数据出境安全评估的八个重要问题

数字经济背景下，数据已经成为国家战略资源和主要生产要素，也是企业核心竞争资产。同时，伴随着经济全球化，数据出境场景越来越多，数据出境已然高频。当前，国际主要地区和国家均建立了完善的数据出境规则，以欧盟为例，基于GDPR，欧盟制定了严格的数据出境规则。内部通过《非个人数据在欧盟境内自由流动框架条例》消除各成员国的数据本地化要求的壁垒，对外出境则通过约束性公司规则（BCRs）、标准数据保护条款（SCC）、批准的行为准则、批准的认证机制等多种方式规制。我们国家随着《网络安全法》《个人信息保护法》《数据安全法》三驾马车的立法构建和出境评估、认证、标准合同等法律文件的完善，数据出境方面的规制越来越严格。尤其是9月1日《数据出境安全评估办法》（下称《评估办法》）的施行，为数据出境规制指明了具体方向，其中八个重要问题企业须重点关注。

《评估办法》第二条规定，数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估，适用本办法。由此可知《评估办法》调整范围为数据处理者向境外提供境内运营中收集和产生的重要数据和个人信息，达到标准的安全评估。

《评估办法》第四条列明了达到具体标准的情形，即

数据处理者向境外提供数据，达到以下情形之一的，须进行出境安全评估：

（一）数据处理者向境外提供重要数据；

（二）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；

（三）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；

（四）国家网信部门规定的其他需要申报数据出境安全评估的情形。

基于数据出境方式的多样性，可能包括境内存储，通过网络等方式传输出境，可能通过硬盘等方式拷贝携带出境，也可能是境外直接获取境内系统接口传输，甚至还包括境外直接采集而不经过本地化处理，所以《数据出境安全评估申报指南（第一版）》（下称《申报指南》）

对于数据出境行为作了具体解释：

（一）数据处理者将在境内运营中收集和产生的数据传输、存储至境外；

（二）数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；

（三）国家网信办规定的其他数据出境行为。

重要数据关乎国家安全、经济发展以及公共利益，一旦未经授权披露、丢失、滥用、篡改或销毁，或汇聚、整合、分析后，可能造成严重后果的数据。所以《评估办法》把“数据处理者向境外提供重要数据”的情形纳入监管范围。

但是，如何识别重要数据，一直以来是实践难点。我们国家对于重要数据的界定，经过了一系列文件完善（见附表）：

其中《信息安全技术重要数据识别指南（征求意见稿）》规定了重要数据的识别因素。具备以下因素之一的，是

重要数据

：

a）反映国家战略储备、应急动员能力，如战略物资产能、储备量属于重要数据；

b）支撑关键基础设施运行或重点领域工业生产，如直接支撑关键基础设施所在行业、领域核心业务运行或重点领域工业生产的数据属于重要数据；

c）反映关键信息基础设施网络安全保护情况，可被利用实施对关键信息基础设施的网络攻击，如反映关键信息基础设施网络安全方案、系统配置信息、核心软硬件设计信息、系统拓扑、应急预案等情况的数据属于重要数据；

d）关系出口管制物项，如描述出口管制物项的设计原理、工艺流程、制作方法等的信息以及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告属于重要数据；

e）可能被其他国家或组织利用发起对我国的军事打击，如满足一定精度要求的地理信息属于重要数据；

f）反映重点目标、重要场所物理安全保护情况或未公开地理目标的位置，可能被恐怖分子、犯罪分子利用实施破坏，如反映重点安保单位、重要生产企业、国家重要资产（如铁路、输油管道）的施工图、内部结构、安防等情况的数据，以及未公开的专用公路、未公开的机场等的信息属于重要数据；

g）可能被利用实施对关键设备、系统组件供应链的破坏，以发起高级持续性威胁等网络攻击，如重要客户清单、未公开的关键信息基础运营者采购产品和服务情况、未公开的重大漏洞属于重要数据；

h）反映群体健康生理状况、族群特征、遗传信息等的基础数据，如人口普查资料、人类遗传资源信息、基因测序原始数据属于重要数据；

i）国家自然资源、环境基础数据，如未公开的水情信息、水文观测数据、气象观测数据、环保监测数据属于重要数据；

j）关系科技实力、影响国际竞争力，如描述与国防、国家安全相关的知识产权的数据属于重要数据；

k）关系敏感物项生产交易以及重要装备配备、使用，可能被外国政府对我实施制裁，如重点企业金融交易数据、重要装备生产制造信息，以及国家重大工程施工过程中的重要装备配备、使用等生产活动信息属于重要数据；

l）在向政府机关、军工企业及其他敏感重要机构提供服务过程中产生的不宜公开的信息，如军工企业较长一段时间内的用车信息；

m）未公开的政务数据、工作秘密、情报数据和执法司法数据，如未公开的统计数据；

其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。

《数据出境安全评估申报指南（第一版）》颁布后，部分省份亦出台了相应申报指引，其中《江苏省数据出境安全评估申报工作指引》对于重要数据亦给出定义，重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。

数据处理者需根据相关行业标准界定出境数据是否为重要数据，如无行业标准，可参考如下标准：

·未公开的政务数据、工作秘密、情报数据和执法司法数据；

·重点行业和领域安全生产、运行的数据，关键系统组件、设备供应链数据；

·达到国家有关部门规定规模或者精度的基因、地理、矿产、气象等国家基础数据；

·影响关键信息基础设施安全稳定运行的数据，国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据；

·出口管制物项涉及的核心技术、设计方案、生产工艺等相关数据，密码、生物、电子信息、人工智能等领域对国家安全、经济竞争力有直接影响的科学技术成果数据；

·国家法律、行政法规、部门规章明确规定需要保护或者限制处理的国家经济运行数据、重要行业和领域业务数据、统计数据等；

·其他一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。

企业应当按照识别指南，首先识别企业处理的数据是否为重要数据，来确定是否属于出境评估的规制范围。

个人信息是企业主要出境数据类型之一，除应符合国家监管要求外，还应按照《个人信息保护法》规定，充分保障个人权利。

（一）在保障个人权利方面，《个人信息保护法》规定：

1.向境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意；

2.个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录；

3.个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到个信法规定的个人信息保护标准。

（二）《个人信息保护法》第三十八条规定个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：

·依照本法第四十条的规定通过国家网信部门组织的安全评估；

·按照国家网信部门的规定经专业机构进行个人信息保护认证；

·按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

·法律、行政法规或者国家网信部门规定的其他条件。

具体在什么情形下适用不同的出境监管模式，需要根据个人信息数据类型、数据量的不同而确定：

1.按照国家网信部门的规定经专业机构进行个人信息保护认证

《网络安全标准实践指南—个人信息跨境处理活动认证技术规范》（征求意见稿）规定以下两种情形可通过个人信息保护认证进行数据出境：

a) 跨国公司或者同一经济、事业实体内部的个人信息跨境处理活动；

b)《中华人民共和国个人信息保护法》第三条第二款规定的境外个人信息处理者，在境外处理境内自然人个人信息的活动。（指以向境内自然人提供产品或者服务为目的；分析、评估境内自然人的行为；法律、行政法规规定的其他情形。）

2.按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务

仅通过标准合同进行个人信息出境的，须为未达到出境安全评估规制标准的情形。根据《个人信息出境标准合同规定（征求意见稿）》规定，标准合同生效之日起10个工作日内，向所在地省级网信部门备案，还应提交个人信息保护影响评估报告；标准合同生效后个人信息处理者即可开展个人信息出境活动。

3.出境安全评估

《个人信息保护法》第四十条规定，关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。根据《评估办法》的规定，关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息须进行出境安全评估。

4.网络安全审查

根据《网络安全审查办法》，关键信息基础设施运营者采购网络产品和服务，网络平台运营者开展数据处理活动，影响或者可能影响国家安全的，应当按照本办法进行网络安全审查；掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。

如企业处理的数据类型主要为个人信息，则须根据自身情况，对应不同监管要求。

出境风险自评估是出境安全评估的前置环节，企业在申请出境安全评估时，同时要提交数据出境风险自评估报告。对于自评估的范围，《评估办法》第五条规定，数据处理者在申报数据出境安全评估前，应当开展数据出境风险自评估，重点评估以下事项：

（一）数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；

（二）出境数据的规模、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；

（三）境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全；

（四）数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险，个人信息权益维护的渠道是否通畅等；

（五）与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等（以下统称法律文件）是否充分约定了数据安全保护责任义务；

（六）其他可能影响数据出境安全的事项。

值得指出的是，《评估办法》在征求意见时，自评估还包括数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险，正式文件中此条款被删除。但是在《申报指南》中，自评估报告的主要内容示例中，又增加了数据处理者数据安全保障能力情况模块。

对于

自评估，可参考流

程：

自评估报告的具体内容是重点，也是难点

，主要包括：

其中第一部分简述自评估工作开展情况

，包括起止时间、组织情况、实施过程、实施方式等内容，第二部分是核查自身情况的内容，包括7个方面主要内容。

第三部分是评估的核心，要说明拟出境活动的风险评估情况。

在此项中，须逐项说明风险评估情况，重点说明评估发现的问题和风险隐患，以及相应采取的整改措施及整改效果。也就是说，自评估并不仅仅是评估风险，还要有相应采取的整改措施及整改效果。第四部分是出境活动风险自评估结论，也须充分说明得出自评估结论的理由和论据。

另外，报告所述自评估活动须当次申报安全评估前3个月内完成；如有第三方机构参与自评估，须在自评估报告中说明第三方机构的基本情况及参与评估的情况，并在相关内容页上加盖第三方机构公章。

安全评估内容与自评估内容略有差异，

重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险

，主要包括以下事项：

（一）数据出境的目的、范围、方式等的合法性、正当性、必要性；

（二）境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响；境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求；

（三）出境数据的规模、范围、种类、敏感程度，出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险；

（四）数据安全和个人信息权益是否能够得到充分有效保障；

（五）数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务；

（六）遵守中国法律、行政法规、部门规章情况；

（七）国家网信部门认为需要评估的其他事项。

值得关注的是，出境安全评估中，对于境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响；境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求；遵守中国法律、行政法规、部门规章情况三个方面，要求企业在数据出境之前就应该做好风险预判，提前了解接收方注册地、经营地、数据使用地、数据存储地等区域的法治环境与网络基础设施能力，还应特别关注有关链接点国家和地区对于中国法律、中国参与的国际条约的认同感，以及对于中国企业出海的态度等等，尤其要关注对于中国企业采取制裁措施的国家和地区带来的数据安全风险。

《评估办法》第九条规定，

数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务，至少包括以下内容：

（一）数据出境的目的、方式和数据范围，境外接收方处理数据的用途、方式等；

（二）数据在境外保存地点、期限，以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施；

（三）对于境外接收方将出境数据再转移给其他组织、个人的约束性要求；

（四）境外接收方在实际控制权或者经营范围发生实质性变化，或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时，应当采取的安全措施；

（五）违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式；

（六）出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时，妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。

目前，监管部门仅出台了个人信息有关出境合同的规定，仍然是征求意见稿，对于其他数据类型出境的标准合同或者合同指南并未完善。在具体制定有关数据出境合同文本时，如果涉及个人信息，企业可以参考《个人信息出境标准合同》，但如果是重要数据等类型，除了参考个人信息标准合同之外，还应增加有关重要数据特点的规制条款。

需要强调的是，关于合同约定管辖问题，无论是仲裁或是诉讼，均应首先约定中国司法管辖。如果约定仲裁，无法就位于中国仲裁机构管辖达成一致意思时，也应约定其他《承认及执行外国仲裁裁决公约》成员的仲裁机构管辖。

另外，对于合同内容，基于数据出境的特点，不应仅仅具有法律条款，还应附有相关附件，就技术、访问控制、管理措施等等内容进行完整约定。

出境安全评估须提交的材料内容主要是申报书、自评估报告、有关法律文件等，但最新出台的《申报指南》作了进一步完善：

对于

监管机构接收材料并开展出境评估后的流程如下

：

1.省级网信部门应当自收到申报材料之日起5个工作日内完成完备性查验。申报材料齐全的，将申报材料报送国家网信部门；申报材料不齐全的，应当退回数据处理者并一次性告知需要补充的材料。

2.国家网信部门应当自收到申报材料之日起7个工作日内，确定是否受理并书面通知数据处理者。

3.国家网信部门受理申报后，根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估。

4.安全评估过程中，发现数据处理者提交的申报材料不符合要求的，国家网信部门可以要求其补充或者更正。数据处理者无正当理由不补充或者更正的，国家网信部门可以终止安全评估。

5.国家网信部门应当自向数据处理者发出书面受理通知书之日起45个工作日内完成数据出境安全评估；情况复杂或者需要补充、更正材料的，可以适当延长并告知数据处理者预计延长的时间。评估结果应当书面通知数据处理者。

6.数据处理者对评估结果有异议的，可以在收到评估结果15个工作日内向国家网信部门申请复评，复评结果为最终结论。

目前，部分省份也出台了有关工作指引，就具体申请流程进一步明确，以江苏为例，流程如下：

从立法层面来看，《网络安全法》《数据安全法》《个人信息保护法》规定的数据出境的主要监管部门均为国家网信部门。《评估办法》规定的受理部门是国家网信部门，《网络安全审查办法》也规定网络安全审查办公室设在国家互联网信息办公室，负责制定网络安全审查相关制度规范，组织网络安全审查。从管理层级来看，主要权限在国家网信办。

同时，

在立法层面

，还建立了多部门协调工作机制。比如：网络安全审查的工作，也在中央网络安全和信息化委员会领导下，国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立工作机制；出境评估的监管，《评估办法》也规定，国家网信部门受理申报后，根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估。

另外，

在直接监管工作中

，有关网络安全、数据安全、个人信息保护的监管部门还可能包括工信部门、公安部门以及各行业主管部门等，所以在监管体系中，直属监管部门依然对于数据出境具有监管权力，也值得企业特别关注。以金融行业为例，在金融消费者权益保护、反洗钱有关规定中，明确了金融数据、个人金融信息出境的要求，金融机构在处理数据出境时，除了应符合国家一般性规定外，还应符合金融行业特殊性监管要求，否则可能面临人民银行、银保监部门的行政处罚。

除此之外，部分地区先行先试，试图探索更为便捷且安全的数据跨境流动机制。

以深圳为例

，在深圳市政协七届二次会议中，有政协委员提出在河套设“数据海关”，探索基于隐私计算技术的数据跨境监管新模式，优先开放生物科技、信息科学、人工智能等领域的科研数据跨境实践，加大与香港北部都会区科技协同力度、大同河套科研物资跨境通道。在《深圳市政务服务数据管理局2021年工作情况和2022年工作计划》中明确提出，2022年在前海设置“数据海关”试点。“数据海关”的设立和完善，有助于发挥数据要素作用，以法规制度推进公共数据资产登记与评估试点，推进数据资源开发利用，促进数据交易流通。将来，也将是数据出境监管的重要环节。

后记

随着数字经济的发展，数据出境频率越来越快，国家层面在不断地建立和完善数据出境规则，作为企业也应时时关注数据合规问题。数据出境关乎国家安全、企业竞争力、个人权益保护，需要的不仅仅是企业应对监管的手段，还考量企业体系化的管理能力。只有企业自主建立和完善体系，通过管理手段、法律手段、技术手段相结合，才能有效避免风险，行往合规之道！

作者简介

王岩飞律师

京师深圳律所联合创始人

京师深圳律所法律研究院院长

京师深圳律所数字经济法律事务中心主任

京师深圳律所业务指导委员会委员

数据合规研究院执行院长

广东省律师协会数字经济法律业务委员会副秘书长

深圳市律师协会数据合规专委会副主任

福田区律师工作委员会青年律师工作中心委员

专业领域：

企业合规、数据合规及信息安全保护、金融行业法律风险防控及流动性危机处置、跨境电商平台运营及合规体系构建、私募基金投融资及商业并购等法律服务

举报/反馈

京师深圳律所

6872获赞 891粉丝

北京市京师（深圳）律师事务所

品牌企业,北京市京师（深圳）律师事务所

关注