2、核心法律概念解析:关键信息基础设施(CII)运营者、重要数据与个人信息、数据出境安全评估、标准合同条款(SCC)、认证机制
好,咱们直接进入正题。这一章要啃的硬骨头不少,但都是做数据跨境方案绕不开的「地基」。我当年刚接触《数据安全法》和《个人信息保护法》时,也被这些概念绕得头晕。后来亲手做了几个跨境项目,才慢慢摸清门道。说白了,这些概念不是孤立的法律条文,而是一套环环相扣的合规逻辑。
2.1 关键信息基础设施(CII)运营者——谁在守门?
先聊聊CII运营者。这个概念最早出现在《网络安全法》里,后来《数据安全法》和《个人信息保护法》又给它加了码。什么是CII?官方定义是「公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的信息基础设施」。
嗯,这里要注意:不是所有企业都是CII运营者。我见过不少客户自己吓自己,觉得公司业务涉及点金融数据就算CII了。其实不然,得看行业主管部门的认定。比如金融行业,央行和银保监会会有具体的认定标准。
核心要点:
- CII运营者承担更重的数据安全保护义务
- 重要数据和个人信息出境,原则上要过安全评估
- 每年至少进行一次安全检测评估
我在项目中遇到过一家能源企业,他们被认定为CII运营者后,才发现自己之前的数据跨境传输流程完全不合规。整改花了整整半年,代价不小。所以,先确认自己是不是CII运营者,这是第一步。
2.2 重要数据与个人信息——数据分类分级的核心
这两个概念经常被混为一谈,但法律上区别很大。个人信息好理解,就是能识别特定自然人的信息,比如姓名、身份证号、手机号、住址、生物识别信息等。重要数据则更宽泛,指的是「一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、经济运行、社会稳定、公共健康和安全等」的数据。
举个例子:一家医院的病人病历数据,既包含个人信息(姓名、病情),也可能包含重要数据(某种罕见病的全国统计数据)。你想想看,如果后者被境外机构获取,后果是什么?
我的经验:
做数据分类分级时,别只盯着个人信息。很多企业忽略了「重要数据」的识别。我曾经帮一家物流企业做合规评估,发现他们的跨境物流数据里包含了全国港口吞吐量的实时统计——这妥妥是重要数据。客户一开始完全没意识到。
数据分类分级怎么做?我建议按这个思路来:
- 先盘点:梳理所有数据资产,搞清楚数据从哪里来、存哪里、流向哪里
- 再分类:按业务属性分,比如客户数据、员工数据、财务数据、运营数据
- 后定级:根据影响程度,分核心数据、重要数据、一般数据
说白了,这一步做扎实了,后面的安全评估、合同条款才有依据。
2.3 数据出境安全评估——最硬的关卡
这是整个数据跨境传输方案里最让人头疼的一环。根据《数据出境安全评估办法》,以下情形必须申报安全评估:
- CII运营者向境外提供重要数据
- 处理100万人以上个人信息的个人信息处理者向境外提供个人信息
- 自上年1月1日起累计向境外提供10万人以上个人信息或1万人以上敏感个人信息
评估流程大致是这样:
| 步骤 | 内容 | 时间预估 |
|---|---|---|
| 1. 自评估 | 企业自己先做数据出境风险自评估 | 1-2个月 |
| 2. 提交材料 | 向省级网信办提交申报书、自评估报告、法律文件等 | 1周 |
| 3. 省级受理 | 省级网信办在5个工作日内决定是否受理 | 5个工作日 |
| 4. 国家评估 | 国家网信办组织安全评估,可要求补充材料 | 45个工作日(可延长) |
| 5. 结果出具 | 通过或不予通过,有效期2年 | — |
避坑指南:
我曾经帮一家互联网公司准备安全评估材料,发现他们提交的数据映射表里漏掉了一个关键的数据流——员工通过境外HR系统处理的个人信息。这个漏洞差点导致评估被退回。所以,数据流梳理一定要全面,别只盯着核心业务系统。
2.4 标准合同条款(SCC)——灵活但别大意
对于不需要走安全评估的场景,标准合同条款(SCC)是常用的合规路径。说白了,就是你和境外接收方签一份符合国家网信办模板的合同,约定双方的数据保护责任。
SCC的核心内容:
- 数据出境的目的、范围、方式
- 境外接收方的数据保护义务
- 数据主体的权利保障
- 违约责任和争议解决
嗯,这里有个坑:SCC不是签了就完事了。你得确保境外接收方真的有能力和意愿履行合同义务。我见过一个案例,国内企业跟欧洲的合作伙伴签了SCC,结果对方的数据保护水平根本达不到要求,最后出了数据泄露事件,国内企业也被追责。
我的建议:
签SCC之前,先做一次境外接收方数据保护能力评估。看看对方有没有ISO 27001认证、有没有数据保护官、数据存储在哪里、有没有发生过安全事件。这些信息都要留档,万一出事,你能证明自己尽到了审慎义务。
2.5 认证机制——另一种合规路径
除了安全评估和SCC,还有一条路:专业机构认证。根据《个人信息保护法》第38条,个人信息处理者可以选择通过「国家网信部门组织的专业机构进行个人信息保护认证」来满足数据出境要求。
目前主流的认证是个人信息保护认证(PIP认证),由中国网络安全审查技术与认证中心(CCRC)负责实施。认证的核心是评估企业的个人信息保护能力是否达到国家标准。
认证流程:
- 企业提交申请材料
- 认证机构进行文件审核
- 现场审核(包括技术测试、人员访谈)
- 认证决定,颁发证书(有效期3年)
我个人觉得,认证机制适合那些数据出境频率高、业务模式稳定的企业。一次认证,三年有效,省去了每次出境都签SCC的麻烦。但认证的投入也不小,从准备到拿证,通常需要3-6个月。
三种路径怎么选?
- CII运营者+重要数据:必须走安全评估
- 非CII+大量个人信息:安全评估或SCC二选一
- 非CII+少量个人信息:SCC或认证都可以
- 高频出境:认证更省事
知识体系总览
为了帮你理清这些概念之间的关系,我画了一张图。你看完应该能明白,这些法律概念不是孤立的,而是围绕「数据跨境」这个核心场景展开的。
这张图把整个框架串起来了。你从中间开始看,数据跨境传输是目标。往上走,触发条件有三个:CII运营者、重要数据、个人信息。往下走,合规路径有三条:安全评估、SCC、认证。最底下是落地执行的动作。
做方案的时候,我建议你拿着这张图对照自己的业务场景,一步步排查。先确认自己是不是CII运营者,再盘点数据里有没有重要数据和个人信息,最后根据数据量和出境频率选路径。这样走下来,基本不会漏掉关键环节。
最后说一句:
法律合规不是一次性工作。数据出境安全评估有效期2年,SCC需要持续监督,认证也要定期复审。我见过太多企业拿到评估结果后就放松了,结果半年后业务变了、数据流变了,合规状态又回到了原点。所以,建立持续合规机制,比一次性通过评估更重要。
公众号:蓝海资料掘金营,微信deep3321