【附下载】2025我国数据出境合规指引

本 期 摘 要

• 数据出境安全指引思维导图

• 代表性问题解读

• 相关法律法规

• 负面清单10+领域

• 规范配套10+

相关资料获取

请文末评论留言

数据出境安全管理制度设计

1、法律依据：《网络安全法》《数据安全法》《个人信息保护法》明确数据出境管理框架。

2、针对对象：只限于重要数据和个人信息，对不涉及个人信息或者重要数据的一般数据可以跨境自由流动。

3、出境途径：

• 重要数据：通过数据出境安全评估，不危害国家安全和社会公共利益方可出境；

• 个人信息：通过数据出境安全评估、个人信息保护认证、个人信息出境标准合同等。

4、法规落实配套：

《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》《关于实施个人信息保护认证的公告》及配套认证规则。

数据出境负面清单管理

1.制定依据：数据分类分级保护制度

2.实施流程：经省级网络安全和信息化委员会批准，并报国家网信部门、国家数据管理部门备案后实施。

3.一致性保障：同一领域可参照已有清单，避免重复制定。

4.领域扩展：已完成天津、北京、海南、上海、浙江等多地负面清单备案，覆盖汽车、医药等 众多领域。

5.官方获取渠道：国家互联网信息办公室官网（www.cac.gov.cn）、地方自贸试验区网站

个人信息出境必要性判断

1.法律依据：依据《个人信息保护法》，第六条、第十九条。

2.考量因素：

• 与处理目的直接相关

• 对个人权益影响最小

• 限于实现处理目的的最小范围

• 保存期限为实现处理目的所必要的最短时间等

3.评估要点：

主要包括：

• 出境活动本身必要性

• 涉及自然人规模必要性

• 出境个人信息数据项范围必要性等

重要数据识别与出境规则

1.识别依据：

• 《网络数据安全管理条例》

• 《数据安全技术 数据分类分级规则》（GB/T 43697-2024）附录G《重要数据识别指南》

2.出境条件：重要数据经数据出境安全评估不危害国家安全和社会公共利益的，可出境；未被认定为重要数据的无需申报。

外资企业参与标准制定

1.参与机制：国家鼓励中外企业等各方参与，成为相关工作组成员的外资企业拥有和国内企业机构平等的权利义务，全程参与标准研制各环节并可提出意见和建议。

2.程序透明：通过公开征集参编单位、草案公示等方式，确保各方公平参与。

集团公司便利渠道

1.合并申报：境内子公司属同一集团且业务场景相似，可由集团合并申报数据出境安全评估或备案个人信息出境标准合同。

2.认证机制：推动个人信息出境保护认证，通过认证的跨国集团可在集团内直接开展数据出境，无需单独签订标准合同。

评估结果有效期延长

1.相关依据：《促进和规范数据跨境流动规定》

2.现行规定：评估有效期由 2 年延长至 3 年，届满前 60 个工作日可通过省级网信部门申请延长，批准后有效期可延长 3 年。

《负面清单》外数据出境活动开展

按《网络数据安全管理条例》《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等相关法律法规执行。

《负面清单》和操作指引的关系

1.操作指引与负面清单不一致的地方，以负面清单为准。

2.国家法律法规对数据出境另有规定的，依照其规定执行。

参考来源：

中央网信办、中国(上海)目自由贸易试验区临港新片区管理委员会等

重庆信通设计院：首批上海数据交易所数据安全服务商、首批商用密码检测机构

来源：重庆信通设计院天空实验室