网络安全和数据安全的保护与监管如何、对企业的合规性要求

引言：

大数据时代下，几乎每位企业均涉及互联网营运，并且几乎每位企业在营运过程中不可避免地会涉及大量数据的形成、收集、存储和使用。因此，对于网路安全和数据安全的保护与监管，也是目前法律环境发展的一个重要方向，也对每位企业都提出了网路安全或数据安全的合规性要求。而对于企业营运过程中形成的一些特殊的，虽不构成国家秘密、但与国家安全、社会经济或公众利益息息相关而须要特殊保护的重要数据，可能对企业的合规性提出新要求。

实践中，我们也越来越频繁地收到顾客对于重要数据和网路安全方面的咨询，目前以外国、外资顾客或拟境外举办业务的国外企业居多，也可以看出网路或数据安全也正在给企业跨境营运、网络营运的合规性带来新的挑战。那么，什么是法律意义上的“重要数据”、重要数据目前的保护与监管怎样、对企业的合规性要求又有什么，本文企图通过梳理现行和未来生效法律法规的形式，提供一些法律层面的想法与建议。

|

一、重要数据的定义

根据我国现行法律，并无明晰的对于重要数据的定义。

当然，我们可以在部委规章、行政法规等规范性文件，或各行业、各部门官方文件中常常见到重要数据被广泛提到，例如在涉及地理测绘信息、人口统计数据、电力信息、铁路运输信息等内容的文件中。重要数据也常常与国家安全、网络安全、数据保护、信息保护等场景联系在一起。然而，直至2016年11月7日《网络安全法》颁布后，对重要数据的保护才首次在法律层面上被明晰规定，但是对于哪些数据属于重要数据，法律仍然没有明晰定义。

尽管这么，我们也可见到一些处在征询意见阶段的规范性法律文件中，试图对重要数据作出明晰，列举如下：

发布

时间

发文

单位

文件名称

定义

2017年

4月

11日

国家互联网信息办公室

《个人信息和重要数据出境安全评估办法（征求意见稿）》（“办法”）

与国家安全、经济发展，以及社会公共利益密切相关的数据，具体范围参照国家有关标准和重要数据辨识手册。[1]

2017年

8月

30日

全国信息安全标准化技术委员会

《信息安全技术 数据出境安全评估手册（征求意见稿）》（“指南”）

相关组织、机构和个人在境内搜集、产生的不涉及国家秘密，但与国家安全、经济发展以及公共利益密切相关的数据（包括原始数据和衍生数据）。[2]

同时，在手册在附表A《重要数据识别指南》中针对不同行业，将重要数据界定为27类，并对其进行了穷尽式的列出。[3]

2019年

5月

28日

国家互联网信息办公室

《数据安全管理办法（征求意见稿）》

一旦泄漏可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据，如未公开的政府信息，大面积人口、基因健康、地理、矿产资源等。重要数据通常不包括企业生产经营和内部管理信息、个人信息等。[4]

2020年

7月

3日

全国人大常委会

《数据安全法（草案）》

草案虽未对重要数据进行定义，但其中在规定数据“分级分类保护”时，具体界定标准为“根据数据在经济社会发展中的重要程度, 以及一旦受到篡改、破坏、泄露或则非法获取、非法借助，对国家安全、公共利益或则公民、组织合法权益引起的害处程度”。[5]

2020年

8月

28日

全国信息安全标准化技术委员会

《信息安全技术 网络数据处理安全规范（征求意见稿）》（“规范”）

一旦泄漏可能直接影响国家安全、公共安全、经济安全和社会稳定的数据，包括未公开的政府信息，数量达到一定规模的基因、地理、矿产信息等，原则上不包括个人信息、企业内部经营管理信息等。[6]

综上，虽然现行法律仍未对重要数据作出明晰定义，但从网路安全保护与监管角度而言，通常觉得重要数据具有以下特点：

（1）不属于国家保密信息，但与国家安全、经济发展、社会稳定、公共利益密切相关；

（2）一旦受到篡改、破坏、泄露或非法获取，可能害处国家安全、经济发展、社会稳定或公共利益；

（3）来源于与国家安全、经济发展、公共利益、民生等密切相关的各行业。

反之，对于具有以上特点的数据，很可能会被认定为重要数据，从而需搜集、使用上述数据的企业遵循相关网路安全保护和监管的法律法规。当然，我们也期盼尽早会有生效的规范性法律文件来进一步明晰定义。

|

二、重要数据的保护和监管

2.1 现行法律对重要数据的保护和监管

在了解重要数据的涵义后，我们也可以直观感受到目前已生效的规范性法律文件对重要数据的着墨确实不多，关注重要数据的方向也仅彰显在《网络安全法》的两个条文中，即两个网路安全制度：网络安全等级保护制度和数据出境安全评估制度。

《网络安全法》第二十一条 国家推行网路安全等级保护制度。网络运营者应该根据网路安全等级保护制度的要求，履行下述安全保护义务，保障网路免受干扰、破坏或则未经授权的访问，防止网路数据泄漏或则被泄露、篡改：（四）采取数据分类、重要数据备份和加密等举措；

《网络安全法》第三十七条 关键信息基础设施的运营者在中华人民共和国境内营运中搜集和形成的个人信息和重要数据应该在境内储存。因业务须要，确需向境外提供的，应当根据国家网信部门会同国务院有关部门拟定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

根据前述条文，在网路安全等级保护制度方面，目前对于重要数据保护也仅限条文本身，没有其他更深入的规定；在数据出境安全评估制度方面，虽然确实有技术认定和具体操作方面进一步的规定，例如《个人信息和重要数据出境安全评估办法（征求意见稿）》等，但大部分目前仍未生效落地（可详见本文第3部份）。

2.2 关键信息基础设施运营者与重要数据

根据《网络安全法》，数据出境安全评估制度方面关于重要数据保护主要针对“关键信息基础设施运营者”，那么何为关键信息基础设施？哪些企业或运营者会被认定为关键信息基础设施运营者？关键信息基础设施运营者的重要数据为何须要单独规定？我们作出如下剖析：

2.2.1 关键信息基础设施运营者

关键信息基础设施与重要数据的概念均来自于《网络安全法》，但现行法律同样没有明晰定义关键信息基础设施及其运营者，也未明晰其具体范围的认定方法。但按照《网络安全法》，在网路安全等级保护制度的基础上，满足下述条件的关键信息基础设施，将会被重点保护：

（1）属于公共通讯和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的；以及

（2）其他一旦受到破坏、丧失功能或则数据泄漏，可能严重害处国家安全、国计民生、公共利益的。[7]

根据上述条文，可以看出被重点保护的关键信息基础设施范围，与重要数据的认定有一定程度的相似性。即，被重点保护的关键信息基础设施运营者，很可能是重要数据的搜集、存储和使用方，而法律对重要数据的保护，也很可能是基于对关键信息基础设施保护的实现方式。从实操出发，如果企业的营运范围满足上述条件内，那么该企业可能会被认定为关键信息基础设施，而其搜集、存储和使用的信息可能属于重要数据，即同时落入对两者的保护和监管范围内。

2.2.2 关键信息基础设施的保护

目前关于关键信息基础设施保护的法律法规，主要为《网络安全法》，以及国家互联网信息办公室、国家发展和改革委员会、工业和信息化部等多部门于2020年4月联合公布的《网络安全审查办法》（主要规定关键信息基础设施运营者采购网路产品和服务的网路安全审查义务[8]），其中与重要数据相关的主要有：

（1）网络安全审查评估相应国家安全风险时，主要考虑的诱因之一为“重要数据被泄露、泄露、毁损的风险”。[9]

（2）关键信息基础设施的运营者在中华人民共和国境内营运中搜集和形成的个人信息和重要数据应该在境内储存。因业务须要，确需向境外提供的，应当进行安全评估。

因此对于企业而言，在判定其营运形成、存储或使用的数据是否属于重要数据时，也可以通过判定自己是否属于关键信息基础设施运营者而确定；反之亦然，如企业拥有（产生、收集、使用）重要数据时，可能还需进一步考虑自己是否属于关键信息基础设施运营者，从而须要履行相应的安全保护义务，例如（采购网路产品和服务时的）安全审查义务、数据出境的安全评估义务。

|

三、重要数据保护和监管未来趋势

如前文所述，现行规范性法律文件关于重要数据的保护和监管十分有限，但我们注意到早已有一些相关的文件草案、征求意见稿在不断颁布，因此可以预见随着我国网路安全保护法律制度的逐步建立，未来对重要数据保护的规范性文件也会急剧进一步体系化。根据目前的保护和监管情况，我们对重要数据的保护趋势及监管趋势有着如下想法：

3.1 《数据安全法》新要求

首先，对重要数据保护可能形成最直接影响的规范性法律文件为2020年7月发布的《数据安全法（草案）》。该文件目前虽为草案方式，但文件所彰显的内容应该代表着未来法律对数据安全保护的整体方向。根据《数据安全法（草案）》：

（1）重要数据的具体范围进一步明晰：未来各地区、各部门将会相继颁布重要数据保护目录，进一步明晰重要数据保护范围。[10]

（2）重要数据运营者的义务进一步明晰：企业需筹建数据安全负责人和管理机构，落实数据安全保护责任[11]；对其数据活动定期举办风险评估，并向有关主管部门报送风险评估报告。风险评估报告应该包括本组织把握的重要数据的种类、 数量, 收集、 存储、 加工、 使用数据的情况, 面临的数据安全风险及其应对举措等。[12]

另外，2020年8月28日，全国信息安全标准化技术委员会公布《信息安全技术 网络数据处理安全规范》的征询意见稿，对网路运营者借助网路举办数据（包括重要数据）收集、存储、使用、加工、传输、提供、公开等数据处理活动应遵守的规范和安全要求进行规定，其中包括：

（1）对数据处理的总体要求，包括进行数据辨识、形成数据保护目录；进行数据分级分类；对数据采取加密、备份、访问控制、审计等安全举措；建立数据安全管理制度；对数据处理进行全生命周期的记录，确保可审计溯源，等。[13]

（2）对重要数据处理全过程的安全要求和规范，包括在传输、存储、加工、公开、访问控制与审计、向别人提供、删除、出境、接入第三方平台和安全管理等方面，提出具体的数据安全保护规范和要求，以确保对重要数据的处理不害处国家安全、公共安全、经济安全和社会稳定。[14]

（3）对网路运营者的安全管理要求，包括明晰数据安全责任人；明确数据安全保护岗位及职责，提供人力资源保障、建立人力资源考评制度；建立数据安全风波应急响应机制等。[15]

3.2 网络安全等级保护制度（“等保2.0”）

目前我国网路安全等级保护制度的主要法律根据是《信息安全等级保护管理办法》，该办法与其他相关国家标准一齐产生的网路安全等级保护管理制度一般也被称为“等保1.0”。在“等保1.0”时代，未对重要数据的保护作出具体规定。

2018年6月，公安部发布《网络安全等级保护细则（征求意见稿）》，该细则与国家市场监督管理总局、国家标准化管理委员会发布、并已于2019年12月31日生效的《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）、《信息安全技术 网络安全等级保护测评要求》（GB/T 28448-2019）、《信息安全技术 网络安全等级保护安全设计技术要求》（GB/T 25070-2019），以及于2020年11月1日生效的《信息安全技术 网络安全等级保护定级手册》（GB/T 22240-2020）将共同构成新的网路安全等级保护管理制度，被称为“等保2.0”。

“等保2.0”制度降低了网路运营者对重要数据的安全保护义务，包括但不限于：

（1）重要数据备份和加密等举措；[16]

（2）应当构建并落实重要数据和个人信息安全保护制度；

（3）采取保护举措，保障数据和信息在搜集、存储、传输、使用、提供、销毁过程中的安全；建立异地备份恢复等技术举措，保障重要数据的完整性、保密性和可用性。[17]

虽然因为《网络安全等级保护细则（征求意见稿）》尚未生效，但随着“等保2.0”主要技术要求和国家标准的生效和实际执行，而且实践中顾客对“等保”合规方面的咨询也确实越来越多，可以预见企业在履行相应等保义务的过程中，需要特别关注对重要数据的保护。

3.3 数据出境安全评估

目前法律法规对于重要数据出境的安全评估仅有原则性的规定，而对于什么数据须要评估、评估哪些、怎么评估等，均无明晰指引。实践中，我们发觉这也是大部分企业对重要数据比较关注的问题。

2017年4月、7月，国家互联网信息办公室连续发布《个人信息和重要数据出境安全评估办法（征求意见稿）》、《关键信息基础设施安全保护条例（征求意见稿）》，该等文件内容要求所有网路运营者在境内营运中搜集和形成的重要数据应该在境内储存。因业务须要，确需向境外提供的，应当依照重要数据出境安全评估办法进行评估。[18]

2017年8月，全国信息安全标准化技术委员会发布关于国家标准《信息安全技术 数据出境安全评估手册》的征询意见稿，初步拟定了一系列关于重要数据的范围、出境安全评估内容、评估流程等标准，该文件可能将作为今后重要数据出境安全评估的实践操作指引。

在以上剖析的基础上，对于企业而言，我们觉得还有必要深入理解以下内容：

3.3.1 哪些重要数据须要境内储存、出境安全评估？

目前只有关键信息基础设施运营者的重要数据须要境内储存，确因业务须要出境时，须进行安全评估；但今后可能将要求所有网路运营者均需遵循相应储存限制和出境安全评估要求。

3.3.2 什么是数据出境？

网络运营者通过网路等方法将其在中华人民共和国境内营运中搜集和形成的重要数据，通过直接提供或举办业务、提供服务、产品等形式提供给境外的机构、组织或个人的一次性活动或连续性活动，在此过程中数据储存可能发生转移，也可能不发生转移，具体包括以下情形：

（1）向本国境内，但不属于本国司法管辖或未在境内注册的主体提供；

（2）数据未转移储存至本国以外的地方，但被境外的机构、组织、个人访问查看的（公开信息、网页访问除外）；

（3）集团内部数据由境内转移至境外，涉及其在境内营运中搜集和形成的个人信息和重要数据的。

除此之外，境外数据经由本国出境、未经任何变动或加工处理的，或境外数据在境内储存、加工处理后出境而不涉及境内数据的，均不属于数据出境。[19]对于在境内营运的企业，可据此判定其营运是否涉及数据出境问题。

3.3.3 安全评估内容

评估内容包括正当性和风险可控性两部份，具体包括：

（1）出境的必要性；

（2）重要数据的数目、范围、类型及其敏感程度等；

（3）数据接收方的安全保护举措、能力和水平，以及所在国家和地区的网路安全环境等；

（4）数据出境及再转移后被泄漏、毁损、篡改、滥用等风险；数据出境及出境数据凝聚可能对国家安全、社会公共利益、个人合法利益带来的风险；等。[20]

3.3.4 评估流程

评估分为两种形式：网络运营者自行组织或委托相关机构进行评估（“自评估”），和报请行业主管或监管部门组织（或行业主管或监管部门不明晰的，由国家网信部门组织）进行评估（“审查评估”）。一般数据出境，由网路运营者在数据出境前自行组织，并对评估结果负责[21]。涉及以下特殊情形的，应报请行业主管或监管部门组织安全评估：

（1）数据量超过1000GB；

（2）包含核设施、化学生物、国防军工、人口健康等领域数据，大型工程活动、海洋环境以及敏感地理信息数据等；

（3）包含关键信息基础设施的系统漏洞、安全防护等网路安全信息；

（4）关键信息基础设施运营者向境外提供重要数据；

（5）其他可能影响国家安全和社会公共利益而应当评估的。[22]

3.3.5 安全评估结果

网络运营者自评估后需产生安全自评估报告；如果属于须要国家网信部门、行业主管或监管部门组织评估的，应将安全自评估报告上报。

评估结果觉得存在不适宜出境情形的，例如给国家政治、经济、科技、国防等安全带来风险，可能影响国家安全、损害社会公共利益，或经国家网信部门、公安部门、安全部门等有关部门认定不能出境的[23]，数据不得出境。网络运营者可采用相关举措减少数据出境安全风险、修正数据出境计划，并重新举办安全评估流程。

根据上述重要数据出境安全评估的规定，虽然相关规定仍未生效，对于境外企业、跨国企业或有境外业务的境内企业，一旦生效可能将会对企业合规管理带来实质性影响，因此仍需保持持续关注，做好应对打算。

当然，需要强调的是，虽然上述规定确实对数据出境安全评估作出了一些指引规定，但无论是从范围、内容或流程方面，还未产生清晰的、可执行性的或可量化的标准，例如须要评估的数据范围仍过分艰深，国家网信部门、行业主管或监管部门对企业自评估结果是方式审查还是实质审查，等，还待相关部门进一步明晰。

|

四、结论

目前国外现行法律对重要数据的范围和认定还未作出任何明晰规定，但一般而言，虽非国家秘密或个人信息，但与国家安全、经济发展或公共利益密切相关的数据，都可能被认定为重要数据。而涉及搜集、存储、使用重要数据的网路运营者，即几乎当前所有企业，均需遵循相关保护和监管要求。

从企业网路安全合规角度而言，根据现行法律保护要求，原则上企业须要在安全等级保护制度和数据出境安全评估制度两方面考虑重要数据的保护与监管。同时，考虑到未来监管趋势，考虑到国外对重要数据的安全保护和监管渐趋严格，企业在履行现行网路安全保护义务的同时，也需在心理和管理方面做好准备，以应对未来愈发体系化、制度化的重要数据，以及个人信息或其他网路和数据安全保护和监管。

[1]《个人信息和重要数据出境安全评估办法（征求意见稿）》第十七条 本办法下述用语的涵义：

网络运营者，是指网路的所有者、管理者和网路服务提供者。

数据出境，是指网路运营者将在中华人民共和国境内营运中搜集和形成的个人信息和重要数据，提供给坐落境外的机构、组织、个人。

个人信息，是指以电子或则其他形式记录的才能单独或则与其他信息结合辨识自然人个人身分的各类信息，包括但不限于自然人的姓名、出生日期、身份护照号码、个人生物辨识信息、住址、电话号码等。

重要数据，是指与国家安全、经济发展，以及社会公共利益密切相关的数据，具体范围参照国家有关标准和重要数据辨识手册。

[2]《信息安全技术 数据出境安全评估手册（征求意见稿）》3.5 重要数据important data 相关组织、机构和个人在境内搜集、产生的不涉及国家秘密，但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)。

注1：具体范围见附表A。

注2：经政府信息公开渠道合法公开的，不再属于重要数据。

[3]《信息安全技术 数据出境安全评估手册（征求意见稿）》附录A

《重要数据识别指南》中的重要数据是指相关组织、机构和个人在境内搜集、产生的不涉及国家秘密，但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)，一旦未经授权披露、丢失、滥用、篡改或销毁，或凝聚、整合、分析后，可能导致以下后果：

a)危害国家安全、国防利益，破坏国际关系；

b)损害国家财产、社会公共利益和个人合法利益；

c)影响国家防治和严打经济与军事间谍、政治渗透、有组织犯罪等；

d)影响行政机关依法调查处理违规、渎职或涉嫌违规、渎职行为；

e)干扰政府部门依法举办监督、管理、检查、审计等行政活动，妨碍政府部门履行职责；

f)危害国家关键基础设施、关键信息基础设施、政府系统信息系统安全；

g)影响或害处国家经济秩序和金融安全；

h)可剖析出国家秘密或敏感信息；

i)影响或害处国家政治、国土、军事、经济、文化、社会、科技、信息、生态、资源、核设施等其它国家安全事项。

[4]《数据安全管理办法（征求意见稿）》第三十八条 本办法下述用语的涵义：

（一）网络运营者，是指网路的所有者、管理者和网路服务提供者。

（二）网络数据，是指通过网路搜集、存储、传输、处理和形成的各类电子数据。

（三）个人信息，是指以电子或则其他形式记录的才能单独或则与其他信息结合辨识自然人个人身分的各类信息，包括但不限于自然人的姓名、出生日期、身份护照号码、个人生物辨识信息、住址、电话号码等。

（四）个人信息主体，是指个人信息所标示或关联到的自然人。

（五）重要数据，是指一旦泄漏可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据，如未公开的政府信息，大面积人口、基因健康、地理、矿产资源等。重要数据通常不包括企业生产经营和内部管理信息、个人信息等。

[5]《数据安全法（草案）》第十九条国家按照数据在经济社会发展中的重要程度，以及一旦受到篡改、破坏、泄露或则非法获取、非法借助，对国家安全、公共利益或则公民、组织合法权益引起的害处程度，对数据推行分级分类保护。各地区、各部门应该根据国家有关规定，确定本地区、本部门、本行业重要数据保护目录，对纳入目录的数据进行重点保护。

[6]《信息安全技术 网络数据处理安全规范（征求意见稿）》3.6 重要数据key data 一旦泄漏可能直接影响国家安全、公共安全、经济安全和社会稳定的数据，包括未公开的政府信息，数量达到一定规模的基因、地理、矿产信息等，原则上不包括个人信息、企业内部经营管理信息等。

[7]《网络安全法》第三十一条国家对公共通讯和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦受到破坏、丧失功能或则数据泄漏，可能严重害处国家安全、国计民生、公共利益的关键信息基础设施，在网路安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制订。国家鼓励关键信息基础设施以外的网路运营者自愿参与关键信息基础设施保护体系。

[8]《网络安全审查办法》第二条 关键信息基础设施运营者（以下简称运营者）采购网路产品和服务，影响或可能影响国家安全的，应当根据本办法进行网路安全审查。

[9]《网络安全审查办法》第九条 网络安全审查重点评估采购网路产品和服务可能带来的国家安全风险，主要考虑以下诱因：

（一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被泄露、泄露、毁损的风险；

（二）产品和服务供应中断对关键信息基础设施业务连续性的害处；

（三）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及由于政治、外交、贸易等诱因引起供应中断的风险；

（四）产品和服务提供者违背中国法律、行政法规、部门规章情况；

（五）其他可能害处关键信息基础设施安全和国家安全的诱因。

[10]《数据安全法（草案）》第十九条。

[11]《数据安全法（草案）》第二十五条举办数据活动应该按照法律、行政法规的规定和国家标准的强制性要求，建立完善全流程数据安全管理制度,组织举办数据安全教育培训，采取相应的技术举措和其他必要举措，保障数据安全。重要数据的处理者应该筹建数据安全负责人和管理机构, 落实数据安全保护责任。

[12]《数据安全法（草案）》第二十八条 重要数据的处理者应该依照规定对其数据活动定期举办风险评估，并向有关主管部门报送风险评估报告。风险评估报告应该包括本组织把握的重要数据的种类、数量，收集、存储、加工、使用数据的情况，面临的数据安全风险及其应对举措等。

[13]《信息安全技术 网络数据处理安全规范（征求意见稿）》4. 数据处理总体要求

[14]《信息安全技术 网络数据处理安全规范（征求意见稿）》5. 数据处理

[15]《信息安全技术 网络数据处理安全规范（征求意见稿）》6. 安全管理

[16]《网络安全等级保护细则（征求意见稿）》第二十条【一般安全保护义务】网络运营者应该依法履行下述安全保护义务，保障网路和信息安全：

（一）确定网路安全等级保护工作责任人，建立网路安全等级保护工作责任制，落实责任追究制度；

（二）建立安全管理和技术保护制度，建立人员管理、教育培训、系统安全建设、系统安全运维等制度；

（三）落实机房安全管理、设备和介质安全管理、网络安全管理等制度，制定操作规范和工作流程；

（四）落实身分辨识、防范恶意代码感染传播、防范网路入侵功击的管理和技术举措；

（五）落实检测、记录网路运行状态、网络安全风波、违法犯罪活动的管理和技术举措，并依照规定存留六个月以上可溯源网路违规犯罪的相关网路日志；

（六）落实数据分类、重要数据备份和加密等举措；

（七）依法搜集、使用、处理个人信息，并落实个人信息保护举措，防止个人信息外泄、损毁、篡改、窃取、丢失和滥用；

（八）落实违规信息发觉、阻断、消除等举措，落实防范违规信息大量传播、违法犯罪证据灭失等举措；

（九）落实联网备案和用户真实身分查验等责任；

（十）对网路中发生的案风波，应当在二十四小时外向属地公安机关报告；泄露国家秘密的，应当同时向属地保密行政管理部门报告。

（十一）法律、行政法规规定的其他网路安全保护义务。

[17]《网络安全等级保护细则（征求意见稿）》第三十一条【数据和信息安全保护】网络运营者应该构建并落实重要数据和个人信息安全保护制度；采取保护举措，保障数据和信息在搜集、存储、传输、使用、提供、销毁过程中的安全；建立异地备份恢复等技术举措，保障重要数据的完整性、保密性和可用性。

[18]《个人信息和重要数据出境安全评估办法（征求意见稿）》第二条 网络运营者在中华人民共和国境内营运中搜集和形成的个人信息和重要数据，应当在境内储存。因业务须要，确需向境外提供的，应当根据本办法进行安全评估。

《关键信息基础设施安全保护条例（征求意见稿）》第二十九条 运营者在中华人民共和国境内营运中搜集和形成的个人信息和重要数据应该在境内储存。因业务须要，确需向境外提供的，应当根据个人信息和重要数据出境安全评估办法进行评估；法律、行政法规另有规定的，依照其规定。

[19]《信息安全技术 数据出境安全评估手册（征求意见稿）》第3.7条 数据出境data cross-border transfer 网络运营者通过网路等形式，将其在中华人民共和国境内营运中搜集和形成的个人信息和重要数据，通过直接提供或举办业务、提供服务、产品等形式提供给境外的机构、组织或个人的一次性活动或连续性活动。

注1：以下情形属于数据出境：

a）向本国境内，但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据；

b）数据未转移储存至本国以外的地方，但被境外的机构、组织、个人访问查看的（公开信息、网页访问除外）；

c）网络运营者集团内部数据由境内转移至境外，涉及其在境内营运中搜集和形成的个人信息和重要数据的。

注2：非在境内营运中搜集和形成的个人信息和重要数据经由本国出境，未经任何变动或加工处理的，不属于数据出境。

注3：非在境内营运中搜集和形成的个人信息和重要数据在境内储存、加工处理后出境，不涉及境内营运中搜集和形成的个人信息和重要数据的，不属于数据出境。

[20]《个人信息和重要数据出境安全评估办法（征求意见稿）》第八条 数据出境安全评估应重点评估以下内容：

（一）数据出境的必要性；

（二）涉及个人信息情况，包括个人信息的数目、范围、类型、敏感程度，以及个人信息主体是否同意其个人信息出境等；

（三）涉及重要数据情况，包括重要数据的数目、范围、类型及其敏感程度等；

（四）数据接收方的安全保护举措、能力和水平，以及所在国家和地区的网路安全环境等；

（五）数据出境及再转移后被泄漏、毁损、篡改、滥用等风险；

（六）数据出境及出境数据凝聚可能对国家安全、社会公共利益、个人合法利益带来的风险；

（七）其他须要评估的重要事项。

[21]《个人信息和重要数据出境安全评估办法（征求意见稿）》第七条 网络运营者应在数据出境前，自行组织对数据出境进行安全评估，并对评估结果负责。

[22]《个人信息和重要数据出境安全评估办法（征求意见稿）》第九条 出境数据存在以下情况之一的，网络运营者应报请行业主管或监管部门组织安全评估：

（一）含有或累计富含50万人以上的个人信息；

（二）数据量超过1000GB；

（三）包含核设施、化学生物、国防军工、人口健康等领域数据，大型工程活动、海洋环境以及敏感地理信息数据等；

（四）包含关键信息基础设施的系统漏洞、安全防护等网路安全信息；

（五）关键信息基础设施运营者向境外提供个人信息和重要数据；

（六）其他可能影响国家安全和社会公共利益，行业主管或监管部门觉得应当评估。

行业主管或监管部门不明晰的，由国家网信部门组织评估。

[23]《个人信息和重要数据出境安全评估办法（征求意见稿）》第十一条 存在以下情况之一的，数据不得出境：

（一）个人信息出境未经个人信息主体同意，或可能侵犯个人利益；

（二）数据出境给国家政治、经济、科技、国防等安全带来风险，可能影响国家安全、损害社会公共利益；

（三）其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的。