企业数据合规体检要点之一：外部监管手续

企业数据合规体检专题系面向企业内部人员提供开展数据合规核查及整改工作的指引，本专题总结了企业数据合规体检工作的十大要点，希望帮助企业内部人员了解数据合规工作所包含的具体内容，通俗而言，即数据合规工作到底需要做什么以及需要做到什么程度。

 

本篇系本专题第一篇，主要介绍数据合规工作所涉外部监管手续，包括与数据合规工作相关、企业需获取的各类资质证书、需履行的各类备案/报告等手续。外部监管手续的办理通常较为耗时，且涉及与主管监管部门的互动，其重要性不言而喻。

当前企业需重点关注的外部监管手续主要包括：

 

一、网络安全审查

1、法规依据

《网络安全审查办法》第二条规定，关键信息基础设施运营者采购网络产品和服务，网络平台运营者开展数据处理活动，影响或者可能影响国家安全的，应当按规定进行网络安全审查。第七条规定掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。

除企业需主动申报网络安全审查的情形外，《网络安全审查办法》第十六条也规定监管机构对于认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动，可依法定程序发起审查。

2、实操建议

当前实操中触发网络安全审查一般包括两种情形，一是监管机构依职权主动发起的审查，典型案例如国家网信办针对滴滴、知网等公司发起的网络安全审查活动；二是“掌握超过100万用户个人信息”的企业赴国外上市，需事先主动申报网络安全审查。当前系由网络安全审查认证和市场监管大数据中心（CCRC，原中国网络安全审查技术与认证中心）负责承担网络安全审查申报材料接收、审核等事宜。企业可通过CCRC网站（https://www.isccc.gov.cn/zxyw/cprz/wlaqsc/index.shtml）公布的联系方式事先与CCRC联系申请网络安全审查。

 

二、数据出境监管手续

1、法规依据

我国数据出境监管大体可分为两个阶段，前一阶段主要以《数据出境安全评估办法》、《个人信息出境标准合同办法》、《关于实施个人信息保护认证的公告》为基础，构建了数据出境安全评估、个人信息出境标准合同备案以及个人信息保护认证三条数据出境路径。并且，国家网信办先后发布了《数据出境安全评估申报指南》、《个人信息出境标准合同备案指南》等文件，对申报数据出境安全评估、备案标准合同的方式、流程及需提交的材料等具体要求进行了规定。但此前数据出境监管实操中，也出现了安全评估触发门槛低、审核周期长、审核标准不够清晰等问题。

2024年3月22日，国家网信办结合出境安全管理工作实践情况，发布《促进和规范数据跨境流动规定》，同时发布了《数据出境安全评估申报指南（第二版）》、《个人信息出境标准合同备案指南（第二版）》，对现有数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的实施和衔接作出进一步规定，适当放宽数据跨境流动条件，收窄数据出境安全评估范围。企业涉及数据出境活动的，可依前述规定判断自身是否需履行数据出境监管手续以及具体适用的出境路径。

2、实操建议

除自贸区企业可根据自贸区负面清单制度开展数据出境活动以及粤港澳大湾区的特殊规定外，当前我国数据出境主要包括申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证三条路径。申报数据出境安全评估、备案个人信息出境标准合同可以登录数据出境申报系统办理，网址：https://sjcj.cac.gov.cn。申请个人信息保护认证可以登录个人信息保护认证管理系统办理，网址：https://data.isccc.gov.cn。

在分析企业具体所需使用的数据出境监管手续时，可依如下步骤进行：

 

 

三、信息安全等级保护备案（等保）

1、法规依据

《网络安全法》第二十一条规定，国家实行网络安全等级保护制度，网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务。根据《信息安全等级保护管理办法》第十五条的规定，新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

2、实操建议

企业开展等保工作一般需在等保服务机构的协助下，向所在地公安机关申请办理。当前实践中对等保工作监管较严，因未履行等保义务而受处罚的案例也较多，企业应当提高对等保工作的重视程度。

 

四、通信网络单元备案（通保）

1、法规依据

《通信网络安全防护管理办法》第七条及第八条规定，通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分，并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度，由低到高分别划分为一级、二级、三级、四级、五级。运行单位应当在通信网络定级评审通过后三十日内，将通信网络单元的划分和定级情况按照以下规定向电信管理机构备案。此外，根据第十一条以及第十二条的相关规定，运行单位还应当进一步开展相关的符合性评测以及安全风险评估工作，并向监管机构报送符合性评测以及安全风险评估结果。

2、实操建议

实践中，通保工作的监管重点企业包括基础电信企业和增值电信企业，相关企业可通过“通信网络安全防护管理系统（https://mii-aqfh.cn）”开展通保备案工作。

除《通信网络安全防护管理办法》的规定外，各地通管局通常也会发布相应工作通知，要求辖区内企业按要求开展通信网络单元的定级和备案工作，部分地区还会不定期通报违反通信网络安全防护管理要求的企业名单。当前实践中大多企业对通保工作不够重视，各地对通保的执法口径差异也较大，建议相关企业应当关注地方要求，及时开展通保工作。

 

五、重要数据目录备案

1、法规依据

《数据安全法》第二十一条规定国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。根据数据遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益等造成的危害程度，通常将数据分为一般数据、重要数据和核心数据三级，当前实操中，如涉及处理重要数据的，企业需向主管监管部门备案重要数据目录。例如《工业和信息化领域数据安全管理办法（试行）》第十二条规定了工业和信息化领域数据处理者应当将本单位重要数据和核心数据目录向本地区行业监管部门备案，备案内容包括但不限于数据来源、类别、级别、规模、载体、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况。

2、实操建议

实操中的难点在于重要数据的识别，当前除了部分行业、地域的重要数据识别标准相对清晰，大部分企业面临的问题是重要数据的识别还停留在原则性规定层面，企业直接判断自身是否处理重要数据存在一定困难。对于企业内部的重要数据识别工作，建议按以下步骤进行：

（1）被动识别：企业应首先留意是否收到过重要数据识别和备案的监管通知，如是，则应当按照监管要求开展重要数据识别和备案工作。当前实践中部分地区监管部门已在牵头试点开展重要数据目录的识别和备案工作，下发了相对具体的重要数据识别标准。例如，近期上海市通管局下发了《上海市通信管理局关于纵深推进“浦江护航”数据安全专项行动的通知》，要求相关企业应当依据相关标准规范对本单位重要数据进行识别认定，并形成具体目录，提交重要数据目录备案申请。

（2）主动识别：当前实操中对企业是否需主动识别重要数据存在一定争议，但考虑到重要数据处理者有较多主动作为义务，例如对于重要数据的处理应当采取更为严格的安全措施、对重要数据处理情况应当进行安全评估等，建议即使未收到过重要数据识别的监管通知，企业仍可以主动识别，就自身是否处理重要数据进行初步判断。国家标准《数据安全技术 数据分类分级规则》（GB/T 43697-2024）的附录“重要数据识别指南”也提供了识别重要数据时可考虑的因素，企业可参照进行判断。

 

六、关键信息基础设施运营者的认定

1、法规依据

关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。《网络安全法》第三十一条规定，国家对关键信息基础设施实行重点保护。《关键信息基础设施运营条例》进一步规定了关键信息基础设施的认定规则以及运营者的责任和义务等内容。

2、实操建议

关键信息基础设施运营者的责任较为重大，如企业被认定为关键信息基础设施运营者，则需要履行特定的职责，包括设置专门安全管理机构、采取针对性的安全管理措施等。当前实操中，关键信息基础设施的认定以主管监管部门的通知为准，如企业未被通知属于关键信息基础设施运营者的，可暂无需履行针对关键信息基础设施运营者的合规义务。

 

七、互联网信息服务算法备案

1、法规依据

《互联网信息服务算法推荐管理规定》第二十四条规定，具有舆论属性或者社会动员能力的算法推荐服务提供者应当在提供服务之日起十个工作日内通过互联网信息服务算法备案系统填报服务提供者的名称、服务形式、应用领域、算法类型、算法自评估报告、拟公示内容等信息，履行备案手续。此外，第二十六条规定，完成备案的算法推荐服务提供者应当在其对外提供服务的网站、应用程序等的显著位置标明其备案编号并提供公示信息链接。

2、实操建议

应用算法推荐技术，是指利用生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等算法技术向用户提供信息。实践中对于“具有舆论属性或者社会动员能力”的认定标准较为宽松，应用算法推荐技术对外提供服务的，均可能落入“具有舆论属性或者社会动员能力”的范畴内，相关企业可通过“互联网信息服务算法备案系统（https://beian.cac.gov.cn/#/index）”办理备案手续。

 

八、互联网信息服务安全评估

1、法规依据

《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》第三条以及第七条规定，互联网信息服务提供者在“具有舆论属性或社会动员能力的信息服务上线，或者信息服务增设相关功能”等情况下，应当开展安全评估，并将安全评估报告通过全国互联网安全管理服务平台提交所在地网信部门和公安机关。

2、实操建议

《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》中具有舆论属性或社会动员能力的互联网信息服务，包括了：（1）开办论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等信息服务或者附设相应功能；（2）开办提供公众舆论表达渠道或者具有发动社会公众从事特定活动能力的其他互联网信息服务。但目前实操中各地对于企业提供的产品和服务是否具备“舆论属性或社会动员能力”的判断标准并不统一，通常情况下，TOC端服务和产品均可能落入具有“舆论属性或社会动员能力”的范围内。建议企业可与属地公安机关咨询自身产品和服务是否会被认定为具有“舆论属性或社会动员能力”，如是，则建议企业及时通过“全国互联网安全管理服务平台（https://beian.mps.gov.cn/#/）”办理安全评估手续。

 

九、移动互联网应用程序备案

1、法规依据

根据《工业和信息化部关于开展移动互联网应用程序备案工作的通知》，在中华人民共和国境内从事互联网信息服务的APP主办者，应当向住所所在地省级通管局履行备案手续，特别是对于该通知发布后拟开展业务的APP，应按照通知要求先履行备案手续后再开展业务。

2、实操建议

当前APP、小程序的运营者应当通过其网络接入服务提供者、小程序平台（如微信、支付宝小程序平台）开展APP、小程序的备案工作。实操中，各网络接入服务提供者、小程序平台也都相继发布了各自的备案流程指引，建议各APP、小程序的运营者可根据相关指引及时开展备案工作。

 

十、生成式人工智能（大语言模型）上线备案

1、法规依据

《生成式人工智能服务管理暂行办法》第十七条规定，提供具有舆论属性或者社会动员能力的生成式人工智能服务的，应当按照国家有关规定开展安全评估。但该办法规定下的“安全评估”手续具体如何开展长期以来并未有明确规定。

关于生成式人工智能服务及大模型的监管手续此前以“双新评估”的形式开展，后续演变成线下的生成式人工智能（大语言模型）上线备案手续。国家网信办此前发布了《国家互联网信息办公室关于发布生成式人工智能服务已备案信息的公告》，进一步明确了提供具有舆论属性或者社会动员能力的生成式人工智能服务的，可通过属地网信部门履行备案程序，并要求已上线的生成式人工智能应用或功能，应在显著位置或产品详情页面公示所使用已备案生成式人工智能服务情况，注明模型名称及备案号。

2、实操建议

当前实操中，生成式人工智能（大语言模型）上线备案手续的办理系通过所在地网信部门线下进行，涉及提供生成式人工智能服务的企业可与属地网信办联系，就自身所提供的生成式人工智能服务的情况以及是否需履行备案手续进行沟通。另需注意的是，实操中部分企业系直接调用第三方大模型对外提供服务，根据当前监管要求，该等“直接调用”的模式也可能需办理登记手续后方能对外提供服务。

 

除上述主要监管手续外，部分行业、地区可能对企业所需履行的特定手续有相应要求，例如根据《汽车数据安全管理若干规定（试行）》第十三条的规定，汽车数据处理者开展重要数据处理活动，应当每年向监管部门报送年度汽车数据安全管理情况。再如实操中，部分地区的监管部门可能会进一步要求相关企业每年度报送数据安全风险评估报告。因此，企业需综合考虑自身所处行业、地区以及所开展的业务情况等，判断所需适用的外部监管手续要求。