数据出境安全评估，尘埃终落定

2022年7月7日，国家互联网信息办公室公布《数据出境安全评估办法》（以下简称《评估办法》），自9月1日起正式施行。此时此刻，距离《中华人民共和国网络安全法》正式通过已经过去6个年头。随着《网络安全法》第37条的横空出世，个人信息和重要数据出境安全评估制度就成为了数据安全领域，乃至数字经济领域长盛不衰的话题。虽然一直是焦点，但从未有定论。在个人信息出境和重要数据出境安全评估统一规定，到分开管理，再到统一规定的过程中，相关的从业专家经历了多少个无休的周末和不眠的夜晚来学习，此间辛苦，往往在四目相对时，就心有戚戚焉。

所以当《评估办法》正式公布时，笔者内心是振奋的。确定性总好于不确定性。我国的数据出境管理制度又向着全面落地实施迈出了坚实的一步。接下来，笔者就围绕《评估办法》谈一些自己的学习体会。

一、对《评估办法》的体系性认识

《评估办法》很重要，但如何理解《评估办法》的地位，它解决什么问题，还需要回归到《网络安全法》《数据安全法》《个人信息保护法》构建的我国数据出境管理制度之下，从重要数据和个人信息两个对象来分别理解。

重要数据原则上境内存储，因业务需要，确需向境外提供的，应当进行安全评估。《数据安全法》第三十一条规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。”结合《网络安全法》第三十七条及《评估办法》的规定，针对重要数据出境的情形，我国对关键信息基础设施运营者和其他数据处理者两类责任主体进行了统一的管理规则设计，通过安全评估是唯一的重要数据出境合规路径。由此可见，《评估办法》是重要数据出境合规工作中非常重要的一份规范性法律文件。

个人信息出境存在多重合规路径，只在触发特定条件时才需进行安全评估。《个人信息保护法》第三十八条针对一般个人信息处理者，设计了安全评估、个人信息保护认证、标准合同三条个人信息出境合规路径；第四十条针对关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者（既《评估办法》第四条规定的数量），规定了个人信息出境应当通过安全评估，但同时设置了例外条款。综合来看，《评估办法》是个人信息出境的重要依据之一。此前刚刚征求意见的《个人信息出境标准合同规定（征求意见稿）》也是未来个人信息出境的重要依据。想要做好个人信息出境合规工作，就要求对上述相关规范性法律文件作到全面掌握，根据实际情况选择适当的合规路径。

二、不变的评估重点

虽然《评估办法》几经修改，但对于出境安全评估工作本身的关注点以及评估重点自始至终都相对稳定，并且目标明确，既通过安全评估发现、识别、预防数据出境后可能对国家安全、公共利益、个人或者组织合法权益带来的风险。从《评估办法》2021年10月的征求意见版和最终发布版的第八条对比，可以看出，出境安全评估的重点到后期基本不在变化。

三、更加清晰的流程性管理规则

与去年征求意见的版本相比，正式发布版的《评估办法》在数据出境安全评估管理工作流程方面进行了优化：

一是明确了省级网信部门和国家网信部门的职责分工。省级网信部门负责接收申报材料并进行完备性查验，国家网信部门负责组织实施安全评估。这样的工作安排，一方面解决了工作开展初期省级网信部门安全评估人才短缺的问题，另一方面也解决了如何在全国范围内统一评估通过标准的问题。

二是新增了复评机制。《评估办法》第十三条规定的复评机制为申报评估的数据处理者提供了第二次机会。考虑到数据能否合规出境，有时对数据处理者顺利开展业务至关重要，因此多提供一条救济途径，有其正当性和必要性。

三是进一步完善了申报流程。配合职责分工的变化，《评估办法》对申报、处理流程及相应的时限进行了内容优化和位置调整，更便于理解。

四、值得继续观察的实施细节

《评估办法》在9月1日正式施行之后，笔者认为以下评估工作细节值得继续关注：

省级网信部门受理申报材料的具体规则，例如，数据处理者可以选择向哪个或哪些省级网信部门报送材料，申报材料以什么方式报送等。

国家网信部门如何组织安全评估，例如，安全评估是以书面还是其他形式开展，数据处理者能否进行陈述和申辩，复评工作如何开展以及是否也有时限等。

五、对数据处理者的建议

对数据处理者而言，需要把握好接下来的2个月时间和6个月的整改窗口期，做好数据出境合规工作准备。首先需要准确理解数据出境、重要数据等关键概念，特别是要持续关注涉及本行业、本领域的重要数据目录制定工作进展。其次，对企业内部涉及数据出境的业务、场景做到心中有数，“摸清家底儿”始终是数据安全的基础性工作。再次，尽快建立内部数据出境风险自评估制度，明确责任部门和参与部门、启动和实施流程、监督问责机制等。