一、中国数据出境安全管理制度设计

《问答》首先在第1问对我国的中国数据出境安全管理制度进行了总结。《问答》指出，世界上各国家和地区皆从本地实际出发制定了其数据跨境流动安全管理的法律法规和规则标准。中国的数据出境安全管理制度亦是法律作出的规定。在中国的数据出境安全管理制度中，既适度参考了如欧盟GDPR等法规下的数据出境制度（如标准合同等），也结合中国的实际情况设置了中国特色的相关制度。在《网络安全法》《数据安全法》《个人信息保护法》“三驾马车”的推动下，中国的数据跨境流动安全管理制度有了法律规定的基石。《问答》特别强调了相关规定不是针对所有数据，只限于重要数据和个人信息；其强调保证在华企业因业务需要的数据跨境安全、自由流动，同时对涉及国家安全和公共政策目标的个人信息和重要数据跨境流动进行必要的监管。

国家网信办近年来先后发布了《数据出境安全评估办法》《个人信息出境标准合同办法》《关于实施个人信息保护认证的公告》及配套认证规则。在此前实践的基础上，国家网信办于2024年3月发布了《促进和规范数据跨境流动规定》（“《数据流动规定》”）及更新的《个人信息出境标准合同备案指南（第二版）》《数据出境安全评估申报指南（第二版）》等配套指南文件，在保障业务需要的数据自由流动的同时，也对具体的个人信息和重要数据跨境流动的监管做了更为清晰的安排。目前，数据和个人信息出境，需要通过国家网信部门组织的安全评估（“数据出境安全评估”）、专业机构进行的个人信息保护认证、按照国家网信部门制定的标准合同与境外接收方订立合同（前述程序合称“数据出境程序”）或满足法律、行政法规或者国家网信部门规定的其他条件（如满足前述法规下的豁免条件）。考虑到目前已可通过公开途径查阅数据/个人信息出境的详细规定，本文在此不再赘述。此次发布的《问答》，正是对我国近年来实施的数据出境安全管理制度中部分经验与问题的总结。

二、自贸试验区数据出境负面清单

《问答》的第2问和第3问聚焦于自贸试验区制定的数据出境负面清单。其中，第2问讨论了不同自贸试验区制定数据出境负面清单标准的一致性问题及解决建议。根据《数据流动规定》第6条，自贸试验区可在国家数据分类分级保护制度框架下自行制定区内需要纳入数据出境程序管理范围的数据清单（“负面清单”），自贸试验区内数据处理者向境外提供负面清单外的数据，可以免予申报数据出境程序。

相关负面清单需要经省级网络安全和信息化委员会批准，报国家网信部门、国家数据管理部门备案后实施。《问答》披露，负面清单制定过程中充分征求相关主管部门意见，负面清单备案时国家网信办会同国家数据局对清单进行审核。《问答》此次指出，针对同一领域，如果已经有自贸试验区发布负面清单，其余自贸试验区可以参照执行，不再重复制定。如《问答》所述，从上述措施看，其可以有效确保《数据安全法》等法规对数据实行分类分级保护的制度要求，维持不同自贸试验区的负面清单标准的一致性。近期以来，天津、江苏、北京、上海、海南、浙江等地均发布了其自贸试验区的数据负面清单。

其实，在各个自贸试验区发布其负面清单的过程中，业内均已开始将其相互比较和研判。比如，就医药行业数据而言：2024年8月发布的《中国（北京）自由贸易试验区数据出境管理清单（负面清单）（2024版）》列举了医药行业的负面清单，包括：将(i)一定规模以上的群体诊疗、健康生理状况、医疗救援保障数据、特定药品实验数据等、(ii)一定规模以上特定领域、特定群体、特定区域的生物特征数据、医疗资源数据及(iii)纳入出口管制或技术出口管理事项的数据列为重要数据，并提供了对应的数据基本特征与描述；以及就其罗列的不同场景的个人信息出境设置了采用数据出境安全评估和标准合同/认证的不同“门槛”。其还明确，遗传信息、达到国家有关部门规定的规模或者精度的基因数据构成“重要数据”，但该负面清单仅要求相应履行《实施细则》中第四章规定的“行政许可与备案”义务[1]。而在后期发布的《中国（上海）自由贸易试验区及临港新片区数据出境管理清单（负面清单）（2024版）》（“《上海负面清单》”）等一些自由贸易区的负面清单中，则未将医药行业数据放入负面清单[2]。在实操中，如各自贸试验区存在负面清单的具体适用内容或标准的不同，企业可能会在不同的自贸试验区中挑选，并选择对其更为便捷的可开展个人信息/数据跨境的主体。各个自由贸易区针对同一领域如何参照执行，可能有待实践中的进一步澄清。

《问答》在第3问中指出，国家网信办会同有关部门正在指导各自贸试验区结合各自产业发展特点制定数据出境负面清单，随着更多负面清单的发布实施，覆盖的领域会越来越宽。如《问答》所述，在不同自由贸易区的负面清单中，其列明的数据类别存在一些区域特征。比如，《海南自由贸易港数据出境管理清单（负面清单）（2024版）》中就列入了深海、航天、种业数、旅游、免税品零售业务等几个类别的重要数据和个人信息；《上海负面清单》中列入了再保险、国际航运和商贸领域（零售与餐饮业、住宿业）的重要数据和个人信息；《中国（浙江）自由贸易试验区数据出境管理清单（负面清单）（2024版）》中列入的则是电子商务（企业对企业）行业和清结算行业的重要数据和个人信息。在上述领域中，数据可能既有所不同，又不排除存在一定相互交叉的情况。在不同的区域，相关产业的企业可以据此开展不同的个人信息/数据跨境传输工作。

三、个人信息出境必要性

《问答》的第4问聚焦于如何理解和判断个人信息出境必要性。《问答》引述了《个人信息保护法》的有关规定，包括其第6条规定，“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息”；以及第19条规定，“除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间”。

在《个人信息出境标准合同备案指南（第二版）》中，其在标准合同中即列明个人信息处理者应当履行的义务包括对拟向境外接收方提供个人信息的活动开展个人信息保护影响评估，其评估的内容应包括“个人信息处理者和境外接收方处理个人信息的目的、范围、方式，及其合法性、正当性、必要性”。在《数据出境安全评估申报指南（第二版）》中，其也要求数据出境风险自评估报告中应评估“数据出境及境外接收方处理数据的目的、范围、方式，及其合法性、正当性、必要性”。在过往的标准合同备案和数据出境安全评估程序中，对于其中“必要性”等概念的解读往往多由企业自行理解及在与主管部门的个案沟通中明确，而较少见到官方层面的公开解读。在以往的经验中，一些企业可能会参考《信息安全技术 个人信息安全影响评估指南》（GB/T 39335-2020）中的部分内容予以评估。比如，虽然并非直接针对数据出境，但其第5.1章节是对必要性分析的阐述。又比如，一些企业可能也会参考《信息安全技术 个人信息安全规范》（GB/T 35273-2020）中关于“最小必要”等原则的要求。

此次《答复》明确指出，判断“必要性”的考量因素包括与处理目的直接相关、对个人权益影响最小、限于实现处理目的的最小范围、保存期限为实现处理目的所必要的最短时间等四个方面。以“直接相关”为例，数据出境需要与其真正达到的业务目的有较强的关联性。比如，在跨境医疗诊疗（会诊）环节，因诊疗需求可以向境外传输患者的病例相关数据，但类似境内医疗机构后勤管理目的的数据，如患者的身份证件、缴费情况、家庭住址等信息，则并无跨境诊疗目的的强关联性。再以“最小范围”为例，在跨境电商和物流场景中，可以考虑将跨境传输的数据按字段予以管控。比如，为达成物流运输目的需要跨境传输收件人的姓名和电话，但可能并无必要传输其登记的身份证件、在电商平台保留的支付信息、用户浏览历史等数据。境内处理者在进行个人信息跨境传输时，应结合不同业务场景下前述四个方面的各项因素予以评估。

《答复》还进一步确认，国家网信办在开展数据出境安全评估工作中，将充分考量数据处理者申报事项的业务场景和实际需求，对个人信息出境必要性进行评估，评估要点主要包括出境活动本身的必要性、涉及自然人规模的必要性以及出境个人信息数据项范围的必要性等。比如，在考察出境活动本身的必要性时，可以考量是否使用境内云服务或本地化部署无法满足业务需求及其理由；在考察涉及自然人规模的必要性时，根据业务的不同出境数据的对应人数匹配不同强度的监管，并且仅允许出境的数据仅覆盖当前业务必须的用户数据，避免一次性将全部用户数据/个人信息全量出境的情况；在考察出境个人信息数据项范围的必要性时，做好字段级别的审查，例如在涉及如生物识别、医疗健康等敏感个人信息时应考虑单独论证其必要性。

此外，《问答》还披露，国家网信办会同相关行业主管部门，逐步细化明确具体行业领域的数据出境业务场景以及个人信息出境必要范围，为企业机构数据出境提供更为细化的政策指引。

四、重要数据的识别与出境

《问答》的第5问聚焦于如何识别重要数据，第6问聚焦于重要数据是否意味着不能出境。其中，第5问提及了《网络数据安全管理条例》和《数据安全技术 数据分类分级规则》（GB/T 43697-2024）附录G《重要数据识别指南》等涉及识别重要数据的现有法规和规则。对于重要数据的定义和识别，目前已有一些法规、规则和指南等文件予以讨论，比如下表所述：

《指南》指出，数据处理者可依据相关法律法规、技术标准等识别申报重要数据。《指南》第6问公布了国家网信办完成的数据出境安全评估项目中涉及重要数据出境的相关数据统计。截至2025年3月，国家网信办共完成的298个数据出境安全评估项目中，44个申报项目涉及重要数据。评估结果为不通过的7个，不通过率为15.9%；44个申报项目涉及509个重要数据项，评估后准予出境的重要数据项为325个，占申报数据项总数的63.9%。从上述统计来看，重要数据出境虽存在一定“门槛”，但申报数据出境安全评估并获得通过的案例仍然占到一定比例。

同时，《指南》第6问也重申了《数据流动规定》的规定：数据处理者按照相关规定申报重要数据，未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。从字面理解，数据未被相关部门、地区告知或者公开发布为重要数据的，数据处理者可以豁免数据出境安全评估的义务。不过，《网络数据安全管理条例》第19条规定：网络数据处理者应当按照国家有关规定识别、申报重要数据。企业仍需对相关立法和监管动态保持关注，尤其是如未来各部门及各地就重要数据发布相关重要数据目录，则应相应继续识别其处理和传输的数据，并在必要时根据监管要求及时申报相关法定程序。

五、外资企业参与行业技术标准制定

《问答》的第7问提及了行业技术标准制定的过程中外资企业发挥的作用。目前，在信息安全领域，较为常见的情况是由国家网信办指导全国网络安全标准化技术委员会等专业机构制定行业技术标准。《问答》介绍，目前其委员及下设工作组成员覆盖了一批有代表性的外资企业，其拥有和国内企业机构在标准参与、研讨方面平等的权利义务；此外，标准工作程序公开透明，采取了面向社会公开征集标准需求和标准参编单位、就标准草案面向社会公开征求意见等措施。

在《全国网络安全标准化技术委员会标准制修订工作程序》等文件中，可以发现境内三家及以上的法人单位联合申请即可提出标准项目立项申请，后续再由秘书处组织各项项目审查、评审等工作。在标准起草和征求意见阶段，该程序也要求“标准牵头单位广泛吸收相关单位参与，组建编制组，在工作组的指导下开展标准编制工作”。此外，除书面征求相关部门的意见，秘书处还需要通过全国标准信息公共服务平台和网安标委网站面向社会公开征求意见，征求意见时间一般不少于60天。此外，该程序还规定了围绕国家网络安全工作的痛点、难点、堵点问题的快速程序。

六、集团公司跨境传输个人信息更加便利的渠道

《问答》的第8问提及了集团公司跨境传输个人信息的申报问题。在集团公司的架构中，经常存在同一集团下境内若干关联公司向境外关联公司或总部传输个人信息的情况。早至《个人信息出境标准合同办法》于2023年刚刚发布的时期，部分企业即遇到了此类问题。在部分地区的早期实际操作中，也有个别地区的企业分别按单个境内公司逐次提交备案的情况。此类操作在一定程度上确实对企业数据出境效率造成了影响。不过，在近来的实操中，越来越多的地区已经认可：境内多家子公司如同属一家集团公司且数据出境业务场景相似，可以由集团公司作为申报主体合并申报数据出境安全评估或者备案个人信息出境标准合同。《问答》此次肯定了这一操作。

另一方面，《问答》也披露了国家网信办正在推动出台个人信息出境保护认证相关管理办法，指导第三方专业认证机构对个人信息出境活动进行认证。2022年11月4日，国家市场监督管理总局、国家网信办即联合发布了《关于实施个人信息保护认证的公告》。全国信息安全标准化技术委员会秘书处也分别于2022年6月及2022年12月发布了《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》的v1.0和v2.0版本。不过，截至目前，笔者尚未从公开渠道获悉已开展个人信息跨境处理活动安全认证的机构及其案例。2025年1月，国家网信办又发布了《个人信息出境个人信息保护认证办法（征求意见稿）》（“《认证办法（征）》”），向社会公开征求意见。我们理解，国家网信办正在推动个人信息出境保护认证操作落地的进程。基于《认证办法（征）》，针对个人信息出境活动的个人信息保护认证将由依法设立并经国家市场监督管理部门批准取得个人信息保护认证资质的专业认证机构开展；境外的个人信息处理者申请个人信息出境个人信息保护认证的，应当由其在境内设立的专门机构或者指定代表协助进行申请。根据《问答》的介绍，未来境内企业和境外接收方任意一方通过上述认证后，企业即可在认证范围内开展个人信息出境活动。对于通过认证的跨国集团，其无需分别与各国子公司单独签订个人信息出境标准合同。

七、延长数据出境安全评估结果有效期流程

《问答》的第9问涉及申请延长数据出境安全评估结果有效期的具体流程。《数据出境安全评估办法》自2022年9月生效起已逐渐接近3年，而其原规定的通过数据出境安全评估的结果有效期为2年。部分较早通过数据出境安全评估的项目已逐渐接近这一期限。幸运的是，2024年3月生效的《数据流动规定》已将这一有效期由原来的2年延长至3年，同时明确有效期届满的情况下，数据处理者可以在有效期届满前60个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请，经国家网信部门批准，可以延长评估结果有效期3年。国家网信办已关注到相关企业的有关问题，加快研究延长评估结果有效期的流程，计划通过修订发布相关政策文件的方式予以明确。我们理解，这一制度的落地将有助于相关企业更高效地维护其数据出境合规体系，保障其数据出境安全评估结果的时效性与真实性。

八、结语

我国数据出境安全管理制度相关法规已实施数年，数据出境程序的各项具体规定在实践中也在不断完善。《问答》此次就我国数据出境安全管理制度中各界较为关切的几个问题予以了集中解答，有助于相关企业更好地更新其数据出境合规体系，并完善其数据出境安全管理措施。同时，《问答》也预告了部分规定制定和监管的动态。我们期待着主管部门基于此前的监管实操，制定和实施更为具体的相关规定与指引，以期帮助相关企业更加顺利地开展其数据出境工作。