一文全解《数据出境安全评估办法》

我国的数据出境的巨大需求与其无法可依矛盾已久，2022年7月7日，国家互联网信息办公室发布《数据出境安全评估办法》（以下简称“《评估办法》”），为我国数据出境制度翻开了崭新的篇章。鉴于本文件对企业较为重要，解读篇幅较长，笔者本次调整了文章内容顺序，先将监管态度、企业应对措施以及笔者自己整理的数据安全评估流程图调整至文章前半部分，帮助有需要的企业快速了解数据出境安全评估制度。后半部分再对数据出境安全评估中涉及的重要概念以及部分细节进行讨论。

（一）监管

《评估办法》自上一版征求意见稿到到本次正文公布的历时近八个月，速度较一般立法快了很多，这反映了我国数据出境合规工作的紧迫性。数据出境安全评估制度也将成为我国监管部门管理数据出境行为的有力抓手。

需要注意的是，《评估方法》给数据出境各方进行评估工作的时间有限，最晚完成时间为2023年3月1日，期间不仅要完成数据梳理，分类分级，制度搭建，域外接收方及法律环境网络安全环境尽调等耗时较长工作，还要为国家网信部门等机关预留评估时间。总体来讲，企业的合规压力较大。

除此之外，本次正式稿还删除了对情况复杂或者补充更正材料的延长时间限制（具体看下图），意味着企业如果不能及时完成数据安全评估，其涉及数据出境业务受影响的时间将存在极大的不确定性。所以，企业如需要进行数据出境安全评估，应留足时间，尽快开始。（《数据出境安全评估》征求意见稿与正文的全文对比与本文一起发表在本公众号，各位读者可按需查看）

（二）数据出镜安全评估流程图

（三）企业具体应对措施

1、 通过数据资产梳理与分类分级，建立企业内部数据监管制度

数据梳理与分类分级是企业建立流动的数据监管制度的基础，以企业现行或拟进行的业务为依托，对其中涉及的数据进行梳理，根据数据类型等对数据进行分类分级，并按照分类分级结果，建立企业内部控制制度，具体包括数据访问权限设计，内部安全管理制度，安全事件应急预案等制度。

2、 做好业务拆分工作

将数据本地存储和数据出境相结合，合理利用业务拆分，帮助企业通过网络安全审查、数据出境安全评估等工作。这是目前企业针对数据强监管下新思路，在不影响企业业务正常运行的情况下，尽可能的将出境的必要数据与其他数据进行剥离，尽可能的保证数据本地存储的最大化。此举不仅有利于企业降低合规成本，最重要的是有利于企业配合监管要求，帮助企业顺利开展相关业务。这也符合我国数据安全有序流动的监管宗旨。

3、 做好企业与其他主体的各项合规工作

数据出境，除了要对境外接收方的法律环境与数据安全环境进行尽职调查，还要为涉及国内各数据处理第三方设计各项制度。包括准备签订各项法律文件，对各方管理措施和技术措施进行调查和确认，同时要对结果、来往记录留存，如有需要，配合监管机构核查。

（四）数据出境安全评估要点解读

（一）“数据出境”的定义

根据《评估办法》答记者问，数据出境活动主要包括：一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以访问或者调用。

通过对上述内容进行归纳，《评估办法》中数据出境共有两个特点：第一，数据由境内收集和产生；第二，境外可通过物理层面上的传输和存储接触到数据，或者通过线上的方式进行访问或调取。这种不仅限于物理上的数据出境，在《信息安全技术 数据出境安全评估指南（征求意见稿）》（以下简称“《评估指南》”）也有提及（如下图）。

笔者建议，即使在其他规定中对“数据出境“也有规定，但在数据出境安全评估工作中，应严格按照《评估办法》中的两个特点进行理解。

（二）《评估办法》的适用范围

首先必须明确，判断《评估办法》适用范围的第一步，要确定数据类型是否仅限于重要数据和个人信息，第二部再判断数据处理者是否属于规定中要求的特殊条件。这种判断方法不仅与数据合规实务中先行数据梳理有联系，而且如发现涉及国家秘密或一般经营数据等其他数据类型，可做区别处理。

（1） 重要数据的认定

《评估办法》中第十九条规定，重要数据，是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。

虽然有上述定义，但重要数据认定在实务中一直是困扰企业的难题，主要是目前《数据安全法》将确定重要数据目录的任务交给了各地区和各部门。但目前为止，只有《汽车数据安全管理若干规定（试行）》做出了回应，汽车领域的重要数据包括①军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据；②车辆流量、物流等反映经济运行情况的数据；③汽车充电网的运行数据；④包含人脸信息、车牌信息等的车外视频、图像数据；⑤涉及个人信息主体超过10万人的个人信息；⑥国家部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。

虽然目前为止其他领域暂未列明重要数据目录，但企业（尤其是涉及能源、金融等重要行业的企业）不可忽视其重要数据识别的必要性。一方面，应积极与主管本地区，本行业的单位组织沟通，确认企业是否涉及重要数据。其次，通过汽车行业重要数据目录，根据本行业性质，归纳出定性与定量结合的方式进行认定。例如涉及军事管理区的数据、反映经济运行状况的数据均可认定为重要数据。

（2） 关键基础设施者（以下简称“CIIO”）的认定

CIIO的认定与重要数据存在同样的困境。《关键信息基础设施安全保护条例》将关键基础设施者的认定交给了本行业、本领域的保护工作部门。我们一般可使用“敲门原则”帮助企业判断自身是否属于CIIO，即企业如收到保护工作部门通知，则属于CIIO。

（3） 敏感个人信息的处理

首先，敏感个人信息的认定可参照《信息安全技术 个人信息安全规范 GB/T 35273—2020》（以下简称“《安全规范》”）的附录B的内容（如下图）。

笔者认为，敏感个人信息的认定应根据不同场景具体分析。例如个人的姓名，在涉及疫情流调的场景中，有可能被认定为敏感个人信息。

其次，通过改变信息颗粒度，确认必要性，尽可能减少出境敏感个人信息数量，降低企业合规成本。例如，国外母公司如果需要国内子公司或分公司员工的体检结果，是否可以用正常/异常代替详细的体检结果。

（4）100万，10万，1万的认定

本次《评估办法》确认了关于人数的计算方式，即以人数为计算方式，而并非以个人信息条数计算。同时，10万人个人信息和1万人个人信息无需累计，可在一个周期内清零，这减轻了部分中小企业的合规负担。

（三）个人信息保护影响评估（PIA）与数据出境风险自评估的关系

个人信息出境作为《个保法》下明确规定应该进行PIA的情形，如遇到也需要进行数据风险自评估的情形，二者是否应出具同一份报告。目前有观点认为两者为同一份报告，笔者对此持保守态度。通过二者在各自规定中的内容即可了解。（如下图）

造成以上原因主要是两个法律文件保护法益的倾向性不同。但在实践中，由于数据出境安全自评估与PIA的部分工作内容重合，二者可同步进行， 在保证两份报告均可出具的同时，避免企业或外部第三方机构重复工作，以提高企业合规工作的效率。

（四）数据安全评估要求的企业动态监管体系

《评估办法》要求企业在数据出境过程中，如出现情形变更以至影响出境安全的情况，应该重新申请安全评估。这意味着企业应根据变化，实时对相关法律文件、数据出境安全自评估等前期工作一并调整，这对企业内部动态数据管理的规范程度提出了更高的要求。

通过数据出境安全评估的结果有效期为2年，自评估结果出具之日起计算。有效期届满，需要继续开展数据出境活动的，数据处理者应当在有效期届满60个工作日前重新申报评估。

（五）企业数据出境安全评估需重点关注的内容

这是根据《评估办法》中根据自评估和国家机关评估重点进行归纳得出的。

1、 数据出境的合法性、正当性，必要性

上述三性是数据出境所需首要考虑的因素，但却往往被相关合规人员所忽视。如笔者文中企业应对措施提及，企业应该首先考虑是否在不影响正常业务的情况下进行数据本地存储。如确有出境必要，应充分进行合法性、正当性和必要性的论证。

2、 境外接收方数据保护情况

对境外数据接收方的尽调主要是两方面，一方面是接收方所在地的政策环境和网络安全环境，另一方面是境外数据接收方本身的管理措施和技术保证措施等是否达到中国的相关规定。

实务中，除境内外属于同一集团公司外，境外接收方的尽调常常因涉及跨境而难度较大。此时可选择国际公认的审计机构或者跨国的服务机构对其进行调查，确保尽调的可靠性。同时，注意对相关报告进行留存，配合监管机构的核查。

3、通过对数据本身进行分析，确认数据的规模、范围、种类、敏感程度，出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险。

4、数据安全和个人信息权益是否能够得到充分有效保障

根据《个人信息出境标准合同规定（征求意见稿）》（以下简称“《标准合同（征求意见稿）》”）的相关内容，可要求境外接收方设立专门的联系人，以确保接受国内监管机关问询以及个人信息主体的要求，同时国内数据处理者也要承担相应的兜底任务。

5、双方签订有约束力的法律文件

正如笔者在评析《标准合同（征求意见稿）》中的观点，数据处理者与境外接收方拟订立的法律文件可参考《标准合同》的相关内容，并根据企业自身情况进行修改和完善。这有利于帮助企业顺利面向监管，通过数据安全影响评估。

6、规定或认为需要评估的其他事项。

结语

数据出境安全评估制度的确定，使我国数据出境的格局发生变化。在国家要求数据安全有序流动的大背景下，安全评估为企业数据出境带来了确定性。加之近期发布的《标准合同（征求意见稿）》、《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》，我国的数据出境的路径将逐渐明悉。

附：《数据出境安全评估办法》正文与征求意见稿全文对比

（一）东数西算系列

（二）数据合规专项