©2023云安全联盟大中华区版权所有1 ©2023云安全联盟大中华区版权所有2@2023云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：(a)本文只可作个人、信息获取、非商业用途；(b)本文内容不得篡改；(c)本文不得转发；(d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 ©2023云安全联盟大中华区版权所有3 ©2023云安全联盟大中华区版权所有4致谢《2023年数据出境合规年鉴》由CSA大中华区隐私与法律保护工作组内专家撰写，感谢以下专家的贡献：工作组联席组长：贡献者：贡献单位：关于研究工作组的更多介绍，请在CSA大中华区官网（https://c-csa.cn/research/）上查看。在此感谢以上专家及单位。如此文有不妥当之处，敬请读者联系CSAGCR秘书处给予雅正!联系邮箱research@c-csa.cn；国际云安全联盟CSA公众号。原浩邢海韬曾令平黄鹏华贺志生杨天识高健凯赵晨曦北京启明星辰信息安全技术有限公司北京神州绿盟科技有限公司 ©2023云安全联盟大中华区版权所有5序言毫无疑问，2023年可称为中国数据跨境监管的元年，这一年初出境评估的“蓬勃”和将近年末的数据出境法律调整“震荡”态势，说明着包括中国在内，数据跨境监管在各种国际和国内因素共同作用下的抉择艰难。尽管如此，作为数据出境的主体，企业需要一种政策和法律的稳定性和预期性，《2023年数据出境合规年鉴》（以下简称“报告”）正是从企业合规视角出发的一次对中国数据跨境法律的整体梳理。报告系统的整理了目前中国数据出境监管的法律制度要求，这一制度呈现为基础法律、规范性文件、标准、指南的立体结构，并从原则到已经具有一定颗粒度的指引，说明监管者规范数据出境活动的良苦用心。同时，这一体系化结构也意味着可解释和可例外的场景虽然很多，包括自贸区等先行先试模式在一定区域范围、数据类型、甚至字段级别的“突破”，但整体上不太可能存在“颠覆性”的规则重塑，因此企业所寻求的稳定性和对出境活动后果的可预期性事实上也是清晰和明确的，大可不必为所谓监管的“不确定性”焦虑。进一步的，报告着力于从已经公开的评估、备案信息中，分析和识别一般规律，包括涉及的行业特征、所在区域的省级网信部门的指导能力、企业对可适用出境路径的定性判断等等，这些抽象的、一般的规律性认识，对未来无论是数据出境的细节考虑，还是常态化的企业数据合规建设应都有启发。当然最为重要的是，需要将CSA大中华区在数据技术和管理中的最佳实践和较优做法注入到数据出境场景，成为数据跨境企业赋能的一部分，在更广阔的全球范围内分享中国数据跨境的监管规则变迁、落地个案的优劣得失，并将全球主要国家的政策法律进行符合中国跨境监管要求的解读和适配。在秉持中立性的原则下加强和推动不同国家跨境监管制度的交流和协调，为繁荣数字经济和贸易活动贡献力量，这也是启动报告工作的初衷和意愿所在。从这一意义上，这份发起于数据跨境监管元年的报告将只是一个起点、一个尝试。在全球视野下报告所涉及的领域和方向仍将有诸多方向的持续性进展，值得每位报告参与者和关注报告的每位读者保持关注，甚至倾注更多力量。李雨航YaleLiCSA大中华区主席兼研究院院长 ©2023云安全联盟大中华区版权所有6目录致谢.......................................................................................................................4序言.......................................................................................................................51、法律规定..........................................................................................................81.1网络安全法、数据安全法..............................................................................81.2数据出境安全评估办法..................................................................................91.3网络安全标准实践指南—个人信息跨境处理活动安全认证规范..............91.4个人信息出境标准合同办法........................................................................102、指南规则........................................................................................................112.1数据出境的路径............................................................................................112.2数据出境安全评估申报指南（第一版）（摘引）....................................122.3重点省（直辖市）基于标准合同签署和备案的指南（概要）................172.4个人信息保护认证实施规则（摘引）........................................................182.5个人信息出境标准合同备案指南（第一版）（摘引）............................203、出境现状........................................................................................................263.1已经通过评估情况........................................................................................263.2已经通过备案的情况....................................................................................344、合规要求与示范.............................................................................................364.1指南文件的一般性规范整理........................................................................364.2如何确定适用评估或备案............................................................................364.3如何认定数据出境行为（活动）................................................................374.4如何识别数据处理者（境内）....................................................................374.5如何确定境外数据接收方............................................................................384.6如何理解数据出境方式的公网和专线........................................................394.7出境链路描述示范（含云）........................................................................404.8确定数据安全负责人的注意事项（境内和境外）....................................414.9出境合同与业务主合同关系及其他注意事项............................................414.10附加考虑：不同行业的重要数据识别与安全进展..................................424.11附加考虑：应当由哪方描述境外数据安全法律政策环境......................43 ©2023云安全联盟大中华区版权所有75、数据安全保障能力.........................................................................................445.1收集................................................................................................................455.2存储................................................................................................................465.3使用................................................................................................................475.4加工................................................................................................................485.5传输................................................................................................................485.6提供................................................................................................................495.7共享................................................................................................................505.8删除................................................................................................................516、有效的资质认证................................................................