跨国企业重要数据识别与保护的最新实践总结

作者：袁立志 周宇心

目前，中国关于重要数据保护制度已基本成型。在识别层面，《数据出境安全评估办法》、《数据安全技术数据分类分级规则》（GB/T 43697-2024）等明确了重要数据的界定和识别要素，各行业亦通过制定行业标准明确本领域重要数据的识别规则。在保护层面，《网络数据安全管理条例》在既有行业数据安全管理规则的基础上，通过专章系统规定了重要数据处理者的保护义务。相关执法案例开始零星出现。

然而，在实践中，重要数据的识别和保护工作面临多重模糊性和不确定性，监管部门与相关企业仍在探索之中。对于跨国企业或国际化布局的中国企业（以下合称“跨国企业”）而言，这个问题尤显重要。本文将结合跨国企业的业务模式与组织架构特征，探讨其在开展重要数据识别和保护工作过程中所面临的现实挑战，提出针对性的解决方案，供相关企业参考。

一、跨国企业面临的挑战

(一)重要数据的识别困境

作为数据处理者的企业普遍面临的问题在于对重要数据的识别困难。

在识别规则上，作为与国家安全和公共利益紧密关联的概念，重要数据的内在属性决定了其识别规则难以实现完全清晰，并将在较长时期内保持一定程度的模糊性。同时，相关国家标准、行业标准对重要数据的界定仍以正面列举识别要素为主，而要素本身多采用较为抽象的概念性表述，例如“核心”、“先进”、“重大”等。此外，识别规则均设置兜底条款，即使相关数据不符合明确列举的识别要素，亦不能完全排除其构成重要数据的可能。

在识别程序上，重要数据的申报流程缺乏具体的指引。对于申报工作的启动，是由主管部门通知企业进行申报，还是由企业自主申报尚不清晰；对于申报路径与具体操作，尚未出台公开、统一的规则；对于申报结果的认定及后续处理，亦未有制度性文件进行指导。不同地区与行业之间的监管口径存在差异，进一步加剧了实践难度。

在上述双重不确定性之下，企业若采取主动合规策略，往往受阻于识别阶段，推进困难；若采取被动合规策略，则担心存在较大的法律风险敞口，相关企业左右为难。

(二)数据出境的管控困难

跨国企业在履行重要数据合规义务过程中面临的特有挑战，主要体现为数据出境活动管控难度较高。

跨国企业因其投资形式与组织架构的特殊性，通常拥有更加多样的数据出境场景。在日常业务运营中，出于集团统一管理的需要，跨国企业普遍采用全球一体化IT系统，例如国际版Office 365、全球部署的客户关系管理（CRM）系统等，这类系统的使用天然会触发数据跨境流动。

跨国企业的境外业务人员和管理人员在开展跨境业务协同和管理时，往往可远程访问大量甚至全量业务数据，其中，常驻境外的管理层或生产研发人员有机会接触境内实体的核心业务数据和发展战略数据，这些数据落入重要数据范围的概率显著高于一般业务数据。

跨国企业经常需要向境外审计机构提交数据。例如聘用境外机构开展业务审计，审计机构为出具审核报告，会获取境内实体业务运营中的底稿数据，且需在一定期限内对原始底稿数据进行留存，这进一步提升了数据出境的风险。

另一类风险则源于数据出境对象的复杂性，如外国在华商会等非政府组织的沟通交流及调研配合，涉外仲裁、诉讼中的证据开示。就前者而言，部分非政府组织与境外政府机构存在一定关联，跨国企业难以有效掌控此类机构获取数据后的最终流向；就后者而言，境外仲裁、诉讼中的相关机构属于境外司法、执法范畴，根据《数据安全法》相关规定，跨国企业向其提供任何境内数据前，必须获得主管机关的批准。但目前，此类批准的具体程序尚不明确，这使跨国企业的合规义务难以落地执行。

境外接收方对于业务数据的广泛访问、对原始数据的长期保存，加上接收方的特殊属性，使得触发重要数据出境监管的风险上升。而境内实体与境外接收方之间的沟通障碍，进一步加剧了数据出境的管控难度。这种沟通障碍的核心，在于境内实体与境外接收方的立场及利益关切存在本质差异——说服境外接收方优先考量中国国家安全，而在业务开展效率上做出让步，本身就具有较高的实施难度。

更为关键的是，在数据违法出境的场景中，法律责任主要由境内实体承担，这就导致境外实体和管理层往往对中国数据安全保护制度不熟悉、不重视，也缺乏主动了解和遵守的动力。而从境内实体的角度来看，企业若要停止相关数据出境行为，缺乏充分的法律依据支撑，难以说服集团和境外接收方：一方面，重要数据的识别规则与程序仍较为模糊，企业难以清晰界定拟出境数据是否构成重要数据，进而无法确定是否需要通过安全评估等政府审批手续方可出境；另一方面，已公开的相关处罚案例，其处罚理由多聚焦于国家安全，处罚依据多源于刑法，与“重要数据”的关联不清晰。这些因素的叠加，进一步引发了境外接收方的质疑与不配合，使得跨国企业的重要数据出境管控工作陷入困境。

二、合规落地的策略与建议

面对重要数据相关合规义务执行过程中的困境，跨国企业可从以下几个方面寻找破局路径。

(一)分类分级梳理现有数据资产

数据管理工作应以明确数据资产为前提。跨国企业首先应全面盘点现有数据，对已无使用价值且无法定存储要求的数据予以删除，对在不同系统中重复存储的数据进行清理。在此基础上实施数据分类分级管理：分类可依据数据所描述的对象、所属业务流程或产业链环节开展；分级则可综合考量数据对企业自身的重要程度，及其与国家安全、公共利益的关联程度予以确定。

(二)主动开展重要数据识别、管理

尽管当前重要数据申报流程尚不清晰，但企业主动开展重要数据识别并留存相关记录，已成为实务中的普遍共识。跨国企业在开展重要数据识别时，应重点参照主管部门发布的行业识别指南，对照相应触发因素逐项核查。对于主管部门并不明确的行业（如从事快消品销售的企业），可主要依据通用国家标准开展识别工作，同时参考行业指南相关规定，确保识别工作全面覆盖、不留遗漏。

对经识别确定的重要数据或疑似重要数据，跨国企业应优先落实各项保护义务，开展数据处理活动风险评估，完善配套安全技术措施与内部管理制度建设，为后续流程明确后开展申报工作夯实基础、做好准备。

(三)加强数据出境管理及制度建设

对于识别出的重要数据或疑似重要数据，跨国企业应全面排查相关的数据出境活动，包括直接传输、境外远程访问、境外系统直接采集等各类情形。在评估数据出境活动时，可从两个层面审查出境必要性：一是是否必须提供数据，二是是否必须向境外提供数据。如不提供数据即可实现业务目的，则不提供数据；如必须提供，也尽量在境内提供，不跨境。

在某些情况下，弃用直接提供数据，改为仅现场演示或开通临时只读权限，防止境外接收方长期留存数据，也可以在一定程度上较低风险。

对于确有必要的出境场景，企业可基于风险防控需要先行暂停相关出境行为，并同步与网信部门、行业主管部门及其他相关监管机构开展沟通。企业亦应提前筹备数据出境安全评估申报预案，对照申报要求逐项排查出境活动中的合规风险并及时整改，以便在必要情形下提高申报效率。

此外，应重点关注境外接收方的数据再传输行为，尤其是涉及特殊主体（如非政府组织、审计机构等）的情形。对此类主体，跨国企业应首先严格限定传输的数据范围，遵循最小必要原则；必要时应及时签署数据保密协议等法律文件，通过合同约定明确数据再传输的法律责任与约束条款。

对于前述各项合规措施，跨国企业应通过制定内部管理制度、操作规范等文件予以固化，形成长效机制，确保重要数据出境管理工作规范化、常态化开展。

(四)保持与监管部门的持续沟通

在当前规则尚不明确、监管处于执行探索的阶段，跨国企业应重视建立与监管部门的常态化沟通机制。一方面，持续沟通有助于监管部门全面了解企业重要数据处理情况，同时企业也能及时把握监管导向，保障业务平稳开展；另一方面，在重要数据申报、数据出境等关键合规节点，主动向监管部门汇报、请示并寻求指导，可有效防范重大合规风险。

(五)建立境外接收方的沟通与内部监测机制

在重要数据出境管理场景下，境内实体还应建立与境外接收方的常态化沟通机制，推动双方就数据出境合规要求达成共识。沟通内容可聚焦数据安全、网络安全领域的立法及执法动态，通过定期信息同步，强化外方对重要数据概念及相关数据安全制度的理解与认同。

境内实体或集团可从法律责任维度切入，在沟通中明确违法数据出境行为将给集团整体运营带来的重大风险。除面临高额罚款、责令停业整顿、吊销业务许可证或营业执照等行政处罚外，相关责任机构及个人还可能涉嫌触犯非法提供情报罪等刑事法律，承担相应刑事责任。同时，境外数据接收方亦可能因违规行为而面临无法进入中国市场的法律风险。根据近期发布的《中华人民共和国反外国不当域外管辖条例》，监管部门可对推动实施或者参与实施外国不当域外管辖措施的外国组织、个人，采取禁止或者限制中国境内组织向其提供数据、个人信息，以及与其进行交易、合作等活动的反制措施。该规定进一步拓展了法律责任的适用边界，为企业向境外接收方厘清并强调其数据出境违法责任提供了法律支撑。

跨国企业构建内部监管动态监测机制至关重要。该机制既是企业与外方进行沟通、同步信息的内容储备库，也是企业研判重要数据合规监管趋势、高效开展与监管部门沟通、落实合规举措的重要指引。监测范围除涵盖数据安全、网络安全相关动态外，还应密切关注国家安全、外交政策、国际贸易、出口管制、国际科技竞争等领域中与数据出境相关的最新立法动态及执法案例，以充分发挥监测机制的预警与决策支撑效用。

三、结语

重要数据的识别与保护，是一个较长且持续迭代的过程，其背后承载的国家安全要求，与企业运营中对效率的追求存在天然张力——无论识别规则如何细化、识别要素如何丰富，在企业实操层面仍可能存在模糊地带，进而导致法律义务落地过程中出现各类问题，这一点对于业务场景众多、组织架构复杂、出境管控难度较大的跨国企业而言，表现得尤为突出。

在当前规则模糊、执行探索的阶段，主动开展重要数据识别、严格履行相应保护义务、与各方尤其是监管部门保持积极顺畅的沟通，是当前的务实应对策略。

声明：本文来自减熵实验室，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。