2022年9月1日，《数据出境安全评估办法》施行，同年，《数据出境安全评估申报指南（第一版）》施行，二者初步构建起数据跨境的第一条合规路径“数据出境安全评估”的实务操作的基本方法，对于数据跨境中最重要、也是最为复杂的合规路径，数据出境安全评估该如何操作？评估办法落地前又是如何演变？实务中存在哪些问题？现笔者围绕“数据出境安全评估”作为重点议题，推出系列文章之二：数据出境安全评估要点分析。

（一）数据出境安全评估的适用范围

对比数据“三法”，《数据出境安全评估办法》对安全评估的适用范围实际上有所扩张。《网络安全法》和《数据安全法》针对关键信息基础设施运营者，《个人信息保护法》所规定针对个人信息处理者，而《数据安全评估》第四条第（一）款规定为“数据处理者向境外提供重要数据”，相对于个人信息处理者和关键信息基础设施运营者，范围显然有所扩张，形成了“个人信息+重要数据”的统一规制模式。所谓重要数据，根据《数据出境安全评估办法》第十九条规定，是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据

《数据出境安全评估办法》如此规定并非没有依据，实际上在前述《数据安全法》第三十一条已有规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。”是故，网信部门作出如此规定确有法律层面的依据。

《数据安全评估》第四条的第（二）款和第（三）款则是将《个人信息保护法》第三十八条规定的“处理个人信息达到国家网信部门规定数量”进行了确定。对比《数据出境安全评估办法》第四条，《数据出境安全评估申报指南（第一版）》所规定的适用范围与其并无差异，只不过额外对“数据出境行为”进行了界定。

综上，数据出境安全评估的适用范围为：

· 数据处理者向境外提供重要数据；

· 关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；

· 自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；

· 国家网信办规定的其他需要申报数据出境安全评估的情形。

（二）数据出境安全评估的申报材料

综上，关于申报材料，《数据出境安全评估申报指南（第一版）》包含了《数据出境安全评估办法》的内容，其不仅规定得更加详细，且在文后还附上了数据出境安全评估申报材料要求表及部分材料文书的模板，为数据出境安全评估的申报者提供了较为明确的指引。

是故，参考《数据出境安全评估申报指南（第一版）》附件1，数据出境安全评估申报应当提交申报材料及要求如下：

（三）数据出境风险自评估报告的

要点

根据上述规定，《数据出境安全评估办法》对数据出境风险自评估报告的要点、数据处理者与境外接收方订立的法律文件内容要点提出了要求，后者虽然实际上是针对数据处理者与境外接收方订立的法律文件的要求，但是《数据出境安全评估申报指南（第一版）》的模板中已将其纳入“二、出境活动整体情况”的“（六）法律文件约定数据安全保护责任义务的情况”进行评估，因二者内容相一致，故实务中可以将其视为数据出境风险自评估报告的一部分，一并进行合规操作。

数据出境风险自评估报告作为进行数据出境安全评估的核心工作，亦是目前实务申报中的重点难点，关于其要点，因《数据出境安全评估申报指南（第一版）》直接给出了详细的要点模板，对《数据出境安全评估办法》规定进行了详细的展开，故申报者可以直接参照《数据出境安全评估申报指南（第一版）》的模板进行。

除此之外还须注意的是，数据出境风险自评估报告所述自评估活动应当在申报前3个月内完成。

笔者将数据出境风险自评估报告的要点以图表方式汇总如下：

（四）数据出境安全评估申报方式

及流程

关于数据出境安全评估申报方式及流程，《数据出境安全评估办法》规定更为详细，目前主要采取“省级网信部门完备性查验+国家网信部门评估”的基本模式，笔者将总体流程汇总为图示如下：

（五）数据出境安全评估的其他重要事项

1.整改时间——2023年3月1日前

根据《数据出境安全评估办法》第二十条规定：“本办法自2022年9月1日起施行。本办法施行前已经开展的数据出境活动，不符合本办法规定的，应当自本办法施行之日起6个月内完成整改。”

即数据出境活动应当在《数据出境安全评估办法》施行之日起6个月内即2023年3月1日前完成整改。如今已经超过2023年3月1日，根据《数据出境安全评估办法》第十八条规定：“违反本办法规定的，依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规处理；构成犯罪的，依法追究刑事责任。”

符合数据出境安全评估适用范围的数据处理者应当及时依据《数据出境安全评估办法》等有关规定进行安全评估，以免承担相应的责任。

2.群众监督

根据《数据出境安全评估办法》第十六条规定：“任何组织和个人发现数据处理者违反本办法向境外提供数据的，可以向省级以上网信部门举报。”目前各省网信部门皆已开设举报渠道，国家网信部门专门开设了12377违法和不良信息举报中心。数据处理者除了受到国家网信部门的监管规制，还要受到社会组织和群众的广泛监督。

（一）数据出境安全评估的演变

数据出境安全评估制度落地方初，尚有许多实施不明之处，事实上，就目前《数据出境安全评估办法》之实行也并非一蹴而就，就数据出境相关的评估办法，国家网信办曾经颁布过三次征求意见稿，三易其名，只不过前两个版本都未被采用，直至第三个版本，才真正确立了“个人信息+重要数据”的统一规制模式。

2017年和2019年公布的两个版本的意见稿主要根据《网络安全法》制定，第三个版本的征求意见稿根据《网络安全法》、《数据安全法》和《个人信息保护法》制定，在进行部分条款的轻微修改后，于2022年7月7日正式发布最终版，并于2022年9月1日开始实施。下附《数据出境安全评估办法》征求意见稿与正式稿之对比。

相较于征求意见稿，《数据出境安全评估办法》正式稿主要有如下变化：

1.时间变化

（1）限定了1万人/10万人两个累计标准的时间跨度，即“自上年1月1日起累计”，也就是说，最短一年、最长两年清零一次。对于用户规模较小，但是信息出境频率较高的企业，可在申报数据出境安全评估的时间选择上稍加留意；对于用户数量规模较小且出境频率低的企业，这一限制则可能会使其免于严格的“安全评估”，降低其合规成本。

（2）对于情况复杂、材料需要补充或更正的情况，国家网信部门可在45个工作日的基础时限之外，适当延长评估时间。此前征求意见稿规定适当延长“一般不超过六十个工作日”，正式稿取消了这一限制，如此一来，评估所需时间上限实际上难以预估。

（3）第20条确定《数据出境安全评估办法》施行时间为2022年9月1日，并明确该规定适用于施行前已开展的出境活动，限定自施行之日起6个月为整改时间。企业应当及时于2023年3月1日前完成整改。

2.表述变化

（1）“合同”扩大为“法律文件”、“数量”改为“规模”、“法律环境发生变化”改为“数据安全保护政策法规和网络安全环境发生变化“。

（2）在第五条的“企业自评估”事项和第八条“安全评估”事项中“订立的出境合同/法律文件”之前增加一个“拟”字。这两处调整再次强调了“数据出境安全评估”是数据出境的前置程序。意即在企业自评估阶段，申报安全评估之前，出境合同应当基本定稿并符合相关规定的要求，企业应该已与境外接收方磋商确定待签的出境合同，尤其是其中关于数据安全保护责任义务的部分。原则上评估通过后，数据出境合同的相关条款不得实质变更。

3.程序变化

（1）省级网信部门完备性查验的前置性程序

相较于征求意见稿，正式稿多设置了一项前置性程序，规定数据处理者进行安全评估申报，须先由省级网信部门在5个工作日内完成完备性查验，材料齐全则报送国家网信部门；不齐全则退回一次性告知补全。从5个工作日的期限和处理方式来看，该程序属于形式审查，主要是审查企业提交的申报材料是否齐全，并不开展实质审查。

（2）对评估结果“复评”的救济程序

正式稿第十三条增加了对评估结果“复评”的救济程序，“复评”结果作为安全评估的最终结论。关于“复评”的性质，是否属于行政诉讼的受案范围，目前业界存在一定争议。申报者应当尽量准备充分，避免进入“复评”的程序，否则整个安全评估的流程可能会被延长，影响企业运营的效率。

（二）数据出境安全评估的问题

数据出境安全评估已初步建立起一个可行的制度，但实务操作中仍存在些许不明晰之处，这些规定上的模糊可能给数据处理者的合规成本带来无谓的增加，影响企业的经营效率，因为对于数据处理者来说，为确保数据依法依规跨境流通，他们通常自我施压，主动加码以应对可能出现的风险。

目前数据出境安全评估的合规体系存在如下问题：

1.数据跨境界定不清晰

无法明确某些具体场景下，数据处理活动是否构成数据出境活动，例如数据中转、境外主体访问公开信息，以及境外主体委托境内主体加工处理数据后再传输出境的情形。对于数据跨境场景界定的不清晰，将陷入数据处理者无法准确识别自身合规义务、监管部门无法明确监管事项的困境。

2.国家核心数据、重要数据的判定存在差异

国家核心数据仅在《数据安全法》中有所提及，缺乏可执行的判定标准。帮助界定重要数据范围的国家标准仍然处于制定阶段，同样缺乏权威认定标准。是故，数据处理着可能将无需及逆行安全评估的跨境数据事项向网信部门申报，增加了企业的合规成本。

3.个人信息保护影响评估和数据出境风险自评估关系不明

《数据出境安全评估办法》第5条规定，数据处理者在向网信办申报数据出境安全评估前，应当开展数据出境风险自评估。《个人信息保护法》第55条规定，个人信息处理者在向境外提供个人信息前需进行个人信息保护影响评估。

个人信息保护影响评估报告是个人信息保护认证和个人信息出境标准合同所需提供的内容，但却非实务中数据出境安全评估所需，但是个人信息保护法又将个人信息保护影响评估报告规定为个人信息处理者向境外提供信息应为之义务，是否因为立法者的原意是数据出境风险自评估包含个人信息保护影响评估的要点？

对比相关规定，个人信息保护影响评估和数据出境风险自评估的要点是极大重合的，甚至相当于只是将评估主体的称谓替换，前者的主体是个人信息处理者，后者的主体是数据处理者。换言之，当数据处理者不涉及向境外提供个人信息的情况时，就不需要进行个人信息保护影响评估。是故，对于《数据出境安全评估办法》第四条规定第（一）款规定的向境外提供重要数据的数据处理者，若其向境外提供的数据中不包含个人信息，且同时也不满足《个人信息保护法》第五十五条规定的其他情形，则其无需进行个人信息保护影响评估，只需要进行数据出境风险自评估。

综上所述，个人信息保护影响评估和数据出境风险自评估可能存在竞合问题的场景目前主要包括如下三种：

·数据处理者向境外提供重要数据和个人信息的。

·关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息。

·自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息。

咨询部分地方网信部门，其表示由于网信部门暂未发布个人信息保护影响评估报告的标准模板，如果企业数据出境风险自评估的工作范围能够全面覆盖《个人信息保护法》第56条所列之个人信息保护影响评估的要点，则在同时触发该二款规定时，仅做数据出境风险自评估是可以接受的。

结合地方网信部门口径，对于遇到个人信息保护影响评估和数据出境风险自评估竞合问题的申报者，或许可以将数据出境风险自评估报告留档以作已开展个人信息保护影响评估报告之备查，若未来网信部门颁布关于个人信息保护影响评估报告的标准模板，申报者应当及时调整，必要时应当重新开展个人信息保护影响评估报告。