数据出境传输安全评估申报判断过程

否

4、这些活动是否涉及个人信息

是

国内法律法规中涉及的数据分类分级主要为：核心数据、重要数据、一般数据

8、自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）的

5、自当年1月1号起累计向境外提供100万人以上个人信息(不含敏感个人信息)

2、这些活动是否涉核心及重要数据

需要申报数据出境安全评估

7、自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息的

符合下列条件之一免于申报安全评估、标准合同、个人信息认证：（一）为订立、履行个人作为一方当事人的合同，如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等，确需向境外提供个人信息的；（二）按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的；（三）紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息的；（四）关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）的。

免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证

常规如何判断是否为核心或者重要数据：a) 满足以下任一条件的数据，识别为核心数据：1) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，直接对国家安全造成特别严重危害（如直接影响政治安全）或严重危害（如关系其他国家安全重点领域）2) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，直接对经济运行造成特别严重危害（如关系国民经济命脉）；3) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，直接对社会秩序造成特别严重危害（如关系重要民生）；4) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，直接对公共利益造成特别严重危害（如关系重大公共利益）；5) 对领域、群体、区域具有较高覆盖度，直接影响政治安全的重要数据；6) 达到较高精度、较大规模、较高重要性或深度，直接影响政治安全的重要数据；7) 经有关部门评估确定的核心数据。b) 满足以下任一条件的数据，识别为重要数据：1) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，直接对国家安全造成一般危害；2) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，直接对经济运行造成严重危害；3) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，直接对社会秩序造成严重危害（如影响社会稳定）；4) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，直接对公共利益造成严重危害（如危害公共健康和安全）；5) 数据直接关系国家安全、经济运行、社会稳定、公共健康和安全的特定领域、特定群体或特定区域；6) 数据达到一定精度、规模、深度或重要性，直接影响国家安全、经济运行、社会稳定、公共健康和安全；7) 经行业领域主管（监管）部门评估确定的重要数据。

6、自当年1月1号起累计向境外提供1万人以上敏感个人信息

3、是否为关键信息基础设施运营者

关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息的，应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。

订立个人信息出境标准合同或通过个人信息保护认证

1、是否有数据出境活动

卫生健康行业判断为核心或者重要数据：a) 卫生健康行业满足以下条件之一的应该纳入核心数据：(一)1000万人及以上个人信息或100万人及以上敏感个人信息;(二)覆盖某一重要特定群体全部个体的数据，特定时期特定区域的群体数据;(三)涉及1000万人及以上，经过计算加工生成的，对数据描述对象有较深刻画程度，且影响国家安全的衍生数据;(四)经评估的其他数据b) 卫生健康行业满足以下条件之一应纳入重要数据：(一)涉及100万人及以上个人信息或10万人及以上敏感个人信息;(二)全国性的业务数据，如涉及10万人的群体健康生理状况数据;涉及1万人的族群生物特征数据、医疗资源数据;涉及10万人的诊疗数据、医疗救援保障数据、特定药品实验数据等;(三)经评估的其他数据。

以下情形属于数据出境行为：（一）数据处理者将在境内运营中收集和产生的数据传输至境外；（二）数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；（三）符合《个人信息保护法》第三条第二款情形，在境外处理境内自然人个人信息等其他数据处理活动。

上海颁布的卫生健康数据分类分级在国家的基础上把一般数据有进行了分级：一般数据4级(敏感个人信息)、一般数据3级、一般数据2级、一般数据1级