【重要数据出境规则】

关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。

【释义】

本条规范的是重要数据的出境管理。

从立法技术上讲，本条属于指示参照性法条，明确了关键信息基础设施运营者在我国境内收集和产生的重要数据的出境管理适用《网络安全法》的相关规定，其他数据处理者所掌握的重要数据的出境安全管理则由国家网信部门会同国务院其他有关部门制定。

《网络安全法》第37条规定关键信息基础设施运营者在中华人民共和国境内收集和产生的个人信息和重要数据需要在境内存储，因业务需要向境外提供的，应当进行安全评估。重要数据的概念首先是由《网络安全法》提出的。本条又将重要数据的出境管理区分为关键信息基础设施运营者掌握的重要数据和其他数据处理者。关键信息基础设施运营者掌握的重要数据的出境需要依据《网络安全法》中的关键信息基础设施安全保护制度，即重要数据原则上需要在境内存储，出境需要安全评估的规定，且只有在符合业务需要的前提下才能出境。这一对关键信息基础设施重要数据的“额外保护”一方面是因为关键信息基础设施在国计民生中的重要地位，需要重点保护。《网络安全法》第31条规定了关键信息基础设施的安全保护制度。公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的，属于关键信息基础设施。关键信息基础设施在网络安全等级保护制度基础之上，实行重点保护。另一方面是由于重要数据自身的重要性。按照《数据安全法》第21条的规定，数据安全保护采取数据分类分级管理制度，重要数据以划定“目录”的方式加强保护。因此，关键信息基础设施运营者针对收集和生产的重要数据的保护需要遵循三重保护义务，第一重是作为数据处理者的一般数据安全保护义务（《数据安全法》第四章），第二重是重要数据的加强保护义务（《数据安全法》第21条），第三重是关键信息基础设施的安全保护义务中涉及重要数据保护的义务（《数据安全法》第30条、第31条）。而对于其他重要数据处理者的数据出境安全管理办法由中央网信办会同主管部门制定。(https://www.daowen.com)

《网络安全法》对重要数据出境管理制度作出了指示性规定，首次提出数据出境安全管理要求。在《网络安全法》实施之后，国家有关部门在《网络安全法》的管理框架下，积极制定配套重要数据出境的管理办法，探索具有中国特色的个人信息和重要数据出境安全管理路径。2017年4月，中央网信办发布了《个人信息和重要数据出境安全评估办法（征求意见稿）》，2017年5月，全国信息安全标准化技术委员会发布国家标准《信息安全技术 数据出境安全评估指南（草案）》。

中央网信办《个人信息和重要数据出境安全评估办法（征求意见稿）》就个人信息和重要数据的出境安全评估工作机制进行了规定。在国家重要数据出境管理制度建设方面，中央层面由中央网信办统筹协调数据出境安全评估工作，指导行业主管部门或监管部门组织开展数据出境评估工作。在行业层面，各行业主管部门或监管部门负责本行业数据出境安全评估工作，定期组织开展本行业数据出境安全检查。自行组织数据出境的安全评估应当成为网络运营者的数据安全保护义务的内容之一。同时，明确规定了需要报请行业主管部门进行安全评估的具体情况。行业主管部门不明确的，则由国家网信部门组织评估。此外，还具体规定了数据不得出境的情形。值得注意的是，《个人信息和重要数据出境安全评估办法（征求意见稿）》将开展数据出境安全评估的义务扩大至所有网络运营者，而本条中数据出境安全评估的规定直接适用于关键信息基础设施运营者，其他重要数据的处理者的数据出境安全管理办法另行规定。这其中暗含了区分主体的双轨制的重要数据出境安全管理制度。直接将关键信息基础设施的重要数据出境安全义务适用于所有的重要数据处理者，并没有体现数据出境安全义务的“梯度”设计，这一简单平移式的管理制度设计的合理性值得商榷。

【关联规定】

《中华人民共和国网络安全法》第37条，本法第30条

（撰稿人：魏露露、赵精武）