---
name: data-localization-checker
description: >
  data-localization-checker — 电信牌照/互联网内容/数据本地化。适用情形：用户说"data-localization-checker"...
argument-hint: "业务要素 关键参数"
legal_frame: cn-mainland
last_reviewed: 2026-01-01
version: 1.0.0
risk_level: high
trigger_phrases:
  - '数据'
  - '检查'
  - '监管'
  - '牌照'
  - '安全'
---

## 数据源与判断框架引用

本 skill 引用场景级配置 `../../CLAUDE.md`。
来源标注规范（[YD]/[WKL]/[BD]/[GOV]/[model]）参见场景级 references/ 目录。

## 核心概念

数据本地化是中国数据治理体系的核心制度之一，要求特定类型的数据在中国境内存储和处理。法律框架由三部基础性法律构建：《网络安全法》（2016年）确立了关键信息基础设施（CII）运营者在中国境内运营中收集和产生的重要数据须在境内存储的原则；《数据安全法》（2021年）进一步扩展了重要数据的出境安全评估制度；《个人信息保护法》（2021年）则对个人信息的跨境传输设置了三种合法路径——安全评估、标准合同备案（SCC）、专业机构认证。违反数据本地化规定的处罚严厉，最高可处5000万元或上一年度营业额5%的罚款，并可追究刑事责任。

关键信息基础设施（CII）的认定是触发数据本地化义务的前提。根据《关键信息基础设施安全保护条例》（2021年），CII涵盖公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域。CII运营者采购网络产品和服务可能影响国家安全的，须通过国家安全审查。此外，《汽车数据安全管理若干规定（试行）》对汽车行业重要数据的出境作出了专门规定，《金融数据安全分级指南》对金融数据的本地化存储也提出了细化要求。

数据出境安全评估是数据本地化制度中最严格的环节。根据《数据出境安全评估办法》（2022年），向境外提供重要数据或CII运营者向境外提供个人信息的，须通过国家网信办组织的安全评估。评估重点包括：数据出境的目的、范围、方式的合法性、正当性、必要性；境外接收方的安全保障能力；数据出境后的风险及应对措施。评估有效期为2年，期满须重新申请。标准合同备案路径适用于非CII运营者且未达到安全评估门槛的个人信息出境，须在合同生效后10个工作日内向省级网信办备案。

## 工作流程

### 第一步：数据分类分级与本地化义务定位

- 梳理企业收集和产生的所有数据资产，按数据类型（个人信息、重要数据、一般业务数据）进行分类
- 识别企业是否属于CII运营者：对照《关键信息基础设施安全保护条例》的行业范围，确认是否收到CII认定通知
- 对重要数据进行识别：参照《重要数据识别指南》和行业主管部门的专项规定，识别重要的地理信息、经济运行、人口健康、科技研究等数据
- 对个人信息按《个人信息分类分级指南》进行分级：敏感个人信息（生物识别、金融账户、行踪轨迹等）和一般个人信息
- 确定每类数据的本地化义务等级：必须境内存储、可出境（但须评估/备案）、自由传输

### 第二步：数据出境场景识别与路径选择

- 梳理所有数据出境场景：境外总部数据报送、跨境业务合作方数据共享、境外员工信息管理、境外客户服务、云计算跨境传输等
- 对每个出境场景评估数据量级、数据类型、接收方所在国家/地区
- 判断是否触发安全评估：CII运营者出境个人信息或重要数据 → 必须安全评估；非CII运营者处理100万人以上个人信息或向境外提供重要数据 → 必须安全评估
- 未触发安全评估的个人信息出境，选择标准合同备案路径：签署《个人信息出境标准合同》并在10个工作日内向省级网信办备案
- 对特殊行业（金融、医疗、汽车等），遵循行业主管部门的专项数据出境规定
- 对涉及向境外司法或执法机构提供数据的，须经主管机关批准

### 第三步：数据本地化存储与技术措施实施

- 确保应本地化存储的数据使用境内服务器或云服务（选择通过安全审查的云服务提供商）
- 建立数据分级存储策略：重要数据和CII数据存储在境内，一般业务数据可根据业务需要评估出境
- 实施数据脱敏和匿名化处理：对跨境传输的数据进行脱敏，降低数据泄露风险
- 部署数据安全技术措施：加密存储、访问控制、审计日志、数据防泄露（DLP）系统
- 建立数据备份和恢复机制：确保本地化存储数据的安全性和可用性

### 第四步：合规文件准备与备案

- 准备数据出境安全评估申报材料：数据出境风险自评估报告、数据出境合同、数据处理者信息等
- 开展数据出境风险自评估：评估数据出境的必要性、对个人权益的影响、境外接收方的安全保障能力
- 适用标准合同路径的，与境外接收方签署标准合同并办理备案
- 对通过专业机构认证路径的，选择经国家网信办认定的专业机构开展认证
- 保存所有备案材料、评估报告和合同文本，保存期限不少于数据出境活动结束后5年

### 第五步：持续监控与合规更新

- 建立数据出境活动台账，定期（每季度）审查数据出境的合规性
- 监控法律法规变更：网信办、行业主管部门的新规可能调整数据本地化要求
- 对安全评估到期（2年）或标准合同变更的情况，及时重新评估或更新备案
- 发生数据泄露事件时，按照《数据安全法》和《个人信息保护法》的要求及时向监管报告和通知受影响个人
- 每年开展数据合规内部审计，评估数据本地化义务的履行情况

## 输出格式

```
═══════════════════════════════════════
数据本地化合规评估报告
═══════════════════════════════════════
企业名称：[自动填写]
CII认定状态：[是/否/待认定]
数据分类：[个人信息/重要数据/一般数据]
数据出境场景：[N]项
适用路径：[安全评估/标准合同/认证/无需出境]
合规状态：[合规/部分合规/不合规]
═══════════════════════════════════════
```

## 升级决策门

以下情形须移交专业律师：
- 涉及国家安全审查（CII运营者采购网络产品和服务）
- 向境外提供重要数据或大量个人信息且尚未完成安全评估
- 数据出境涉及敏感国家/地区或受制裁实体
- 已发生数据泄露事件，面临监管调查或行政处罚
- 面临数据主权冲突（如美国CLOUD Act与中国数据本地化要求的冲突）
