随着信息化飞速发展,如何在纷繁复杂的信息世界中更好维护国家安全,成为数字立法的重要考量。而其中的关键是,如何在国家秘密之外,找出其他直接影响国家安全的数据,并予以特别保护。在此背景下,中美两国都建立了自己的敏感数据保护体系。不同于中国在《数据安全法》等法律文件中明确提出“重要数据”这一概念,“Important Data”并非美国法律体系中的正式术语,但根据立法意旨,美国法律体系中的“受控非密信息”(Controlled Unclassified Information, CUI)大致相当于“重要数据”,是通过数据保护维护国家安全的关键抓手。
一、“重要数据” vs. “受控非密信息”
根据《网络数据安全管理条例》第六十二条第四款规定,“重要数据”是指在“特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。”
受控非密信息,则是指由美国联邦政府或其授权机构产生或拥有的,虽不符合第12958号总统令定义的国家安全信息标准,但若未经授权披露,可能会对政府职能、个人隐私、法律程序、商业机密等造成风险的信息。
2010 年,美国发布了第13556 号行政令 “受控非机密信息”,要求联邦政府各部门必须根据法律法规、政策的要求对 CUI 做好安全防护,按照公开统一的制度规范进行管理。2016 年,《美国联邦法规》第32条 2002 部分(32 CFR Part 2002)规定了CUI的认定、保护、传递、标识、解除控制、处理政策,并对自我审查和监督等方面提出要求,为联邦执行机构和组织处理、持有、使用、共享、接收 CUI 提供规则保障。
(一)相同点
一方面,重要数据和受控非密信息均以维护国家安全和利益为基本立法价值取向。另一方面,二者都属于国家数据安全体系中的“中间等级”,是介于国家秘密和公开数据之间的敏感信息。
(二)不同点
首先,二者的概念外延有一定差异。根据前述定义,“重要数据”的外延范围更大,除政府机构和国有企事业单位外,其他商业企业也可能持有。受控非密信息则原则上由联邦机构持有,同时也可通过授权或合同等方式由非联邦机构以和私营实体持有,但需注意,后者的自有信息并未被纳入CUI的范围。
另外,二者在法律基础、监管机构、分类标准、识别方法等方面均存在差异,这些差异以表格呈现如下。
中国:重要数据 | 美国:受控非密信息 | |
监管机构 | 网信办统筹协调,多部门分级负责。 | 美国档案与文件管理局信息安全监督办公室(ISOO)的CUI办公室 (第13556号总统令指定档案与文件管理局(NARA)为CUI计划的执行机构(CUI Executive Agent, CUI EA),NARA将其监管职责委托给下设的信息安全监督办公室(ISOO),作为实际执行机构。ISOO下设CUI办公室,负责对CUI的登记及管理事务。) |
分类标准 | “原则+目录制管理”模式,地方和行业可制定扩展列表。 原则:《信息安全技术重要数据识别指南》(2022年1月); 地方目录:《上海市网络数据分类分级和重要数据目录管理办法(征求意见稿)》(2025年3月28日); 行业目录:《基础电信企业重要数据识别指南》(YD/T 3867-2021),《汽车数据安全管理若干规定(试行)》(2021)等。 | 联邦政府制定固定分类目录 分为20个大类,126个子类。其中大类包括:关键基础设施、国防、出口管制、金融、移民、情报、国际协议、执法、法律、自然和文化资源、北约、核、专利、隐私、采购和收购、专有商业信息、临时信息、统计、税收和交通运输。[1] 政府机构只能按照上述分类认定受控非密信息。 |
识别方法 | 自上而下:直接依据地方/行业制定的重要数据目的识别;依据负面清单反向排除。 自下而上:企业自行识别并申报,未列入目录但符合危害性标准的仍需按重要数据管理。 | 自上而下:联邦机构负责识别自己所创建或管理的信息是否为CUI。受委托组织/企业无权不能自行认定信息是否属于CUI。 |
二、企业的一般合规义务对比
(一)识别义务:企业是否需要主动识别
1. 中国重要数据的识别
在中国,数据处理者有义务识别自己所处理的数据是否为重要数据。尽管相关规定要求有关部门出台“重要数据目录”,但长期以来,重要数据目录的出台较为缓慢,且一些目录中内容相对模糊,难以在实操层面得以落实。这导致如何识别重要数据一直是企业的一大难题,如何落实该制度、企业是否有能力自主识别“重要数据”也引发较大争议。
为解决这一问题,一方面,我国在持续推动各地、各行业加紧制定重要数据具体目录,另一方面,也通过出台一些补充性的规定,给企业一些更明确的指引。
国家网信办于2024年3月发布的《促进和规范数据跨境流动规定》针对重要数据出境申报中规定,“未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。”2025年5月30日,国家网信办发布的数据出境安全管理政策问答进一步明确,“没有发布行业、领域的数据分类分级标准规范和重要数据识别申报规则,数据处理者也没有被有关部门告知应当进行重要数据识别申报的,未识别申报重要数据,未对相关数据进行重点保护,不会被认定为违反重要数据保护相关规定,不会因此受到行政处罚。”
上述规定为企业提供了更具有可操作性、确定性的重要数据识别指引,即未经有关部门告知或公开列入重要数据的数据,无需作为重要数据管理。
2. 美国CUI的识别
如前所述,与中国要求企业主动识别重要数据不同,美国在发布了《CUI Registry》作为识别目录,同时识别实际主要是由政府识别。尽管如此,受托企业仍需履行一定义务:
根据32 CFR §2002.12和NARA Marking Handbook,受委托的机构或企业(如政府承包商、科研机构、第三方服务商)在处理CUI时,首先应当遵照联邦政府的合同或指导,分类管理CUI和非CUI数据,在分类识别过程中不得擅自更改CUI的分类、传播限制和标识格式,若存在不明确情形,应主动向政府项目负责人(COR)确认。
此外,CUI处理者还负有标注义务,标识内容用双斜杠分隔为三部分:①“CONTROLLED”或“CUI”标识;②受控非密信息类型或子类标识,如果应遵守特别管控规定,还要在分类前加注“SP-”;③传播限制标识,目前有10种,如禁止国外传播、仅限联邦雇员使用等。[2]示例标注:CONTROLLED//EXPORTCONTROL//NOFORN。
(二)风险评估
中国重要数据:我国要求重要数据在“加工、提供、委托处理、共同处理、出境”前,应进行数据安全风险评估,并形成书面报告备查。此外,处理者应每年度对其网络数据处理活动开展风险评估,并向省级以上有关主管部门报送风险评估报告。
美国CUI:与之类似,美国建立了非联邦信息系统中处理CUI的安全技术标准:NIST SP 800-171,其中就要求对于CUI的处理、存储、传输和销毁相关风险评估的要求。
(三)安全保障
中国重要数据:重要数据处理者应建立完善的数据安全管理制度和技术控制措施,尤其在处理者因合并、分立、解散、破产等可能影响重要数据安全时,应当采取措施保障网络数据安全。同时,应设置明确的网络数据安全负责人和管理机构,特定情形下,还应对负责人和关键岗位的人员进行安全背景审查,加强相关人员培训。
美国CUI:与之类似,CUI处理者应依照NIST SP 800-171的要求实施14大类、110条控制措施,包括访问控制、审计、配置管理、身份认证、数据保护等,同时针对国防合同实施特殊控制。CUI处理者还应采取加密、隔离等措施,对存储于物理介质或系统中的CUI进行安全存储,且不得将CUI存储于未经联邦政府批准的云服务或境外数据中心。在项目结束后,应当对CUI进行符合 NIST SP 800-88 的销毁处理。若发生CUI泄露、入侵、丢失等安全事件,相关处理者必须在72小时内向相关联邦机构报告,并启动应急响应,隔离问题系统。后续应提交详细的事件报告和修复方案。受委托机构或企业应当设立CUI合规负责人或专员,并定期开展员工CUI识别、标注、访问权限管理等培训活动。同时建立内部合规制度,如《CUI处理流程》《CUI共享审批制度》等。
三、数据出境管理要求对比
(一)中国重要数据出境管理要求
中国对重要数据出境有严格的管理要求。根据《网络安全法》第三十七条、《数据安全法》第三十一条及《数据出境安全评估办法》第四条的规定,重要数据原则上应当在境内存储,确需向境外提供的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
也就是说,中国的重要数据无论类型、数量、处理目的,必须通过数据出境安全评估后方可出境。实践中,涉及重要数据出境的安全评估,监管部门会更为谨慎。截至、2025年3月,国家互联网信息办公室共完成数据出境安全评估项目298个,其中,44个申报项目涉及重要数据,评估结果为不通过的有7个,重要数据申报项目的不通过率为15.9%。
(二)美国CUI出境管理要求
不同于中国法明确规定重要数据在通过数据出境安全评估后方可依法跨境流动,在美国法下,并无统一适用于所有CUI的跨境限制规定,而是根据国家安全法规或者具体子类信息所适用的行业法规进行分级控制,出境受限的CUI大致包括以下三类。
第一类,出口管制类(Export Controlled CUI)。必须事先获得《出口管理条例》(EAR)或《国际武器贸易条例》(ITAR)许可,承包商还需设立“出口控制合规程序(ECCP)”。
第二类:涉国家安全、情报协定的CUI。CUI分类中如Intelligence、NATO、Law Enforcement子类,不得向无共享协议或未授权国家传播。
第三类:个人隐私与医疗健康数据。依据《隐私法》(Privacy Act of 1974)、《健康保险可携带与责任法案》(HIPAA)等进行监管。若数据由联邦机构控制,不得未经授权提供给境外服务商或数据处理机构。特定情况下,还须签订“跨境数据协议”或遵守联邦政府对云服务商的FedRAMP合规要求。
而对于其他一般类CUI,出境相对宽松,但联邦合规条款通常会要求不得未经政府授权存储或传输CUI到非美国政府控制的云服务等。
四、把握监管红线,避免重大损失
尽管中国的“重要数据”与美国的“受控非密信息”均落脚于国家安全与数据安全,其核心目标一致,但二者的管理模式实际有所不同。
中国的“重要数据”的处理者更多是企业,企业在运营过程中收集、掌握这类数据后,政府部门对企业处理的数据进行监督和管控。在这一管理中,强调对企业自主合规的要求更高。企业需要实时关注重要数据目录、识别指南等有关文件,并保持与有关部门的沟通,对数据进行分类分级,主动识别重要数据与一般数据。同时,我国对于重要数据处理者,除了有更高的安全管理要求外,还对数据出境有着严格的管控,未经安全评估出境重要数据的,将可能被处以最高一千万元的罚款,并吊销营业执照,直接责任人也可能被处以最高一百万的罚款。
相较之下,美国的“受控非密信息”更强调联邦统一、分类严格、标识清晰、行业内控。与“重要数据”对产生来源不予区分不同,CUI侧重于与政府的关联性,即是政府所有或政府授权企业收集、使用的数据。对于CUI的识别是由政府侧进行,企业则是依据政府的要求对CUI信息予以标注与管理。因此,相较于“重要数据”,企业对于何种数据属于CUI有更清晰的预期。而美国企业对于CUI出境的管理相较更宽松,只对特定的三类数据进行管控,这使得企业对数据处理的自由度相较更高。
综上所述,重要数据的管控已成为各国一致关注的焦点,在数据跨境传输监管实务中属于首要问题,违规出境将面临严峻法律责任,并可能对企业业务模式产生严重冲击。以中美对照为例,可见各国的数据监管具体要求各有不同。对企业而言,在全球化运营中需构建多重数据合规体系,全面且有针对性地制定数据合规方案,准确识别出可能的重要数据并把握有关监管红线,避免因为疏忽可能造成的重大经营损失。
注释
1. CUI Categories, https://www.archives.gov/cui/registry/category-list
2. CUI Marking Handbook,https://www.archives.gov/files/cui/20161206-cui-marking-handbook-v1-1.pdf
邓志松 律师
大成北京
专业领域:数据与隐私保护、竞争与反垄断、公司与并购、跨境投资与贸易
电子邮箱:zhisong.deng@dentons.cn
戴健民 律师
大成上海
专业领域:数据与隐私保护、竞争与反垄断、公司与并购、生命科学与医药
电子邮箱:jianmin.dai@dentons.cn
本文系本公众号原创,转载请注明文字出自本公众号。
本文源自:邓志松 戴健民
声明:本文来自个人信息与数据保护实务评论,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
