重要数据出境的合规门槛 - 保密网

场景

上周一个做智慧城市项目的技术负责人老孟找到我，说他们给某东南亚国家做智慧交通系统，方案里涉及大量当地交通流量、车牌识别、个人出行轨迹数据。国内要通过服务器把部分数据传回国内做AI训练。

"我们这些数据算出境吗？算重要数据吗？要不要做安全评估？"

老孟问的三连击，恰好是很多企业在"数据出境"问题上最容易卡壳的地方：我的数据到底是不是重要数据？

重要数据到底是什么？

先看法律定义。根据《数据安全法》和《数据出境安全评估办法》，重要数据是指：一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、经济运行、社会稳定、公共健康和安全的数据。

听起来有点抽象？我翻译成人话：普通数据戳到个人利益，重要数据戳到国家和公共利益。

举个例子：一个用户的手机号，泄露了麻烦的是这个用户本人——这是个人信息。一个城市所有交通摄像头的数据，泄露了可能影响城市交通安全管理——这就是重要数据。

重要数据不是由企业自己说了算的。 各行业主管部委已经发布了或正在制定重要数据目录。工业和信息化领域有《工业和信息化领域数据安全管理办法（试行）》，金融业有《金融数据安全 数据安全分级指南》，交通运输、卫生健康等部门也有相应的规则。

重要数据出境的"通关门槛"

如果涉及重要数据出境，合规路径几乎是独立的路——而且很严格。

门槛一：任何重要数据出境，必须走安全评估

《数据出境安全评估办法》第四条首要句话就是："数据处理者向境外提供重要数据，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。"

注意这里没有"多少"的问题。哪怕只有一条重要数据要出境，也必须申报。没有豁免。

门槛二：安全评估的重点审查维度

安全评估把重要数据放在首要位审查。网信办在评估时会重点看：

1. 数据出境的目的、范围、方式是否合法正当
2. 出境的必要性——有没有不出境的选项？
3. 对国家安全、公共利益、个人权益的潜在影响
4. 数据安全保护措施的有效性
5. 与境外接收方的合同约束力

门槛三：重要数据的出境，需要内部审批和外部评估双重门槛

内部需要经过数据安全委员会或类似机构的审批，外部需要通过安全评估。两个门槛缺一不可。

重要数据出境落地的五步走

首要步：建立企业重要数据识别机制

这是所有后续工作的基础。建议按照以下步骤来做：

1. 对照行业主管部门的重要数据目录（梳理好在哪个行业，找对应的目录）
2. 建立企业数据分类分级管理体系
3. 组建数据分类分级工作组，确定重要数据的认定标准和流程
4. 对企业所有数据进行分类分级标识，识别出哪些属于重要数据

这一步很难绕过去。有些企业试图"我不识别＝我没有重要数据"，这种自欺欺人的做法在合规审查中会彻底暴露。

第二步：建立重要数据出境审批流程

内部管理制度要做实。一般包括：

数据出境申请的提交和审核流程
数据安全委员会的审批机制
数据出境的定期审计复核机制
异常情况下的中止出境机制

第三步：开展重要数据出境安全自评估

安全评估申报前，先自己做自评估。重点关注：

数据出境的必要性和目的正当性
境外接收方的安全保障能力评估
数据出境后对国家安全的潜在影响评估
拟采取的加密、脱敏等保护措施的有效性评估

第四步：申报安全评估

通过自评估后，准备正式申报材料。材料包括：

数据出境安全评估申报书
数据出境风险自评估报告
与境外接收方订立的法律文件
数据安全保护措施证明文件
其他必要材料（如业务合作协议、用户告知书等）

第五步：根据评估结果调整方案

安全评估可能通过、不通过或者附条件通过。

如果附条件通过：按照附加条件整改后实施
如果不通过：需要调整出境方案，减少或变更数据出境范围
具体整改后，可能需要重新申报

5个重要数据出境的误区

误区一：我们公司没有重要数据

每个行业都有重要数据的可能性。能源、交通、金融、通信、医疗、教育——几乎每个行业都有自己的重要数据目录。不要想当然地说"没有"，先去做数据分类分级。

误区二：重要数据可以做脱敏/匿名化后出境

不是。重要数据的认定依据的是数据的本质内容和潜在影响，而不是形式。就算做了脱敏，如果数据的内在价值仍然可能影响到国家安全或公共利益，依然属于重要数据。脱敏可以降低风险，但无法改变数据性质。

误区三：重要数据只存在于政府部门和央企

不对。民营企业同样可能持有重要数据。做智慧城市的民营企业、做能源管理的科技公司、做公共卫生数据分析的互联网平台——只要涉及重要数据，合规义务一样重。

误区四：不是CIIO就不用管重要数据

不是。重要数据的出境安全评估与是否CIIO无关。非CIIO企业只要涉及重要数据出境，同样需要安全评估。

误区五：重要数据出境只做一次评估就永远合规

错。评估通过后两年有效期，且如果出境目的、范围、数据种类、接收方、接收方法律环境有变化，都必须重新评估。

常见问题（FAQ）

Q1：我们在某个行业的子公司，母公司认为不是重要数据，算不算？

重要数据的认定以法律和行业主管部委的目录为准，不以企业内部判定为准。如果企业认定"不是重要数据"但实际属于重要数据，出事后企业的法律责任更大。建议严格按照行业目录来判断，不确定性大的主动咨询监管部门。

Q2：企业怎么判断自己的数据是否属于重要数据？

最可靠的方法是：对照行业主管部委发布的重要数据目录。如果找不到明确的目录，建议：首要，向行业主管部门咨询；第二，参照同行业的通行做法；第三，找有资质的数据安全评估机构做差距分析。以上三条建议排列使用，都做好过什么都不做。

Q3：我们准备出境的数据中，混了一部分可能涉及重要数据的数据，怎么办？

先区分清楚。如果确实混入了重要数据，就不能按"非重要数据"的简化路径来走。整个出境行为都要走安全评估。不要试图"拆包"——把重要数据和非重要数据拆开分别出境。如果这种做法被认定是为了规避安全评估，后果更严重。

总结

重要数据出境的底线就一条：申报安全评估，没有例外。

很多企业踩坑，不是不知道这条规矩，而是觉得"认定我是否重要数据说不准"。我建议你换个角度想：宁愿多花三个月的安全评估时间，也不要拿三个月的违规处罚来验证。

企密安为企业提供重要数据识别、安全评估申报、策略制定全流程服务。已有60多家企业的数据出境评估申报经验。有问题随时找我们。

本文由企密安信息安全出品。转载请联系授权，侵权必究。