吴沈括等：《数据出境安全评估办法》下的出境合规准备工作

《网络安全法》《数据安全法》以及《个人信息保护法》的出台，确立了我国数据跨境制度的法律框架。近期，《个人信息跨境处理活动安全认证规范》《个人信息出境标准合同规定（征求意见稿）》《数据出境安全评估办法》（以下简称“《办法》”）进一步明确了数据跨境合规的监管趋势和实践方向，也提出了数据出境整体合规设计的现实要求。

一、《办法》规定应当申报的情形

1. 数据处理者向境外提供重要数据；

2. 关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；

3. 自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；

4. 国家网信部门规定的其他需要申报数据出境安全评估的情形。

1. 重要数据的识别

根据《数据安全法》的要求，国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。实践中，重要数据目录仍然未确定，目前可以参考的是《重要数据识别规则（征求意见稿）》，在描述重要数据识别因素时，侧重于从后果角度，而不是从数据类型角度。

2. 关键信息基础设施运营者的认定

根据《关键信息基础设施安全保护条例》第十条的规定，保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施，及时将认定结果通知运营者，并通报国务院公安部门。是否属于关基运营者，不需要公司自己判断，如果收到认定通知就属于，如果未收到就不属于。即使被网络安全审查也不代表被认定为关基运营者。

3. 处理100万人以上个人信息的数据处理者向境外提供个人信息的特殊场景

数据处理者虽然处理100万人以上个人信息，但是仅传输少量员工信息，是否需要安全评估的问题。目前来看，并未将该特殊情形做特殊描述，可能还是需要安全评估。

针对集团公司处理个人信息数量是统一计算还是单独计算，目前也没有明确的标准，但是一般关联公司的数据共享与第三方公司的数据共享要求是一样的，所以偏向于单独计算，具体操作仍然需要等网信办的落地细则。

通过应当申报情形可以看出，安全评估的适用情况是比较广的，相对适用标准合同和安全认证的情形比较少。但是除了《办法》规定的情形，还有其他隐藏的情形。

1. 既非个人信息又非重要数据的数据，并不需要安全评估或者标准合同、安全认证。其实还有大量的数据，根本就是没有任何前置条件便可以出境的，但建议公司仍然需要做风险自评估。

2. 自然人因个人或者家庭事务需要对个人信息出境的，无需安全评估。《个人信息保护法》第七十二条针对这种情况，对整部法的要求作了豁免，自然也包括数据出境情况，所以在第三章中没有特意提到。这意味着，你要出国旅行，订机票、宾馆时需要传输护照号，并不需要安全评估。

3. 我国签订的国际协议中对个人信息出境有规定，以协议为优先，这相当于“绿色通道”。对此，《个人信息保护法》第三十八条第二款有明确规定。

4. 计算期限

自上年1月1日起的计算期限实际统计的时间上限有2年，这个也与安全评估的有限期2年相符。

二、限制禁止出境或本地化要求的数据类型

国家对于部分数据的存储有本地化的要求。例如《中华人民共和国保守国家秘密法》第二十五条，机关、单位应当加强对国家秘密载体的管理，任何组织和个人不得有下列行为：（四）邮寄、托运国家秘密载体出境。《人口健康信息管理办法（试行）》第十条，责任单位应当结合服务和管理工作需要，及时更新与维护人口健康信息，确保信息处于最新、连续、有效状态。不得将人口健康信息在境外的服务器中存储，不得托管、租赁在境外的服务器。《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》第六点，在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外，银行业金融机构不得向境外提供境内个人金融信息。《地图管理条例》第三十四条，互联网地图服务单位应当将存放地图数据的服务器设在中华人民共和国境内，并制定互联网地图数据安全管理制度和保障措施。《中华人民共和国人类遗传资源管理条例》第七条，外国组织、个人及其设立或者实际控制的机构不得在我国境内采集、保藏我国人类遗传资源，不得向境外提供我国人类遗传资源。

其他包括征信数据、网约车数据、健康医疗数据、快递数据、证券私募客户信息、车联网数据、保险数据等也有特殊要求。

三、数据出境风险自评估与数据出境安全评估

数据出境风险自评估是申报数据出境安全评估的重要组成部分，《办法》正式稿第五条将原先征求意见稿中“数据处理者在向境外提供数据前”改为“数据处理者在申报数据出境安全评估前”，是否意味着不申报安全评估就不需要风险自评估？答案并不一定，《个人信息出境标准合同规定（征求意见稿）》个人信息处理者向境外提供个人信息前，应当事前开展个人信息保护影响评估，重点评估内容与风险自评估内容相似，风险自评估作为向境外提供数据的一个重要评估工具，并不局限在申报数据出境安全评估前。网信办解读中也提到“数据处理者在向境外提供前，应当首先开展数据出境风险自评估，其主要目的在于要求数据处理者开展事先评估，将合规监管前置，预防数据出境安全风险。风险自评估是所有数据处理者向境外提供数据前的必经流程，未对数据的数量、范围、目的等进行限定。”

四、申报数据出境安全评估应当提交的材料

提交材料包括数据处理者与境外接收方拟订立的法律文件，数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务。

该法律文本的要求低于标准合同的签署要求，所以安全评估的法律文本并不一定参照标准合同签署。

五、本文结合过往相关项目实操经验，梳理了评估与合规准备工作的要点（实际工作需要结合实际情况做出调整匹配）

1. 判断出境数据是否包含重要数据或个人信息；

2. 判断是否属于《办法》规定的应当申报情形；

3. 判断出境数据类型是否还有其他法律规定；

4. 设计和落实数据出境风险自评估的各项要素：

A、数据出境方

B、数据接收方

C、数据出境风险

D、法律文件

E、其他

F、扩展事项

特别声明：

以上内容属于作者个人观点，不代表其所在机构立场，亦不应当被视为出具任何形式的法律意见或建议。