千呼万唤始出来！2022年7月7日，国家互联网信息办公室终于正式公布了《数据出境安全评估办法》（下称“《办法》”）。《办法》总共20条，从今年9月1日起正式施行。

《办法》主要针对数据出境处理活动。对于日常经营和开展业务过程中会涉及数据出境的企业，尤其需要重视《办法》的规定。为了便于理解，我们对于《办法》中的关键合规要点进行了总结和分析。

要点一：数据处理者应首先进行出境风险自评估

企业进行自评估应重点评估以下事项：
1）数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；
2）出境数据的规模、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；
3）境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全；
4）数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险，个人信息权益维护的渠道是否通畅等；
5）与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等（以下统称“法律文件”）是否充分约定了数据安全保护责任义务；
6）其他可能影响数据出境安全的事项。

经由自评估，企业可以判断其数据出境情况是否达到应进行安全评估的程度。如果企业通过自评估，判断出自身数据出境情况满足安全评估的触发条件，则应当向国家网信部门申报数据出境安全评估。

要点二：出境安全评估的触发条件
符合特定情形的数据处理者应申报数据出境安全评估申报网信部门。出境安全评估的触发条件有四种，达到其中之一，即应当启动出境安全评估。四个触发条件为：

1）向境外提供重要数据；
2）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；
3）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；
4）国家网信部门规定的其他需要进行安全评估的情况。

企业应根据以上情况判定是否应当进行出境安全评估。

要点三：出境安全评估所需材料
企业向网信部门申报出境安全评估，需提供以下材料：

1）申报书；
2）数据出境风险自评估报告；
3）数据处理者与境外接收方拟订立的法律文件；
4）安全评估工作需要的其他材料。

由上述所需材料可以看出，企业如果涉及数据出境，无论是进行自查评估，还是申报数据出境安全评估，自评估都是一项必不可少的“前置”规定动作。

要点四：出境安全评估的针对事项
出境安全评估重点在于评估企业的数据出境活动是否对国家安全、公共利益、个人或者组织合法权益带来的风险，主要包括以下方面：

1）数据出境的目的、范围、方式等的合法性、正当性、必要性；
2）境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响；境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求；
3）出境数据的规模、范围、种类、敏感程度，出境中和出境后遭到篡改、破坏、泄露、丢失、破坏、转移或者被非法获取、非法利用等的风险；
4）数据安全和个人信息权益是否能够得到充分有效保障；
5）数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务；
6）遵守中国法律、行政法规、部门规章情况；
7）国家网信部门认为需要评估的其他事项。

要点五：数据出境安全评估流程
国家网信部门将根据申报情况，组织国务院有关部门、省级网信部门、专门机构等进行评审。企业通过安全评估后，由国家网信部门下发评估结果，准予出境；如果企业对评估结果有异议的，可以在收到评估结果15个工作日内向国家网信部门申请复评，复评结果为最终结论。

数据出境安全评估究竟要如何进行呢？我们对《办法》的规定进行了归纳，并形成了以下数据出境安全评估流程图：
 

要点六：出境安全评估的结果有效期
根据《办法》，出境安全评估的结果有效期为2年。如果发生实质性变化，企业应当重新申报评估，启动重评的情形有：

1）向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的，或者延长个人信息和重要数据境外保存期限的；
2）境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的；
3）出现影响出境数据安全的其他情形。

此外，当有效期届满，企业需要继续开展数据出境活动的，应当在有效期届满60个工作日前重新申报评估。

总结与建议
对于企业在《办法》生效前已经开展的数据出境活动，如果不符合《办法》规定的，应当在《办法》生效后6个月内即在2023年3月1日前完成整改。若未整改，对于不符合出境条件的数据出境活动，恐将受到重罚。

目前，距离《办法》生效仍有一段时间，这相当于给予了企业一定的时间进行风险自查。鉴于国家对数据安全的日益重视，对于出境活动频发的跨境物流企业、电商贸易企业、跨国企业来说，我们建议应抓住最后的机会，对自身的数据资产、数据处理活动进行梳理，对于处理的个人数据数量、出境的数据种类做出盘点，特别应关注企业业务中是否处理重要数据，及时开展风险评估工作，保证企业合法合规开展业务。
 

来源：数据合规业委会