2022年7月7日，国家互联网信息办公室公布《数据出境安全评估办法》（以下简称“《评估办法》”），将于2022年9月1日起施行。《评估办法》的出台标志着我国数据出境立法规制中的重要一环正式确立，也意味着自《网络安全法》以来一直悬而未决的数据出境监管工作正式提上日程。以下，将结合《评估办法》的规定，对数据出境安全评估涉及的相关实务问题进行梳理和分析，以期为企业更好地理解和适用《评估办法》的规定提供借鉴。

重点导读

一、哪些场景构成数据出境

1、《评估办法》的适用范围

2、“向境外提供个人信息”的含义渐趋明确

3、在境外直接收集境内自然人个人信息或不纳入安全评估的范围

二、触发数据出境安全评估的情形

三、数据出境自评估的开展

四、数据出境安全评估的内容和程序

五、其他

1、重要数据定义的调整

2、复评程序的引入

3、过渡期安排

六、结语

一、哪些场景构成数据出境

1、《评估办法》的适用范围

识别具体的数据出境场景是企业开展数据出境合规工作的重要前提，但对于哪些具体的场景属于数据出境，实践中一直存在争议。《评估办法》第2条规定，《评估办法》适用于数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的行为，明确了《评估办法》项下数据出境行为的具体含义。7月7日，国家互联网信息办公室有关负责人就《评估办法》相关问题回答记者提问时进一步指出，《评估办法》所称数据出境活动主要包括：一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外；二是数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以访问或者调用。这对于指导数据出境场景的识别工作也具有重要意义。

2、“向境外提供个人信息”的含义渐趋明确

实践中就识别数据出境行为的争议之一，在于《个人信息保护法》第38条中的“提供”一词同《个人信息保护法》第23条中的“提供”一词范围是否相同。[1]基于国家互联网信息办公室有关负责人在答记者问中将《评估办法》中的“向境外提供”解释为“传输、存储至境外”，并结合同样于近期出台的《个人信息出境标准合同规定（征求意见稿）》（以下简称“《标准合同规定（征求意见稿）》”）中标准合同的文本内容，[2]似已有了论断。即《个人信息保护法》第38条中“提供”同《个人信息保护法》第23条中的“提供”范围并不相同，《个人信息保护法》第38条中的“提供”应包括任何可能将个人信息传输、存储至境外的数据活动，其中既包括《个人信息保护法》第23条下的“向第三方提供”，也包括个人信息的委托处理、共同处理，还有可能包括因合并、分立、解散、被宣告破产等原因产生的个人信息转移。

此外，答记者问亦明确境外远程访问/调用存储于境内的数据属于《评估办法》下的数据出境，这也同实践中的普遍认识相一致。

3、在境外直接收集境内自然人个人信息或不纳入安全评估的范围

《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》（以下简称“《认证规范》”）将个保法第三条第二款规定的在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动纳入《认证规范》的适用范围。《认证规范》出台后，实务界存在一种声音认为，境外主体作为个人信息处理者直接收集境内自然人个人信息需适用《个人信息保护法》第三章关于个人信息跨境提供的相关规则，即在符合《个人信息保护法》第40条规定的条件的情况下，也需要开展数据出境安全评估。但如果细究《认证规范》的行文，《认证规范》仅是明确其适用于个保法第三条第二款规定的情形，而并无将个保法第三条第二款规定的情形作为数据出境行为进行监管之意。

从《评估办法》的文本来看，其明确的适用范围系数据处理者向境外提供在境内运营中收集和产生的重要数据和个人信息，对于境外个人信息处理者在境外直接收集的自然人个人信息，一般不属于“在境内运营中收集和产生的”个人信息，国家互联网信息办公室有关负责人在答记者问中亦未将该等情形作为数据出境情形进行列举，在未有更进一步监管意见的情形下，我们认为或可暂时将在境外处理境内自然人个人信息的行为排除在安全评估的适用范围之外。

二、触发数据出境安全评估的情形

《评估办法》第4条规定了数据出境安全评估的适用情形，包括（一）数据处理者向境外提供重要数据；（二）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；（三）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；（四）国家网信部门规定的其他需要申报数据出境安全评估的情形。

对于重要数据处理者的重要数据出境及身为关键信息基础设施运营者（“CIIO”）的个人信息处理者的个人信息出境行为而言，其必然触发数据出境安全评估。而对于非CIIO的个人信息处理者而言，其个人信息出境行为是否触发数据出境安全评估则取决于是否满足《评估办法》第4条下的数量标准。相比较去年发布的征求意见稿，《评估办法》为《个人信息保护法》第40条规定的数量标准设定了明确的起算时间节点，也有利于企业进行具体的判断，并基于此开展相应的出境方案规划。

需要说明的是，对于用户数量较多的大中型企业而言，100万人的门槛并不高。换而言之，对于大型企业而言，其数据出境行为绕开数据安全评估几无可能。但对于大型企业涉及数据出境的新业务而言，或可以考虑尝试由新成立的实体来独立运营，以在业务试点或规模未扩大之前，适当降低合规成本。

三、数据出境自评估的开展

《评估办法》第5条要求数据处理者在申报数据出境安全评估前，应当开展数据出境风险自评估，作为申请数据出境安全评估的前置义务，并划定了数据出境自评估的重点评估内容。此外，《评估办法》第6条亦明确数据出境风险自评估报告应作为出境安全评估申报材料一并提交。

同时，在个人信息出境的场景下，个人信息处理者往往还需要根据《个人信息保护法》第55条的规定开展个人信息保护影响评估。从评估的重点上看，针对数据出境行为的个人信息保护影响评估的评估内容与数据出境自评估的重点内容大体相仿；从实操上看，考虑到不少企业均已经在着手开展个人信息保护影响评估工作，可以考虑在此基础上结合《评估办法》的要求，以个人信息保护影响评估报告为基础，形成针对特定数据出境行为的数据出境风险自评估报告。

四、数据出境安全评估的内容和程序

《评估办法》第8条在规定了数据出境安全评估过程中网信部门的重点评估内容，包括：

• 数据出境的目的、范围、方式等的合法性、正当性、必要性；
• 境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响；境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求；
• 出境数据的规模、范围、种类、敏感程度，出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险；
• 数据安全和个人信息权益是否能够得到充分有效保障；
• 数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务；
• 遵守中国法律、行政法规、部门规章情况；
• 国家网信部门认为需要评估的其他事项。

需要注意的是，不同于《标准合同规定（征求意见稿）》中对个人信息保护影响评估的要求，《评估办法》规定的出境自评估未包括对境外接收方所在国家或者地区的数据安全保护政策法规的评估，但这并不能排除在安全评估过程中，网信部门要求数据处理者补充提供关于数据接受方所在地数据安全保护政策法规的相关材料的可能。此时企业或需要协调境内外律师出具相关意见。

就操作程序而言，《评估办法》规定省级网信部门收讫材料，再由国家网信部门组织国务院有关部门、省级网信部门、专门机构等进行安全评估。而对于安全评估开展过程中国家网信部门和省级网信部门以及其他部门、专业机构之间具体如何分工和协调，或还有待后续实践进一步明确。

五、其他

除以上内容外，《评估办法》的以下方面同样值得企业重点关注。

1、重要数据定义的调整

重要数据如何定义，以及如何基于此开展重要数据识别工作是《中华人民共和国网络安全法》出台以来众多企业最关心的话题之一。《中华人民共和国数据安全法》及《数据出境安全评估办法（征求意见稿）》均未回应这种关切，《网络数据安全管理条例（征求意见稿）》（以下简称“《数安条例（征求意见稿）》”）第73条曾以“定义+列举”的方式给出了重要数据的定义，[3]但近期接近监管人士曾表态，将侧重从后果而非数据类型角度描述重要数据的特征。[4]《评估办法》进一步延续了这一思路，在重要数据定义中删除了对于数据类型的列举，各领域的重要数据目录仍有待行业监管部门进一步明确。

2、复评程序的引入

《数据出境安全评估办法（征求意见稿）》出台之后，即有企业反映出境安全评估程序缺乏相应的救济程序，对于数据处理者可能过于严苛。相较于征求意见稿，《评估办法》第13条引入了复评程序，回应了相关企业的诉求，也客观上为企业提供了反映意见的相应渠道。

3、过渡期安排

《评估办法》第20条规定，“本办法自2022年9月1日起施行。本办法施行前已经开展的数据出境活动，不符合本办法规定的，应当自本办法施行之日起6个月内完成整改”，明确了施行后六个月的过渡期安排。

具体而言，若数据出境活动发生在《评估办法》施行前，且后续处理行为已经结束，相关个人信息已不再于境外留存，则基于法不溯及既往的原则，《评估办法》不影响该等数据处理行为的效力。

对于数据出境的传输行为发生在《评估办法》施行前，但相关数据处理活动仍在境外持续开展的数据处理行为，或目前仍在持续发生数据传输行为的数据出境活动，数据处理者应在六个月过渡期内，即2023年2月28日前完成相应的数据出境安全评估工作。在过渡期内，相关数据处理活动仍可继续开展。

而对于《评估办法》施行后开展的数据出境活动，则企业应当在完成数据出境安全评估申报后，方可开展相关数据处理活动。

六、结语

考虑到企业申请完全评估前需要完成数据出境行为识别、数据出境协议签署、数据出境风险自评估的相关工作，结合《评估办法》规定的45个工作日且可延长的评估期限，六个月的过渡期对于企业而言可能并不宽裕，建议企业尽快着手开展相关工作，充分确保数据出境活动合规开展。

注释（上下滑动阅览）

【1】《个人信息保护法》第23条规定，“个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。”

第38条规定，“个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；（四）法律、行政法规或者国家网信部门规定的其他条件……”

【2】标准合同第三条第（四）款、第（六）款及第（八）款约定了跨境委托处理场景下个人信息提供方与境外接收方之间的权利义务关系，可以认为其实质确认了个人信息跨境委托处理亦适用个人信息跨境提供的相关规则，对于符合《标准合同规定（征求意见稿）》第4条的个人信息跨境提供，个人信息处理者和境外接收方可以通过签署标准合同来履行《个人信息保护法》第38条项下的合规义务。

【3】《数安条例（征求意见稿）》第73条规定：“本条例下列用语的含义：……重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据。包括以下数据：1.未公开的政务数据、工作秘密、情报数据和执法司法数据；2.出口管制数据，出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据，密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据；3.国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等；4.工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据，关键系统组件、设备供应链数据；5.达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据；6.国家基础设施、关键信息基础设施建设运行及其安全数据，国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据；7.其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。

【4】参见“批量个人信息是重要数据吗？左晓栋：伪命题，不应强行关联”，载https://mp.weixin.qq.com/s/y3b54PolzlIicEF-uFE6tw，最后访问时间2022年7月9日。

作者：刘新宇 吴豪雳

编辑：Sharon