范本（一）個人信息處理者和境外接收方處理個人信息的目的、范圍、方式等的合法性、正當性、必要性；（二）出境個人信息的規模、范圍、種類、敏感程度，個人信息出境可能對個人信息權益帶來的風險；（三）境外接收方承諾承擔的義務，以及履行義務的管理和技術措施、能力等能否保障出境個人信息的安全；（四）個人信息出境后遭到篡改、破壞、泄露、丟失、非法利用等的風險，個人信息權益維護的渠道是否通暢等；（五）境外接收

299、方所在國家或者地區的個人信息保護政策和法規對標準合同履行的影響；（一）個人信息處理者和接收方處理個人信息的目的、方式等的合法性、正當性、必要性；（二）對個人信息主體權益的影響及安全風險；（三）接收方承諾承擔的義務，以及履行義務的管理和技術措施、能力等能否保障跨境提供的個人信息安全。86 比較維度比較維度/政策文件政策文件 內地內地 粵港澳大灣區粵港澳大灣區 香港香港 個人信息出境標準合同辦個人信息出境標準合同辦法法 粵港澳大灣區（內地、香港）個人信息粵港澳大灣區（內地、香港）個人信息跨境流動標準合同實施指引跨境流動標準合同實施指引 2022 年跨境資料轉移指引：建議年跨境資料轉移指引：建議合約

300、條文范本合約條文范本（六）其他可能影響個人信息出境安全的事項。標準合同的訂標準合同的訂立立 第六條第六條 標準合同應當嚴格按照本辦法附件訂立。國家網信部門可以根據實際情況對附件進行調整。個人信息處理者可以與境外接收方約定其他條款，但不得與標準合同相沖突。標準合同生效后方可開展個人信息出境活動。第六條第六條 標準合同應當嚴格按照本實施指引附件訂立，合同生效后方可開展個人信息跨境提供。個人信息處理者可以與接收方約定其他條款，但不得與標準合同相沖突。第二部第二部 采用建議合約條文范本采用建議合約條文范本 私隱公署并不預期建議條文范本是轉移及接收資料雙方所采納的協議之全部。雙方在轉移個人資料前，可能在

301、合約安排上需要顧及商業上的考慮。此外，資料使用者通常宜就資料接收者如何處理轉移給它們的個人資料向資料接收者尋求額外及更具體的保證。這些額外保證的例子將會在下文“額外合約措施”中闡述。建議條文范本旨在列舉一般的條款及細則，適用于（i）由一香港機構轉移個人資料至另一境外機構，或（ii）兩個均屬香港境外的機構之間的轉移而有關轉移由一名香港資料使用者所控制，借以考慮私隱條 87 比較維度比較維度/政策文件政策文件 內地內地 粵港澳大灣區粵港澳大灣區 香港香港 個人信息出境標準合同辦個人信息出境標準合同辦法法 粵港澳大灣區（內地、香港）個人信息粵港澳大灣區（內地、香港）個人信息跨境流動標準合同實施指引跨

302、境流動標準合同實施指引 2022 年跨境資料轉移指引：建議年跨境資料轉移指引：建議合約條文范本合約條文范本 例的相關規管要求，尤其附表 1的保障資料原則。建議條文范本可作為實用的基礎，從而便利由香港轉移個人資料至境外地方，使機構能訂立清晰的協議以訂明轉移甚麼個人資料、轉移資料的目的，以及雙方在符合私隱條例規定的前提下于不同范疇的具體責任分配，例如資料保安、管理查閱及改正資料的權利，以及資料接收者向其他司法管轄區或其他接收者繼續轉移有關資料的范圍。機構（尤其中小企業）可在自行制定轉移資料協議時采納建議條文范本，或把這些條文納入更廣泛的服務協議中。機構可自由使用其他在實質上符合私隱條例規定的字詞。

303、建議條文范本是具獨立性 的條文，只要建議條文范本繼續達到其 88 比較維度比較維度/政策文件政策文件 內地內地 粵港澳大灣區粵港澳大灣區 香港香港 個人信息出境標準合同辦個人信息出境標準合同辦法法 粵港澳大灣區（內地、香港）個人信息粵港澳大灣區（內地、香港）個人信息跨境流動標準合同實施指引跨境流動標準合同實施指引 2022 年跨境資料轉移指引：建議年跨境資料轉移指引：建議合約條文范本合約條文范本 實質效果（提供予個人資料的保障與私隱條例所規定的相同，尤如有關個人資料沒有被轉移至香港境外），也可被納入資料轉移者與資料接收者之間較一般性的商業協議中。本指引內的建議條文范本不應被視為符合歐洲聯盟的通

304、用數據保護條例之規定及/或由歐盟委員會頒佈的標準合約條款之替代條文。資料使用者應確保在轉移個人資料至香港以外的其他司法管轄區時，相關個人資料獲足夠的保障。標準合同的備標準合同的備案要求案要求 第七條第七條 個人信息處理者應當在標準合同生效之日起 10 個工作日內向所在地省級網信部門備案。備案應當提交以下材料：（一）標準合同；（二）個人信息保護影響評估報告。第八條第八條 個人信息處理者及接收方應在標準合同生效之日起 10 個工作日內按照屬地向廣東省互聯網信息辦公室或者香港特別行政區政府政府資訊科技總監辦公室進行標準合同備案，提交如下材料：（一）法定代表人身份證件影印件；（二）承諾書（模板見附件

305、2）；/89 比較維度比較維度/政策文件政策文件 內地內地 粵港澳大灣區粵港澳大灣區 香港香港 個人信息出境標準合同辦個人信息出境標準合同辦法法 粵港澳大灣區（內地、香港）個人信息粵港澳大灣區（內地、香港）個人信息跨境流動標準合同實施指引跨境流動標準合同實施指引 2022 年跨境資料轉移指引：建議年跨境資料轉移指引：建議合約條文范本合約條文范本 個人信息處理者應當對所備案材料的真實性負責。（三）標準合同。個人信息處理者及接收方應當對所備案材料的真實性負責。標準合同的訂標準合同的訂立及備案材料立及備案材料 第八條第八條 在標準合同有效期內出現下列情形之一的，個人信息處理者應當重新開展個人信息保護

306、影響評估，補充或者重新訂立標準合同，并履行相應備案手續：（一）向境外提供個人信息的目的、范圍、種類、敏感程度、方式、保存地點或者境外接收方處理個人信息的用途、方式發生變化，或者延長個人信息境外保存期限的；（二）境外接收方所在國家或者地區的個人信息保護政策和法規發生變化等可能影響個人信息權益的；第七條第七條 跨境提供個人信息的目的、范圍、種類、方式，或者接收方處理個人信息的用途、方式發生變化，延長保存期限，以及發生影響或者可能影響個人信息權益其他情況的，個人信息處理者應當重新開展個人信息保護影響評估，補充或者重新訂立標準合同，并履行相應備案手續。/90 比較維度比較維度/政策文件政策文件 內地內

307、地 粵港澳大灣區粵港澳大灣區 香港香港 個人信息出境標準合同辦個人信息出境標準合同辦法法 粵港澳大灣區（內地、香港）個人信息粵港澳大灣區（內地、香港）個人信息跨境流動標準合同實施指引跨境流動標準合同實施指引 2022 年跨境資料轉移指引：建議年跨境資料轉移指引：建議合約條文范本合約條文范本（三）可能影響個人信息權益的其他情形。監管部門的履監管部門的履職要求職要求 第九條第九條 網信部門及其工作人員對在履行職責中知悉的個人隱私、個人信息、商業秘密、保密商務信息等應當依法予以保密，不得泄露或者非法向他人提供、非法使用。第一三條第一三條 有關部門及其工作人員對在履行職責中知悉的個人隱私、個人信息、商

308、業秘密、保密商務信息等應當依法予以保密，不得泄露或者非法向他人提供、非法使用。/違規行為的處違規行為的處置機制置機制 第一條第一條 任何組織和個人發現個人信息處理者違反本辦法向境外提供個人信息的，可以向省級以上網信部門舉報。第一條第一條 任何組織和個人發現個人信息處理者或接收方按照本實施指引進行粵港澳大灣區內的個人信息跨境流動，但不履行本實施指引及標準合同要求的義務和責任的，可以向國家互聯網信息辦公室、廣東省互聯網信息辦公室或者香港特別行政區政府創新科技及工業局、政府資訊科技總監辦公室、香港個人資料私隱專員公署投訴、舉報。收到投訴、舉報的部門發現個人信息跨境活動存在較大安全風險或者發生個人信息

309、第二部第二部 采用建議合約條文范本采用建議合約條文范本 如資料使用者不能證明它已實施良好的資料保障措施，例如包括采納建議條文范本，它們可能要面對潛在的法律責任及聲譽受損。91 比較維度比較維度/政策文件政策文件 內地內地 粵港澳大灣區粵港澳大灣區 香港香港 個人信息出境標準合同辦個人信息出境標準合同辦法法 粵港澳大灣區（內地、香港）個人信息粵港澳大灣區（內地、香港）個人信息跨境流動標準合同實施指引跨境流動標準合同實施指引 2022 年跨境資料轉移指引：建議年跨境資料轉移指引：建議合約條文范本合約條文范本 安全事件的，可以要求個人信息處理者或者接收方整改；需要交由其他執法部門處置的，交由相關部門

310、依法處置。第一一條第一一條 個人信息處理者或接收方在處理個人信息時發生個人信息泄露等安全事件的，應立即采取補救措施，按照屬地通知國家互聯網信息辦公室、廣東省互聯網信息辦公室，或者香港特別行政區政府創新科技及工業局、政府資訊科技總監辦公室、香港個人資料私隱專員公署。監督管理及執監督管理及執法法 第一一條第一一條 省級以上網信部門發現個人信息出境活動存在較大風險或者發生個人信息安全事件的，可以依法對個人信息處理者進行約談。個人信息處理者應當按照要求整改，消除隱患。第九條第九條 個人信息處理者及接收方接受屬地監管機構的監督管理，包括但不限于：（一）根據標準合同第二條第七項及第一項，個人信息處理者答復

311、監管機構的詢問及對合同的義務和責任的履行承擔舉證責任；（二）根據標準合同第三條第一二項，接收方應接受監管機構的監督管理，包括服/92 比較維度比較維度/政策文件政策文件 內地內地 粵港澳大灣區粵港澳大灣區 香港香港 個人信息出境標準合同辦個人信息出境標準合同辦法法 粵港澳大灣區（內地、香港）個人信息粵港澳大灣區（內地、香港）個人信息跨境流動標準合同實施指引跨境流動標準合同實施指引 2022 年跨境資料轉移指引：建議年跨境資料轉移指引：建議合約條文范本合約條文范本 第一二條第一二條 違反本辦法規定的，依據中華人民共和國個人信息保護法等法律法規處理；構成犯罪的，依法追究刑事責任。從監管機構作出的決

312、定以及提供已采取必要行動的證明等；（三）根據標準合同第六條第二項，個人信息處理者解除標準合同時，通知監管機構。第一二條第一二條 以上規定并不影響內地履行個人信息保護職責的部門和香港個人資料私隱專員公署在職責范圍內依法加強個人信息保護和監督管理工作，包括處理與個人信息保護有關的投訴、舉報，調查、處理違法個人信息處理活動等。生效及實施生效及實施 第一三條第一三條 本辦法自 2023 年 6月 1 日起施行。本辦法施行前已經開展的個人信息出境活動，不符合本辦法規定的，應當自本辦法施行之日起 6 個月內完成整改。第一四條第一四條 國家互聯網信息辦公室和香港特別行政區政府創新科技及工業局可以根據實際情況

313、，經協商一致后對本實施指引及附件進行修訂。第一五條第一五條 本實施指引自發布之日起生效。第一部第一部 引言引言 建議條文范本是可自由組合的獨立性條文，也可被納入資料轉移者與資料接收者之間的一般性商業協議中。本指引就建議條文范本的實際效果提供詳細說明，及闡述如何借遵從建議條文范本以提供私隱條例要求的足夠保障 93 比較維度比較維度/政策文件政策文件 內地內地 粵港澳大灣區粵港澳大灣區 香港香港 個人信息出境標準合同辦個人信息出境標準合同辦法法 粵港澳大灣區（內地、香港）個人信息粵港澳大灣區（內地、香港）個人信息跨境流動標準合同實施指引跨境流動標準合同實施指引 2022 年跨境資料轉移指引：建議年

314、跨境資料轉移指引：建議合約條文范本合約條文范本 予個人資料，尤如相關個人資料沒有被轉移至香港境外。即使就跨境資料轉移施加規限的私隱條例第 33 條尚未生效，本指引建議資料使用者（尤其中小企業）采取最佳行事方式作為其資料管治責任的一部份，以保障及尊重資料當事人的個人資料。94 附錄二：標準合同的內容對比附錄二：標準合同的內容對比 比較維度比較維度/政策文件政策文件 個人信息出境標準合同個人信息出境標準合同 粵港澳大灣區（內地、香粵港澳大灣區（內地、香港）個人信息跨境流動標準合港）個人信息跨境流動標準合同同 香港香港-資料資料使用者使用者轉移轉移資料資料予予資料資料使用使用者的建議合約條文模者的建

315、議合約條文模板板 香港香港-資料資料使用者使用者轉移轉移資料資料予予資料資料處處理者的建議合約條理者的建議合約條文模板文模板 訂立基本信息訂立基本信息 為了確保境外接收方處理個人信息的活動達到中華人民共和國相關法律法規規定的個人信息保護標準，明確個人信息處理者和境外接收方個人信息保護的權利和義務，經雙方協商一致，訂立本合同。個人信息處理者：地址：聯系方式：聯系人：職務：境外接收方：地址：聯系方式：聯系人：職務：為促進粵港澳大灣區個人信息跨境安全有序流動，明確個人信息處理者和接收方個人信息保護的權利、義務和責任，經雙方協商一致，訂立本合同。個人信息處理者:地址:聯系方式:聯系人:職務:接收方:地

316、址:聯系方式:聯系人:職務:/95 比較維度比較維度/政策文件政策文件 個人信息出境標準合同個人信息出境標準合同 粵港澳大灣區（內地、香粵港澳大灣區（內地、香港）個人信息跨境流動標準合港）個人信息跨境流動標準合同同 香港香港-資料資料使用者使用者轉移轉移資料資料予予資料資料使用使用者的建議合約條文模者的建議合約條文模板板 香港香港-資料資料使用者使用者轉移轉移資料資料予予資料資料處處理者的建議合約條理者的建議合約條文模板文模板 個人信息處理者與境外接收方依據本合同約定開展個人信息出境活動，與此活動相關的商業行為，雙方【已】/【約定】于 年 月 日訂立（商業合同，如有）。本合同正文根據個人信息出

317、境標準合同辦法的要求擬定，在不與本合同正文內容相沖突的前提下，雙方如有其他約定可在附錄二中詳述，附錄構成本合同的組成部分。（注:個人信息處理者及接收方應注冊于（適用于組織）/位于（適用于個人）粵港澳大灣區內地部分，即廣東省廣州市、深圳市、珠海市、佛山市、惠州市、東莞市、中山市、江門市、肇慶市，或者香港特別行政區）個人信息處理者與接收方依據本合同約定開展個人信息跨境活動，與此活動相關的商業行為，雙方【已】/【約定】于 年 月 日訂立（商業合同，如有）。本合同正文根據中華人民共和國國家互聯網信息辦公室與香港特別行政區政府創新科技 96 比較維度比較維度/政策文件政策文件 個人信息出境標準合同個人信

318、息出境標準合同 粵港澳大灣區（內地、香粵港澳大灣區（內地、香港）個人信息跨境流動標準合港）個人信息跨境流動標準合同同 香港香港-資料資料使用者使用者轉移轉移資料資料予予資料資料使用使用者的建議合約條文模者的建議合約條文模板板 香港香港-資料資料使用者使用者轉移轉移資料資料予予資料資料處處理者的建議合約條理者的建議合約條文模板文模板 及工業局關于促進粵港澳大灣區數據跨境流動的合作備忘錄而擬定，在不與本合同正文內容相沖突的前提下，雙方如有其他約定可在附錄二中詳述，附錄構成本合同的組成部分。定義及釋義定義及釋義 第一條第一條 定義定義 在本合同中，除上下文另有規定外：（一）“個人信息處理者”是指在個

319、人信息處理活動中自主決定處理目的、處理方式的，向中華人民共和國境外提供個人信息的組織、個人。（二）“境外接收方”是指在中華人民共和國境外自個人信息第一條第一條 定義定義 在本合同中，除上下文另有規定外:（一）“個人信息處理者”，就內地而言，是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人;就香港特別行政區而言，亦涵蓋“資料使用者”，即就個人資料而言，指獨自或聯同其他人或與其他1.定義定義 1.1 就這些條文，包括資料轉移一覽表（統稱條文）而言：繼續轉移的接收者的意思載于第4.9 條；隱私條例指個人資料（隱私）條例（第1.定義定義 1.1就這些條文，包括資料轉移一覽表（統稱條文）而

320、言：隱私條例指個人資料（隱私）條例（第486章），或會不時修訂；97 比較維度比較維度/政策文件政策文件 個人信息出境標準合同個人信息出境標準合同 粵港澳大灣區（內地、香粵港澳大灣區（內地、香港）個人信息跨境流動標準合港）個人信息跨境流動標準合同同 香港香港-資料資料使用者使用者轉移轉移資料資料予予資料資料使用使用者的建議合約條文模者的建議合約條文模板板 香港香港-資料資料使用者使用者轉移轉移資料資料予予資料資料處處理者的建議合約條理者的建議合約條文模板文模板 處理者處接收個人信息的組織、個人。（三）個人信息處理者或者境外接收方單稱“一方”，合稱“雙方”。（四）“個人信息主體”是指個人信息所識

321、別或者關聯的自然人。（五）“個人信息”是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。（六）“敏感個人信息”是指一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、人共同控制該資料的收集、持有、處理或使用的人。本合同所稱個人信息處理者為個人信息跨境提供方。（二）“接收方”是指自個人信息處理者處跨境接收個人信息的組織、個人。（三）個人信息處理者或者接收方單稱“一方”，合稱“雙方”。（四）粵港澳大灣區內地個人信息處理者處理的個人信息，按照中華人民共和國個人信息保護法確定;香港特別行政區內個人信息處

322、理者處理的個人信息，按照香港特別行政區個人資料（私隱）條例的“個人資料”確定。486 章），或會不時修訂；準許司法管轄區指資料轉移一覽表所列的地方或轉移的個人資料不時根據這些條文而被使用或處理或持有的任何其他地方；轉移的個人資料指資料轉移一覽表所列的個人資料種類或類別；轉移目的指資料轉移一覽表所列的使用轉移的個人準許司法管轄區指資料轉移一覽表所列的地方或轉移的個人資料不時根據這些條文而被處理或持有的任何其他地方；轉移的個人資料指資料轉移一覽表所列的個人資料種類或類別；轉移目的指資料轉移一覽表所列的處理轉移的個人資料的目的或直接有關的目的；98 比較維度比較維度/政策文件政策文件 個人信息出境標

323、準合同個人信息出境標準合同 粵港澳大灣區（內地、香粵港澳大灣區（內地、香港）個人信息跨境流動標準合港）個人信息跨境流動標準合同同 香港香港-資料資料使用者使用者轉移轉移資料資料予予資料資料使用使用者的建議合約條文模者的建議合約條文模板板 香港香港-資料資料使用者使用者轉移轉移資料資料予予資料資料處處理者的建議合約條理者的建議合約條文模板文模板 宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿一四周歲未成年人的個人信息。（七）“監管機構”是指中華人民共和國省級以上網信部門。（八）“相關法律法規”是指中華人民共和國網絡安全法 中華人民共和國數據安全法 中華人民共和國個人信息保護法

324、中華人民共和國民法典 中華人民共和國民事訴訟法 個人信息出境標準合同辦法等中華人民共和國法律法規。（九）本合同其他未定義術語的含義與相關法律法規規定的含義一致。（五）“個人信息主體”，就內地而言，是指個人信息所識別或者關聯的自然人;就香港特別行政區而言，亦涵蓋“資料當事人”，即就個人資料而言，指屬該資料的當事人的個人。（六）“監管機構”，就內地而言，是指國家互聯網信息辦公室及廣東省互聯網信息辦公室;就香港特別行政區而言，是指香港特別行政區政府創新科技及工業局、政府資訊科技總監辦公室及香港個人資 料私隱專員公署。（七）“相關法律法規”，就內地而言，是指中華人民共和國網絡安全法 中華人民共和國數據

325、安全法 中華人民共和資料的目的或直接有關的目的；建議資料處理條文模板指專員不時就資料使用者跨境轉移個人資料予資料處理者而發出的建議合約條文模板；及 保留時期指資料轉移一覽表指明的保留時期。1.2專員、資料處理者、資料當事人、資料使用者、直接促銷、個人資料、處理保留時期指資料轉移一覽表指明的保留時期；及 分判處理者的意思載于第3.8條。1.2個人資料及處理的意思與隱私條例賦予這些詞語的意思相同。2.釋義釋義 就條文的理解和解釋應按照隱私條例的條文而作出。有關條文的解釋不應存有與隱私條例的相關規定抵觸的可能性。99 比較維度比較維度/政策文件政策文件 個人信息出境標準合同個人信息出境標準合同 粵港

326、澳大灣區（內地、香粵港澳大灣區（內地、香港）個人信息跨境流動標準合港）個人信息跨境流動標準合同同 香港香港-資料資料使用者使用者轉移轉移資料資料予予資料資料使用使用者的建議合約條文模者的建議合約條文模板板 香港香港-資料資料使用者使用者轉移轉移資料資料予予資料資料處處理者的建議合約條理者的建議合約條文模板文模板 國個人信息保護法等法律法規;就香港特別行政區而言，是指個人資料（私隱）條例等法律法規。及使用的意思與隱私條例賦予這些詞語的意思相同。2.釋義釋義 就條文的理解和解釋應按照隱私條例的條文而作出。有關條文的解釋不應存有與私隱條例的相關規定抵觸的可能性。個人信息處理者個人信息處理者的義務的義

327、務 第二條第二條 個人信息處理者的義務個人信息處理者的義務 個人信息處理者應當履行下列義務：（一）按照相關法律法規規定處理個人信息，向境外提供的第二條第二條 個人信息處理者的義務個人信息處理者的義務和責任和責任 個人信息處理者應當履行下列義務和責任:（一）按照屬地相關法律法規及本合同要求處理個人信息，3.資料轉移者的責任資料轉移者的責任 資料轉移者向資料接收者保證及承諾會根據隱私條例為轉移目的把轉移的個人資料轉移予準許司法/100 比較維度比較維度/政策文件政策文件 個人信息出境標準合同個人信息出境標準合同 粵港澳大灣區（內地、香粵港澳大灣區（內地、香港）個人信息跨境流動標準合港）個人信息跨境

328、流動標準合同同 香港香港-資料資料使用者使用者轉移轉移資料資料予予資料資料使用使用者的建議合約條文模者的建議合約條文模板板 香港香港-資料資料使用者使用者轉移轉移資料資料予予資料資料處處理者的建議合約條理者的建議合約條文模板文模板 個人信息僅限于實現處理目的所需的最小范圍。（二）向個人信息主體告知境外接收方的名稱或者姓名、聯系方式、附錄一“個人信息出境說明”中處理目的、處理方式、個人信息的種類、保存期限，以及行使個人信息主體權利的方式和程序等事項。向境外提供敏感個人信息的，還應當向個人信息主體告知提供敏感個人信息的必要性以及對個人權益的影響。但是法律、行政法規規定不需要告知的除外。（三）基于個

329、人同意向境外提供個人信息的，應當取得個人信息主體的單獨同意。涉及不向接收方提供的個人信息僅限于實現處理目的所需的最小范圍。（二）向個人信息主體告知接收方的名稱或者姓名、聯系方式，附錄一“個人信息跨境提供說明”中處理目的、處理方式、個人信息的種類、保存期限、個人信息向同轄區第三方提供的情況，以及行使個人信息主體權利的方式和程序等事項。屬地相關法律法規要求不需要告知的，從其規定。（三）向接收方跨境提供個人信息前，應當按照屬地法律法規要求取得個人信息主體同意。管轄區的資料接收者，唯資料接收者須履行它在這些條文下的責任。101 比較維度比較維度/政策文件政策文件 個人信息出境標準合同個人信息出境標準合

330、同 粵港澳大灣區（內地、香粵港澳大灣區（內地、香港）個人信息跨境流動標準合港）個人信息跨境流動標準合同同 香港香港-資料資料使用者使用者轉移轉移資料資料予予資料資料使用使用者的建議合約條文模者的建議合約條文模板板 香港香港-資料資料使用者使用者轉移轉移資料資料予予資料資料處處理者的建議合約條理者的建議合約條文模板文模板 滿一四周歲未成年人個人信息的，應當取得未成年人的父母或者其他監護人的單獨同意。法律、行政法規規定應當取得書面同意的，應當取得書面同意。（四）向個人信息主體告知其與境外接收方通過本合同約定個人信息主體為第三方受益人，如個人信息主體未在 30 日內明確拒絕，則可以依據本合同享有第三

331、方受益人的權利。（五）盡合理地努力確保境外接收方采取如下技術和管理措施（綜合考慮個人信息處理目的、個人信息的種類、規模、范圍及敏感程度、傳輸的數量和頻率、個人信息傳輸及境外（四）向個人信息主體告知其與接收方通過本合同約定個人信息主體為第三方受益人，如個人信息主體未在 30 日內明確拒絕，則可以依據本合同享有第三方受益人的權利。（五）盡合理的努力確保接收方采取如下技術和管理措施（綜合考慮個人信息處理目的、個人信息的種類、規模、范圍、傳輸的數量 和頻率、個人信息傳輸及接收方的保存期限等可能帶來的個人信息安全風險），以履行本合同約定的義務和責任。（如加密、匿名化、去標識化、訪問控制等技術和管理措施）

332、102 比較維度比較維度/政策文件政策文件 個人信息出境標準合同個人信息出境標準合同 粵港澳大灣區（內地、香粵港澳大灣區（內地、香港）個人信息跨境流動標準合港）個人信息跨境流動標準合同同 香港香港-資料資料使用者使用者轉移轉移資料資料予予資料資料使用使用者的建議合約條文模者的建議合約條文模板板 香港香港-資料資料使用者使用者轉移轉移資料資料予予資料資料處處理者的建議合約條理者的建議合約條文模板文模板 接收方的保存期限等可能帶來的個人信息安全風險），以履行本合同約定的義務：（如加密、匿名化、去標識化、訪問控制等技術和管理措施）（六）根據境外接收方的要求向境外接收方提供相關法律規定和技術標準的副本

333、。（七）答復監管機構關于境外接收方的個人信息處理活動的詢問。（八）按照相關法律法規對擬向境外接收方提供個人信息的活動開展個人信息保護影響評估。重點評估以下內容：1.個人信息處理者和境外接收方處理個人信息的目的、范圍、（六）根據接收方的要求向接收方提供屬地相關法律法規規定和技術標準的副本。（七）答復屬地監管機構關于接收方的個人信息處理活動的詢問。（八）對擬向接收方提供個人信息的活動開展個人信息保護影響評估。重點評估以下內容:1.個人信息處理者和接收方處理個人信息的目的、方式等的合法性、正當性、必要性;2.對個人信息主體權益的影響及安全風險;3.接收方承諾承擔的義務，以及履行義務的管理和技術措施、能力等能否保障跨境提供的個人信息安全。103 比較維度比較維度/政策文件政策文件 個人信息出境標準合同個人信息出境標準合同 粵港澳大灣區（內地、香粵港澳大灣區（內地、香港）個人信息跨境流動標準合港）個