鑽石舞台

1. 個人信息與重要數據出境的監管模式從合到分，從分到合

《評估辦法》全名「《數據出境安全評估辦法》」，顧名思義，即對包括「個人信息」和「重要數據」在內的數據出境安全評估進行規定。《評估辦法》沒有分別就個人信息和重要數據的出境制訂規則，而是採用合併規定，統一監管的模式。從立法進程來看，個人信息與重要數據出境的監管模式經歷了從合到分，從分到合的變化。早期，《網絡安全法》、《個人信息和重要數據出境安全評估辦法（徵求意見稿）》和國家標準《信息安全技術 數據出境安全評估指南（草案）》均對個人信息和重要數據的跨境傳輸進行合併規定。但隨後《個人信息出境安全評估辦法（徵求意見稿）》、《數據安全法》以及《個人信息保護法》則選擇單獨規定個人信息或重要數據的出境規則。而近期發布的《數據出境安全評估辦法（徵求意見稿）》和《網絡數據安全管理條例（徵求意見稿）》又重新回歸了個人信息和重要數據出境的統一監管模式。直至《評估辦法》於昨日（7月7日）發布，最終確立了統一監管模式，整合了《網絡安全法》、《數據安全法》及《個人信息保護法》中關於數據出境安全評估的要求。

統一監管模式的確立，意味着個人信息和重要數據的出境評估問題將採用一套制度和標準。對於企業而言，將減輕因個人信息和重要數據分別立法、單獨監管可能增加的合規負擔。

2. 評估主體從關鍵信息基礎設施運營者擴大到特定數據處理者

《評估辦法》第二條規定，「數據處理者向境外提供在中華人民共和國境內運營中收集和產生的重要數據和個人信息的安全評估，適用本辦法。法律、行政法規另有規定的，依照其規定。」根據《評估辦法》的規定，數據出境安全評估的評估主體為出境重要數據和達到一定條件的個人信息的「數據處理者」。在已生效的《網絡安全法》、《數據安全法》及《個人信息保護法》中，均只明確「關鍵信息基礎設施運營者」（以下簡稱「CIIO」）向境外提供個人信息和重要數據需進行安全評估。但是，一方面此前陸續發布並公開徵求意見的數據出境相關規則均將安全評估的評估主體範圍擴大到CIIO外的其他網絡運營者；另一方面，一些特定行業的管理規定已突破了數據出境安全評估僅適用於CIIO的規定，例如《汽車數據安全管理若干規定（試行）》規定，重要數據出境需經安全評估。

因此，本次《評估辦法》順應了安全評估適用範圍擴大的趨勢，並摒棄了前兩稿中使用的「網絡運營者」表述，轉而使用「數據處理者」這一表述。該變化的原因可能是前兩稿分別於2017年和2019年發布，當時的上位法《網絡安全法》中採用了「網絡運營者」的概念，從而前兩稿也與其保持一致。而2021年陸續頒布的《數據安全法》《個人信息保護法》使用了「數據處理者」和「個人信息處理者」的表達。《評估辦法》描述數據出境規則，使用「數據處理者」的概念則更加準確。

關於什麼是「數據處理者」，《評估辦法》未進行定義。參考《網絡數據安全管理條例（徵求意見稿）》中對「數據處理者」的定義，數據處理者是指「在數據處理活動中自主決定處理目的和處理方式的個人和組織。」因此，在數據委託處理引起的數據出境場景下（如企業使用部署在境外服務器上的SaaS系統進行員工報銷管理），儘管受委託方（SaaS服務提供商）實際實施了數據出境活動（數據存儲於境外服務器），但由於無法決定處理目的和處理方式，數據出境安全評估的主體將不包括該受委託方，而是使用該服務的企業。

3. 自評估與主管部門評估相結合

《評估辦法》第三條規定，「數據出境安全評估堅持事前評估和持續監督相結合、風險自評估與安全評估相結合，防範數據出境安全風險，保障數據依法有序自由流動。」相比較於此前《個人信息出境安全評估辦法（徵求意見稿）》中要求所有個人信息出境均經過主管部門安全評估的「一刀切」模式，採用風險自評估與主管部門評估相結合的評估模式更合理，更具可操作性。

《評估辦法》第五條規定，「數據處理者在申報數據出境安全評估前，應當開展數據出境風險自評估」。該條明確了數據出境風險自評估作為申報數據出境安全評估的前置流程。在之前《評估辦法》的徵求意見稿中，關於數據出境風險自評估適用範圍的規定為「數據處理者在向境外提供數據前，應事先開展數據出境風險自評估」。對此，不少觀點認為，應理解為數據出境風險自評估適用於所有的數據出境場景，不論是否涉及個人信息和重要數據的出境，只要存在數據出境，數據處理者都應開展數據出境風險自評估。但這種將數據出境風險自評估擴大適用的觀點明顯與《評估辦法》第二條所規定的該辦法適用範圍（針對數據處理者向境外提供重要數據和個人信息）以及歷次徵求意見稿中聚焦個人信息和重要數據的監管態度不符。而本次《評估辦法》不僅對於自評估的適用進行了明確規定，而且限於「數據處理者申報數據出境安全評估」的情形。也就是說，只有在觸發主管部門評估的情況下，數據處理者才有自評估的義務。儘管如此，自評估對於企業了解數據出境安全及合規風險仍有重要意義。

4. 主管部門評估的觸發條件

數據出境在什麼情況下需申報主管部門評估，成為數據出境規則的核心問題。此前公布的數據出境規則圍繞數據出境安全評估觸發條件這一問題，進行了多次嘗試。本次《評估辦法》整合、呼應了《網絡安全法》、《數據安全法》和《個人信息保護法》中的相關規則，從數據類型、主體類型、數據規模等角度最終確立了四項觸發條件，以下就將逐一對這四項條件進行簡要分析。

(1) 數據處理者向境外提供重要數據；

該條件基於出境數據的類型，呼應了《數據安全法》中對於重要數據加強保護的要求。根據《數據安全法》的規定，各地區、各部門應當確定本地區、本部門以及相關行業、領域的重要數據具體目錄。因此，重要數據的識別規則和各行業、領域的重要數據目錄亟待發布。

(2) 關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息；

該條件前半部分從主體類型出發，來源於《網絡安全法》第三十七條關於CIIO向境外提供個人信息和重要數據需經安全評估的要求。

後半部分基於處理數據的規模，即當個人信息處理者「處理個人信息達100萬人」時，不論出境的數據量多少，數據處理者均需要申報數據出境安全評估。

關於「100萬人」的門檻設定，容易聯想到《網絡安全審查辦法》中對掌握超過100萬用戶個人信息的網絡平台運營者赴國外上市，必須申報網絡安全審查的規定。因此，網絡平台運營者赴國外上市，可能同時觸發網絡安全審查和數據出境安全評估。

(3) 自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息；

與上一條考慮處理數據的規模不同，該條則是基於出境數據的規模，當出境個人信息或敏感個人信息達到一定規模時，數據處理者需申報數據出境安全評估；而未達到規定數量時，則無需申報。

「10萬人以上個人信息」和「1萬人以上敏感個人信息」的門檻設置回應了《個人信息保護法》第四十條中關於「處理個人信息達到國家網信部門規定數量的個人信息處理者」出境個人信息應當通過國家網信部門組織的安全評估的要求。

需注意的是，該條件採用了累計計算的方法。即使單次數據出境未滿足該條件，但如多次數據出境活動的數據量合計滿足該條件，即需要申報安全評估。但該條也設置了累計計算的期限，即「自上年1月1日起」。因此，對於一些數據出境具有規律性且出境規模不大的企業來說，例如跨國企業普遍存在的因使用服務器在境外的辦公、HR、郵件等系統引起的個人信息出境問題，如果傳輸出境的個人信息數量在最長2年的期限內處於《評估辦法》所規定的門檻之下，則不需申報安全評估。

(4) 國家網信部門規定的其他需要申報數據出境安全評估的情形。

該條雖是兜底，但也有限制。數據出境安全評估與網絡安全審查不同，網信辦不能主動發起，而是依申請的行為。對於《評估辦法》未提及的情形，除非國家網信部門制定規則，否則網信部門不能基於個案要求開展評估，該兜底條款必須具有規範性而不具有個案干預性質。

5. 安全評估的評估重點

《評估辦法》的第五條和第八條分別列舉了數據出境風險自評估和主管部門評估的評估重點，具體如下：

註：風險自評估與主管部門評估的評估重點中的主要差異以紅色標註。

6. 安全評估流程

《評估辦法》第七、十二、十三條描述了主管部門評估的流程。具體而言，主管部門評估可分為：受理 – 評估 – 複評 三個階段。

(1) 受理

省級網信部門應當自收到申報材料之日起5個工作日內完成完備性查驗。申報材料齊全的，將申報材料報送國家網信部門；申報材料不齊全的，應當退回數據處理者並一次性告知需要補充的材料。

國家網信部門應當自收到申報材料之日起7個工作日內，確定是否受理並書面通知數據處理者。

(2) 評估

國家網信部門應當自向數據處理者發出書面受理通知書之日起45個工作日內完成數據出境安全評估；情況複雜或者需要補充、更正材料的，可以適當延長並告知數據處理者預計延長的時間。

評估結果應當書面通知數據處理者。

(3) 複評

數據處理者對評估結果有異議的，可以在收到評估結果15個工作日內向國家網信部門申請複評，複評結果為最終結論。

根據《評估辦法》第十四條的規定，數據出境安全評估的結果有效期為自評估結果出具之日起2年。如在有效期內出現出境數據的目的、方式、範圍、種類變化等影響出境數據安全的情形，則數據處理者應當重新申報評估。有效期屆滿，需要繼續開展數據出境活動的，數據處理者應當在有效期屆滿60個工作日前重新申報評估。

7. 簽署數據出境合同的要求

《評估辦法》第六條規定：「申報數據出境安全評估，應當提交以下材料：……（三）數據處理者與境外接收方擬訂立的法律文件（根據《評估辦法》第五條，與境外接收方擬訂立的數據出境相關合同或者其他具有法律效力的文件等，統稱法律文件）。」第九條規定：「數據處理者應當在與境外接收方訂立的法律文件中明確約定數據安全保護責任義務，至少包括以下內容：……」因此，除風險自評估和申報安全評估外，《評估辦法》還要求數據處理者與境外接收方訂立數據出境相關合同或者其他具有法律效力的文件，並對該等法律文件的內容提出要求，需包括數據出境的目的、方式和數據範圍，境外接收方處理數據的用途、方式等內容。

《評估辦法》採用了「法律文件」這一表述，意味着數據處理者與境外接收方可簽訂除合同形式以外的其他文件，如承諾函。關於數據出境合同的簽署，應注意與《個人信息保護法》中個人信息跨境提供規則的銜接問題。根據《個人信息保護法》第三十八條的規定，「按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務」作為向境外提供個人信息的前提條件之一，與數據出境安全評估、個人信息保護認證等並列。因此，在出境個人信息時，如依據《評估辦法》未觸發數據出境安全評估，則數據處理者可根據《個人信息保護法》選擇進行個人信息保護認證或與境外接收方訂立標準合同。但如根據《評估辦法》觸發了數據出境安全評估，則數據處理者除申報數據出境安全評估外，還需與境外接收方訂立數據跨境合同或其他具有法律效力的文件，且文件中應包含《評估辦法》所規定的內容。

在《評估辦法》頒布前，國家網信辦於2022年6月30日發布《個人信息出境標準合同規定（徵求意見稿）》，並附有《個人信息出境標準合同》模板。關於數據出境合同的內容，《個人信息出境標準合同規定（徵求意見稿）》與《評估辦法》分別規定如下：

註：對於個人信息出境標準合同與《評估辦法》所規定的數據處理者與境外接收方訂立的法律文件兩者內容要求的差異以紅色標註。

根據《評估辦法》第二十條的規定，該辦法將自2022年9月1日起施行。在該辦法施行前已經開展的數據出境活動，不符合該辦法規定的，應當自該辦法施行之日起6個月內完成整改。因此，《評估辦法》已經為企業設置了明確的合規期限，對於存在數據出境的企業而言，應摒棄《評估辦法》落地前的觀望態度，及早採取應對措施。

1. 判斷是否觸發出境評估

實踐中，數據出境往往與企業的內部管理、業務經營密切相關，可能出現於企業的財務、人力資源管理、客戶服務等多個業務流程中。而根據《評估辦法》，出境數據的類型、數據量和出境主體將決定是否會觸發數據出境風險自評估以及數據出境安全評估流程。因此，企業的首要任務是梳理數據類型、企業屬性（是否構成CIIO）、是否構成出境、出境數據量及數據規模等，判斷是否觸發出境評估。

2. 研判能否通過評估

在初步判斷可能觸發評估的情況下，應研判能否通過評估，包括但不限於對數據出境本身的合法性、正當性和必要性的分析判斷。對數據出境的分析預判對企業而言具有較高的要求。以數據出境的合法性為例，除需注意散見於各專門法規中不能出境或出境需經主管部門單獨審批的數據（例如，人類遺傳資源信息出境需經科技部審批），出境活動還可能涉及電信監管問題（例如，使用VPN進行數據出境活動，以及將境內訪問流量路由至境外引起的數據跨境傳輸）。此外，在個人信息出境場景中，《個人信息保護法》所要求的單獨同意是否已經實現以及如何實現的問題也成為企業風險自評估中的難點。對於非常規情形引起的數據出境，如因參與境外訴訟而需向境外法庭提交證據，則情況將更加複雜。

3. 判斷是否觸發其他流程

在數據出境安全評估落地前，《個人信息保護法》及《網絡安全審查辦法》已構建了個人信息保護影響評估制度和網絡安全審查制度。根據《個人信息保護法》第五十五條，企業出境個人信息應事先進行個人信息保護影響評估。此外，根據《網絡安全審查辦法》第二條，企業的數據出境活動影響或者可能影響國家安全的，應按照該辦法進行網絡安全審查。因此，對於企業的一項數據出境活動而言，可能會同時觸發包括數據出境安全評估、個人信息保護影響評估以及網絡安全審查三項程序。這三項審批流程雖然存在聯繫，但因出發點不同，各自的評估/審查重點亦存在差別。