《数据出境安全评估办法》重点解读（附修改对照稿）

企业在日常经营活动中，经常需要将自身掌握的数据提供给境外。数据出境作为影响个人信息安全乃至国家安全的企业数据处理活动，一直受到监管机关的密切关注。自去年十月份发布征求意见稿后，专门针对企业数据出境行为的规定——《数据出境安全评估办法》（以下简称“办法”）于2022年7月7日正式通过，并将于9月1日起施行。该办法明确了《网络安全法》、《个人信息保护法》等法律法规中为企业数据出境行为设定的前提条件之一——“通过国家网信部门组织的安全评估”如何落地适用，对企业数据出境行为的合规具有十分重要的指导意义。就该法规的重点内容，盈理数据合规团队第一时间为企业解读如下：

并非向境外提供数据的行为都必须申报出境安全评估。《数据出境安全评估办法》明确以下几类企业必须通过申报安全评估的方式才能进行开展数据出境活动：

1. 将重要数据出境的企业，无论数量多少，都要申报出境安全评估。需要注意的是，目前具体哪些数据属于重要数据，立法层面还未明确，但由于重要数据与国家安全密切相关，属于数据出境监管的重点对象，企业应关注《网络数据安全管理条例（征求意见稿）》中对于重要数据的细化规定以及所在地区和行业是否出台了重要数据目录，及时确定自身向境外提供的数据是否包括重要数据。

2. 将特定类型的个人信息出境的企业，需要申报出境安全评估。具体标准如下：

（1）关键信息基础设施运营者收集和产生的个人信息出境，无论自身的处理规模大小和出境的个人信息涉及的主体数量多少，都需要申报安全评估。（2）自身处理规模达到一百万人的个人信息的企业，无论出境的个人信息涉及到的主体数量多少，都需要申报安全评估。

（3）自上年1月1日起，累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息的企业，无论自身总体个人信息处理规模的大小，都需要申报安全评估。

较之前的征求意见稿，正式发布的办法为企业累计计算个人信息出境数量提供了明确的时间节点——“自上年1月1日起”，方便企业排查自身是否必须将申报安全评估作为个人信息出境的法定依据。由于累计年限的限制，跨国企业的中国境内分支机构向境外总部提供员工个人信息、或将境内员工个人信息存储在境外服务器上的情形，除非境内分支机构自身及出境员工个人信息的规模和数量极大，都不必进行安全申报。从这个意义上看，明确个人信息出境数量的时间节点抬高了需要安全评估申报的门槛，降低了一批企业数据出境安全评估的负担。

根据办法，向网信部门申报数据安全评估，主要需要提交三类材料：（一）网信部门提供模板的申报书；（二）企业自己撰写的数据出境风险自评估报告；以及（三）企业与境外接收方就数据出境拟订立的法律文件。

自评估报告将是网信部门重点审核的内容，申报企业需要在自评估报告中，详细说明：（一）数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；（二）出境数据的规模、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；（三）境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全；（四）数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险，个人信息权益维护的渠道是否通畅等；（五）与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等（以下统称法律文件）是否充分约定了数据安全保护责任义务；（六）其他可能影响数据出境安全的事项。

此外，较之前的征求意见稿，正式发布的办法特地将数据处理者与境外接收方拟订立的“合同或者其他具有法律效力的文件“直接替换为”法律文件“。结合网信部门6月30日刚发布的《个人信息出境标准合同规定（征求意见稿）》，我们理解网信部门对于申报安全评估的企业在提交的与接收方签订的跨境传输法律文件的形式和内容上的要求，较征求意见稿中发布的跨境标准合同文本，存在适度的放宽，但亦要求至少具备以下内容：（一）数据出境的目的、方式和数据范围，境外接收方处理数据的用途、方式等；（二）数据在境外保存地点、期限，以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施；（三）对于境外接收方将出境数据再转移给其他组织、个人的约束性要求；（四）境外接收方在实际控制权或者经营范围发生实质性变化，或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时，应当采取的安全措施；（五）违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式；（六）出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时，妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。

在流程上，办法规定申报数据出境安全评估，应当在数据出境活动发生前，向企业所在地省级网信部门提出，由省级网信部门自收到材料之日起5个工作日内完成完备性查验，再由中央网信部门在7个工作日内确定是否受理申报，评估时间一般为45个工作日内。针对评估时间，正式稿特意取消了征求意见稿中一般为60日以内的限制，可以预见针对重大、复杂的跨境申报，网信部门评估的周期可能大幅延长。

通过数据出境安全评估的结果有效期为2年。有效期届满，需要继续开展数据出境活动的企业，应当在有效期届满60个工作日前重新申报评估。

较之前的征求意见稿，正式公布的办法特地增加了对现有数据出境活动在施行之日起6个月内完成整改的要求，即企业应当在2023年3月1日前，完成对现有的触发安全评估申报义务的出境活动的申报。

对于未按要求履行安全评估申报义务的行为，办法规定按《网络安全法》、《个人信息保护法》和《数据安全法》当中的罚则进行行政处罚，可见就安全评估事项，行政监管机关在处罚手段和力度上仍然有较大的自由裁量权。违反办法构成犯罪的，还有可能承担刑事责任。

随着《个人信息保护法》、《网络安全审查办法》、《数据出境安全评估办法》等法律法规的相继出台，数据出境的合规路径与监管的决心已日渐明朗。结合对办法的研读和我们的实务经验，我们提示企业在以下特定场景中，有较大可能性触发办法中申报出境安全评估的强制性要求：

• 外国企业在中国开展业务采集信息，如外国企业在为境内企业提供saas服务时获取境内企业信息、境外生物医药企业在中国境内进行实验采集的个人信息；

• 拟境外上市企业向境外的中介机构、证券交易所提供企业信息；

• 境内企业被境外企业并购；

• 境内企业接受境外投资人投资时向境外投资人提供境内企业信息；

• 跨境电商将境内用户信息提供给境外卖家；

• 境内企业与境外企业开展业务合作时向境外企业提供信息。

针对将施行办法的要求，建议企业尽快开展如下工作：

判断自己是否存在数据出境的行为，并梳理各项数据出境的场景。并非只有发生数据的物理转移，也就是将数据传输到境外或在境外存储的行为才属于数据出境。允许境外主体远程访问存储在境内的数据，如跨国企业的境外总部人员查看境内员工个人信息，也属于数据出境。甚至在某些情况下，外国人在中国境内访问数据的行为，亦可能构成法律意义上的数据出境。

盘点每个数据出境场景下自身出境数据的种类、数量、接收方，梳理出境的数据中是否包含重要数据和个人信息、包含哪些种类的重要数据和个人信息，以及自身的个人信息处理规模和出境个人信息涉及的主体数量，确定自己的数据出境行为是否必须进行安全评估申报方可进行。

确定需要申报安全评估的，按办法的具体要求准备好与接收方就数据出境签订的法律文件，尽快针对开展自评估，并且应当自办法2022年9月1日施行之日起6个月内完成整改。同时，还应当整合并履行其它法律法规中对数据出境的其它强制性要求，例如，《个人信息保护法》要求个人信息出境前还应征得个人信息主体的单独同意、进行个人信息保护影响评估。

此外，需要注意的是，即使企业自身数据跨境的规模和场景无需进行安全评估，普通的个人信息出境也应当具备法定依据——此时可选择通过个人信息保护认证或者签订国家网信部门制定的标准合同来满足个人信息跨境提供的法定条件。

附件：数据出境安全评估办法（修改对照稿 ）

（左右滑动查看完整版）