数据出境FAQs（四）：如何处理申报安全评估与数据本地化的关系？

欢迎点击上方 TMT法律论坛 关注我们

专栏

Law

★

导读

★

随着《数据出境安全评估办法》生效及其指南的发布，触发申报门槛的企业大都在积极地推进着自评估和申报工作。鉴于申报工作是一项崭新的法律要求，企业和监管部门都在探索和积累经验，实操中难免会存在诸多不清晰的问题，我们将通过本FAQs系列栏目，基于法律法规理解、实践案例及多渠道的监管咨询，对焦点问题进行解读和分享。

本期为数据出境FAQs第四期“如何处理申报安全评估与数据本地化的关系？”

需要指出，本FAQs所有内容乃是一家之言，仅供参考，企业的具体行动应当以法律规定、监管要求为准。

往期回顾：

• “境外个人信息处理者（个保法第三条第二款）是否需申报安全评估？”

• 如何识别“重要数据”？

• 如何签署数据跨境传输协议？

如何处理申报安全评估与数据本地化的关系？

按照《数据出境安全评估办法》（以下简称“《办法》”）规定，数据处理者向境外传输重要数据，或传输个人信息达到“100万”“10万”“1万”门槛时，需要向网信办申报安全评估。同时，《网络安全法》《数据安全法》和《个人信息保护法》分别要求关键信息基础设施运营者在境内收集和产生的重要数据和个人信息，达到网信部门规定数量的个人信息处理者在境内收集和产生的个人信息应当存储在境内；其他特殊行业（如汽车、金融等）亦有类似的境内存储要求。

当前，在企业的安全评估申报工作中，如何在准备评估报告时厘清申报安全评估与数据本地化（如适用）的关系，是顺利通过安全评估的关键。

问

《办法》规定的需要申报安全评估的情形，是否会必然触发数据本地化义务？

答

现行法律法规中，并没有明确规定数据出境安全评估与数据本地化之间的必然对应关系。根据某地方网信办咨询口径，公司若触发安全评估申报条件即需要进行申报，通过安全评估即可开展数据出境活动，并不会当然导致数据本地化要求。

但是，如果公司的数据处理活动同时落入现行法律法规所规定的数据本地化要求情形，则需要在申报安全评估过程中对此予以说明，例如在自评估报告中明确描述数据在境内的存储情况、数据传输链路，以及数据本地化方案及进展等。

问

接上问，对于有规定明确要求承担数据本地化义务的数据处理者，在同时触发安全评估申报义务的场景下，应如何协调数据本地化与数据出境安全评估申报工作？

答

综合业界实践和监管咨询的信息，此等数据处理者可参考如下步骤开展工作：

• 本地化整改完成后再申报安全评估：数据处理者可按照适用的法规要求，首先进行数据本地化整改，即将数据存储在境内，例如存储于境内云服务器，或将涉及处理数据的网络系统、硬件设备直接部署在境内，整改完成后再申报安全评估；或者

  
  

• 本地化整改与申报同时进行：考虑到本地化整改的时间要求及申报时间节点限制，数据处理者也可以在本地化整改的同时申报安全评估，但需要在自评估报告中体现数据本地化的具体执行方案及进展，清晰描述数据在境内的存储情况、数据传输链路等。

解读

法律背景

关于“数据本地化”，目前未有明确的定义，一般指出于国家安全、公共利益等考量，对特定数据处理者在境内运营中收集和产生的特定数据施以控制、监管，要求此等数据处理者将该等数据存储于境内。当前我国关于数据本地化的规定散见于法律法规及行业特殊监管要求，大致包括以下情形：

• 法律法规：

  CIIO在境内运营中收集和产生的个人信息和重要数据（《网络安全法》第三十七条，《数据安全法》第三十一条）；

  CIIO和处理个人信息达到国家网信部门规定数量的个人信息处理者在境内收集和产生的个人信息(《个人信息保护法》第四十条）；

  国家机关处理的个人信息（《个人信息保护法》第三十六条）。

  
  

• 行业特殊监管要求：

  其它对特定行业数据的本地存储要求，比如汽车、金融、医疗健康、测绘等。

点击可查看大图

解读

由上图可见，虽然数据出境安全评估的触发情形与数据本地化要求情形有一定重叠，但安全评估触发情形在《办法》规定下更为明确，二者之间并无必然联系。

实务中，对于《办法》规定的需要申报安全评估的情形，是否必然触发数据本地存储的义务，存在争议。核心争议在于，个保法第四十条规定，“处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内”，而《办法》所规定的“100万”门槛，是否构成“国家网信部门规定数量”目前尚无明确的法律法规对此进行确认。

结合监管咨询，虽然目前法律法规并未明确“100万人”处理者的本地化义务，但由于其涉及个人信息量级较大，会引发国家安全和社会公共利益之考虑，仍建议公司在申报安全评估的同时尽快开展数据本地化工作，并在自评估报告中予以体现，以最大程度确保顺利通过安全评估。

相关规范

《网络安全法》第三十七条：

关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

《数据安全法》第三十一条：

关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。

《个人信息保护法》第三十六条：

国家机关处理的个人信息应当在中华人民共和国境内存储；确需向境外提供的，应当进行安全评估。安全评估可以要求有关部门提供支持与协助。

《个人信息保护法》第四十条：

关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

重要提示：

本文仅作为信息性参考，不构成法律意见，不能作为任何行动的依赖。本文中的回复意见可能是不全面的，考虑到监管的不断实践，不排除后续的进一步变化。任何的行动，请以律师的正式意见和监管的意见为准。

作者往期文章推荐

中伦解读

• China’s 3 Data Cross-border Transfer Mechanisms In a Nutshell

• 欲知平直，则必准绳——《数据出境安全评估办法》十四个焦点问题的理解

• 一图读懂《数据出境安全评估办法》

• 网信办发布第一版指南，数据出境安全评估申报流程全梳理

• 首提重要数据识别标准！江苏发布数据出境安全评估申报工作指引

• 中国版标准合同条款揭开面纱，能否成为个人信息出境的通途（一）？

• 中国版标准合同条款揭开面纱，能否成为个人信息出境的通途（二）？

• 关于《个人信息跨境处理活动安全认证规范》十三个焦点问题的理

• 权知轻重，度知长短：如何开展《个人信息保护法》项下的合规审计？

• 数据安全，国之重器——《数据安全法》第三十六条的适用与合规应对

• 测绘合规四问四答：新《通知》下车企如何合规开展测绘活动

• 附导读 | 国标《信息安全技术 网络数据分类分级要求》征求意见

• 附全文及要点 |《医疗卫生机构网络安全管理办法》印发并实施

• 附导读及全文 | 三部门联合发布《互联网弹窗信息推送服务管理规定》

• 数据安全管理（DSM）认证该怎么做？

• 金融数据监管全景分析 | 2022年以来，一行两会都在罚什么？

• 附要点解读及立法趋势 | 修订版《移动互联网应用程序信息服务管理规定》发布

• 从“首例数据合规不起诉案”看企业数据合规风险防控

• 汽车OTA升级备案落地，OTA进入监管时代

• 《2022年钱伯斯全球法律实务指南-中国数据保护与隐私》发布

• “3·15”晚会曝光的四起信息安全案例及数据合规分析

• 《中国金融》刊发：网络安全立法对中概股的影响
  

• 算法推荐新规生效：五大视角厘清算法治理新格局

• 《中伦网络安全与数据保护法律评论2022》在线获取

• 《网络安全审查办法》尘埃落定，境外上市影响几何（上）

• 《网络安全审查办法》尘埃落定，境外上市影响几何（下）

• 网络安全与数据保护2021年度法律观察

• 关于《网络数据安全管理条例（征求意见稿）》的三十四个核心问题（上）

• 关于《网络数据安全管理条例（征求意见稿）》的三十四个核心问题（下）

• 《网络数据安全管理条例（征求意见稿）》发布，赴港上市网络安全审查政策变了吗？

• 《个人信息保护法》正式生效，我们聊聊合规落地中的“五六七”

• 一图读懂《数据出境安全评估办法（征求意见稿）》

• 出版信息｜有关《数据安全法》解读的文章在国际刊物发表

• 网络空间治理升级——从数据治理迈向算法治理 

• 关于《汽车数据安全管理若干规定（试行）》的十个重要问题的理解

• 全景解构《个人信息保护法》，助力企业进入中国个人信息保护新纪元

• 中伦《人工智能知识产权保护和数据合规》文集正式发布

• 明晰人脸识别案件司法裁判规则，推动AI行业规范发展——最高院人脸识别司法解释解读

• 欧盟个人数据传输的两项新工具（SCCs）：历史演变、法律影响和应对策略

• China’s Data Security Law: Analysis and Compliance Guidance

• 九万里风鹏正举 |《数据安全法》已来 企业当如何乘风 —七大合规义务和六项应对策略

• 行业聚焦 | 工信部新规《智能网联汽车生产企业及产品准入管理指南（试行）》解读

• 中伦合伙人受邀撰写《Legal 500 比较法国别指南-中国数据保护与网络安全》（英文）

• 简评《网络直播营销管理办法（试行）》

• 中伦合伙人受邀撰写《2021年钱伯斯全球法律实务指南-中国数据保护与隐私》

• 健康医疗企业IPO数据合规重点问题与应对（上）

• 健康医疗企业IPO数据合规重点问题与应对（下）

• 解读《网络交易监督管理办法》

• 陈际红：数据和算法监管-平台反垄断的核心挑战

域外关注

• 他山之石：企业如何处理个人数据访问权行权请求？

• 系列解读之二：他山之石-如何处理个人数据访问权行权请求？

• 附全文 | 欧盟理事会通过《数字市场法》，强化大型互联网平台监管

• 附信息图 | 新加坡PDPC发布区块链应用和云平台的个人数据保护指引

• 附全文及摘要 | 美国两党两院首次提议联邦统一隐私立法草案

• 附全文及概要 | EDPB公开首个关于跨境认证的指南文本

• 如何识别数据控制者、处理者与共同控制者？法国CNIL发布指南

• 新加坡PDPC发布新工具，实践数据匿名化五步法

• 附问答全文 | 奥地利发布关于Cookie和数据保护的13个Q&A

• 附问答全文 | 欧盟委员会解答标准合同条款（SCCs）相关问题

• 附工具包｜英国ICO发布AI数据保护合规风险评估和管理工具

• 德国DSK发布指南：就电商遵循GDPR给出指引

• AI治理合规：法国发布面向人工智能技术的GDPR合规指南

• 新加坡发布《基础匿名化指南》，提出数据匿名化五步指引

• 美欧就跨大西洋数据隐私框架达成原则性协议（含监管历史演进梳理）

• 欧盟拟推《网络安全条例》和《信息安全条例》

• 欧洲互动广告局发布《后第三方cookie时代指南》：为cookie消亡做好准备

• SEC新规：上市公司信息安全事件应在4天内披露

• 欧盟公布《数据法》提案：旨在消除数据访问障碍、释放数据价值

• 日本个人信息保护委员会发布合规要点

• 欧洲数据监管机构：使用Google Analytics向美国传输数据违反GDPR

• 域外动态｜EDPB将发布访问权指南并就cookie同意设置作出统一解释

• 域外观察｜EDPB新发指南澄清域外适用与数据跨境传输条款间的相互作用

本期编辑：陈瑊 陈煜烺 张媛媛