《网络安全法》第37条数据出境评估要点.docxVIP

《网络安全法》第37条数据出境评估要点

一、《网络安全法》第37条的立法背景与核心要求

（一）数据出境监管的立法动因

随着数字经济全球化进程加速，数据跨境流动成为国际竞争与合作的重要领域。根据中国互联网络信息中心（CNNIC）2023年统计，我国数字经济规模达50.2万亿元，占GDP比重41.5%。在此背景下，《网络安全法》第37条确立了关键信息基础设施运营者（CIIO）数据出境安全评估制度，旨在防范数据跨境流动中的国家安全风险，保护公民个人信息权益。

（二）法律条款的适用范围

第37条明确适用于“关键信息基础设施运营者”在境内收集和产生的“个人信息和重要数据”。根据《关键信息基础设施安全保护条例》，CIIO涵盖能源、金融、交通等12个重要行业领域，具体认定标准由国家网信部门会同国务院相关部门制定。

（三）安全评估的法定地位

该条款将安全评估确立为数据出境的法定前置程序。2022年9月实施的《数据出境安全评估办法》进一步细化评估流程，规定未通过评估的数据出境行为最高可面临100万元罚款，并可能被暂停相关业务。

二、数据出境安全评估的核心要素

（一）数据分类分级管理

评估需依据《数据安全法》确立的分类分级制度。根据国家标准GB/T35273-2020《信息安全技术个人信息安全规范》，重要数据包括影响国家安全、经济运行、社会稳定、公共健康的核心数据。例如，某地图服务商持有的高精度测绘数据即属于禁止出境类别。

（二）风险评估指标体系

评估需覆盖数据规模、敏感程度、传输目的等维度。国家网信办发布的《数据出境风险自评估指南》要求企业从数据接收方的安全保障能力、所在国法律环境等12个指标进行量化评分。以某跨国车企案例显示，其因未充分评估接收方所在国的数据调取法律，导致评估未通过。

（三）安全保护措施验证

企业需证明已采取加密、去标识化等技术措施。根据工信部2023年抽查结果，43%的企业在数据加密强度上未达到《信息安全技术数据出境安全要求》规定的256位加密标准，成为评估未通过的主要技术原因。

三、安全评估的具体实施流程

（一）申报材料的完整性要求

申报主体需提交数据出境风险自评估报告、数据处理协议等8类文件。典型案例显示，某金融机构因未提供数据接收方的安全认证证书，导致材料补正耗时达60个工作日。

（二）技术审查的实操要点

技术审查聚焦数据流向监测能力。国家信息技术安全研究中心披露，审查中发现35%的企业缺乏实时数据出境监测系统，无法满足《数据出境安全评估办法》第18条规定的异常流量识别要求。

（三）评估结果的法律效力

通过评估的有效期最长为3年，期间发生数据种类、规模或接收方变更时需重新申报。2023年某云计算企业因新增数据处理目的未及时申报，被网信部门处以50万元罚款。

四、企业合规建设的实施路径

（一）数据资产全景图谱构建

建议企业参照ISO/IEC38505数据治理标准，建立覆盖数据采集、存储、传输的全生命周期管理体系。某跨国药企的实践表明，完整的资产图谱可使评估准备周期缩短40%。

（二）跨境传输技术方案优化

采用隐私计算、联邦学习等新技术实现数据可用不可见。中国信通院测试显示，基于多方安全计算的跨境模型训练方案，可使数据泄露风险降低78%。

（三）合规人才队伍建设

需培养既懂法律又通技术的复合型人才。根据人社部2023年数据，我国数据合规师缺口达120万人，持证专业人员平均薪资较行业水平高出35%。

结语

《网络安全法》第37条构建的数据出境安全评估体系，体现了统筹安全与发展的治理智慧。随着《数据出境安全评估申报指南（第二版）》等配套规则的出台，企业需建立动态合规机制，在保障数据主权的前提下，积极参与全球数字经济合作。未来评估制度将随技术发展持续优化，为构建可信数据流通环境提供法治保障。