© 2023 云安全联盟大中华区版权所有1© 2023 云安全联盟大中华区版权所有3© 2023 云安全联盟大中华区版权所有4致谢《2023 年数据出境合规年鉴》由 CSA 大中华区隐私与法律保护工作组内专家撰写,感谢以下专家的贡献:工作组联席组长:贡献者:贡献单位:关于研究工作组的更多介绍,请在 CSA 大中华区官网(https://c- csa.cn/research/) 上查看。在此感谢以上专家及单位。如此文有不妥当之处,敬请读者联系 CSA GCR 秘书处给予雅正! 联系邮箱 research@c-csa.cn;国际云安全联盟 CSA 公众号。原浩邢海韬曾令平黄鹏华贺志生杨天识高健凯赵晨曦北京启明星辰信息安全技术有限公司北京神州绿盟科技有限公司© 2023 云安全联盟大中华区版权所有5序言毫无疑问,2023 年可称为中国数据跨境监管的元年,这一年初出境评估的“蓬勃”和将近年末的数据出境法律调整“震荡”态势,说明着包括中国在内,数据跨境监管在各种国际和国内因素共同作用下的抉择艰难。尽管如此,作为数据出境的主体,企业需要一种政策和法律的稳定性和预期性,《2023 年数据出境合规年鉴》(以下简称“报告”)正是从企业合规视角出发的一次对中国数据跨境法律的整体梳理。报告系统的整理了目前中国数据出境监管的法律制度要求,这一制度呈现为基础法律、规范性文件、标准、指南的立体结构,并从原则到已经具有一定颗粒度的指引,说明监管者规范数据出境活动的良苦用心。同时,这一体系化结构也意味着可解释和可例外的场景虽然很多,包括自贸区等先行先试模式在一定区域范围、数据类型、甚至字段级别的“突破”,但整体上不太可能存在“颠覆性”的规则重塑,因此企业所寻求的稳定性和对出境活动后果的可预期性事实上也是清晰和明确的,大可不必为所谓监管的“不确定性”焦虑。进一步的,报告着力于从已经公开的评估、备案信息中,分析和识别一般规律,包括涉及的行业特征、所在区域的省级网信部门的指导能力、企业对可适用出境路径的定性判断等等,这些抽象的、一般的规律性认识,对未来无论是数据出境的细节考虑,还是常态化的企业数据合规建设应都有启发。当然最为重要的是,需要将 CSA 大中华区在数据技术和管理中的最佳实践和较优做法注入到数据出境场景,成为数据跨境企业赋能的一部分,在更广阔的全球范围内分享中国数据跨境的监管规则变迁、落地个案的优劣得失,并将全球主要国家的政策法律进行符合中国跨境监管要求的解读和适配。在秉持中立性的原则下加强和推动不同国家跨境监管制度的交流和协调,为繁荣数字经济和贸易活动贡献力量,这也是启动报告工作的初衷和意愿所在。从这一意义上,这份发起于数据跨境监管元年的报告将只是一个起点、一个尝试。在全球视野下报告所涉及的领域和方向仍将有诸多方向的持续性进展,值得每位报告参与者和关注报告的每位读者保持关注,甚至倾注更多力量。李雨航 Yale LiCSA 大中华区主席兼研究院院长© 2023 云安全联盟大中华区版权所有6目录致谢....................................................................................................................... 4序言....................................................................................................................... 51、法律规定.......................................................................................................... 81.1 网络安全法、数据安全法.............................................................................. 81.2 数据出境安全评估办法.................................................................................. 91.3 网络安全标准实践指南—个人信息跨境处理活动安全认证规范.............. 91.4 个人信息出境标准合同办法........................................................................ 102、指南规则........................................................................................................ 112.1 数据出境的路径......................
