适用场景
面向所有涉及数据处理的中国出海企业,尤其是在业务中可能触及经济运行、人口健康、自然资源、科学技术、安全保护等领域数据的企业,在数据资产盘点、跨境传输或接受监管审查前,必须重点关注。
核心要点
1. “重要数据”的定义与范围
“重要数据”指一旦遭到破坏或非法利用,可能危害国家安全、公共利益的数据,不包括国家秘密和一般个人信息,但海量个人信息形成的统计数据可能被纳入。其范围广泛,涵盖经济运行、人口健康、自然资源、科学技术、安全保护、应用服务、政务活动等多个关键领域。
2. 识别六大基本原则
识别工作需遵循六大原则:聚焦安全影响(关注对国家社会的影响,而非企业自身)、促进数据流动(避免泛保护,区分重点)、衔接既有规定(考虑地方和行业特色)、综合考虑风险(从多维度评估)、定量定性结合(根据数据类型灵活处理)、动态识别复查(定期更新,非一劳永逸)。
3. 八大核心特征领域
数据若具备以下任一特征,可能被识别为重要数据:1. 与经济运行相关(如战略储备、工业生产、关键基础设施运行数据);2. 与人口健康相关(如基因数据、重大医疗疫情信息);3. 与自然资源环境相关(如地理信息、气象、环保数据);4. 与科学技术相关(如出口管制物项、重大发明);5. 与安全保护相关(如可被用于实施攻击的数据);6. 与应用服务相关(如用户委托的重要数据);7. 与政务活动相关;8. 其他可能危害安全与公共利益的数据。
4. 标准化的识别与报送流程
企业识别重要数据应遵循明确流程:首先依据地方和部门规定;接着盘点自身数据资产并评估安全影响;然后初步判定并审核重要数据;最后形成目录并向监管部门报送结果(不包含数据本身),且在数据发生变化时需重新报送。
实务建议
- 立即启动数据资产盘点:系统梳理企业收集、产生、存储的所有数据,形成详细的资产清单,作为识别基础。
- 对照特征进行初步筛查:根据指南列出的八大特征领域,逐一核对自身数据,标记出潜在的重要数据。
- 建立动态评估与更新机制:定期(如每半年或一年)或在业务、数据用途发生重大变化时,重新评估重要数据范围。
- 提前规划数据跨境流动方案:若涉及潜在重要数据出境,需提前了解并准备满足数据出境安全评估等合规要求。
- 关注行业与地方细则:积极跟进所属行业及业务所在地监管部门发布的具体重要数据目录或识别规定。
风险提示
- 误区:认为“重要数据”仅限国家秘密或巨型企业数据。正解:许多行业(如工业制造、地理信息、医疗健康)的普通企业都可能处理重要数据。
- 误区:将企业内部重要或敏感的商业数据等同于“重要数据”。正解:判断核心标准是数据泄露或破坏是否可能危害国家安全或公共利益,而非对企业自身的重要性。
- 注意事项:重要数据识别是持续过程,不能做一次就束之高阁。业务、技术或法规变化都可能改变数据属性。
- 注意事项:即使《识别指南》目前是征求意见稿,但其原则和框架已指明监管方向,企业应提前准备,而非等待正式稿发布。