国家网信办出台《数据出境安全评估办法》

2017 年4 月11 日，据人民网信息，国家互联网信息办公室发布关于《个人信息和重要数据出境安全评估办法（征求意见稿）》，明确个人信息数据和重要数据应当在境内存储，因业务需要，确需向境外提供的，应当按照本办法进行安全评估。

《网络安全法》中强调，“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要业务数据应当在境内存储”。此次《数据出境安全评估办法》再次着重强调行业和民生的数据安全，即个人信息。

这里所说的个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

数据评估是网络安全法在云计算时代的延伸

办法明确要求，除非确实必要，个人信息和重要数据不应流出境外。因业务需要，确需向境外提供的，应当按照办法进行安全评估。其中办法规定未征得个人同意个人信息不得出境，对政治、经济、科技、国防等安全带来风险的信息不能出境。这是继《网络安全法》之后，国家对公民数据安全高度重视的再次体现。

从另一个角度来看，这也是网络安全法在云计算时代的延伸。在传统IT 架构时代，通常数据存储在客户机房为主，网络安全更多强调数据的泄露、篡改等以及IT 系统的安全防护。在云计算时代，尤其是公有云蓬勃发展的时代，数据存储是在云运营商机房，若其机房部署在境外，或者其备份系统部署在境外，数据就面临出境问题，这是云计算时代数据安全的新挑战。

哪些是数据出境要重点评估的内容？

（一）数据出境的必要性；

（二）涉及个人信息情况，包括个人信息的数量、范围、类型、敏感程度，以及个人信息主体是否同意其个人信息出境等；

（三）涉及重要数据情况，包括重要数据的数量、范围、类型及其敏感程度等；

（四）数据接收方的安全保护措施、能力和水平，以及所在国家和地区的网络安全环境等；

（五）数据出境及再转移后被泄露、毁损、篡改、滥用等风险；

（六）数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险；

（七）其他需要评估的重要事项。

出境数据存在以下情况之一的，网络运营者应报请行业主管或监管部门组织安全评估：

（一）含有或累计含有50万人以上的个人信息；

（二）数据量超过1000GB；

（三）包含核设施、化学生物、国防军工、人口健康等领域数据，大型工程活动、海洋环境以及敏感地理信息数据等；

（四）包含关键信息基础设施的系统漏洞、安全防护等网络安全信息；

（五）关键信息基础设施运营者向境外提供个人信息和重要数据；

（六）其他可能影响国家安全和社会公共利益，行业主管或监管部门认为应该评估。

什么情况下数据不得出境

（一）个人信息出境未经个人信息主体同意，或可能侵害个人利益；

（二）数据出境给国家政治、经济、科技、国防等安全带来风险，可能影响国家安全、损害社会公共利益；

（三）其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的