过去一年间，《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》相继颁布实施。为了规范数据出境活动，2022年7月7日《数据出境安全评估办法》（下称“《办法》”）出台，2022年8月31日，《数据出境安全评估申报指南（第一版）》（下称“《指南》”）公布，该《指南》作为《办法》落地规则的细化，其中对数据出境安全评估的申报方式、申报流程、申报材料做出具体规定。二者同步于2022年9月1日正式实施。《指南》与《办法》业已引起包括电子商务、生物医药、互联网等领域公司，尤其中外头部企业和大型跨国集团的广泛关注。本文试对其主要方面做简要评述。

一.    数据出境安全评估适用范围

    应申报评估的情形：涉及重要数据或一定数量的个人信息
《办法》第四条明确规定需要申报数据出境安全评估的情形：(1)数据处理者向境外提供重要数据；(2)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；(3)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；(4)国家网信部门规定的其他需要申报数据出境安全评估的情形。

关于重要数据，《办法》规定为“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”，注意“重要数据”的构成并不要求数据数量。“个人信息”，根据法律规定是与已识别或者可识别的自然人有关的各种信息，其定义见于《个人信息保护法》。而“敏感个人信息”的定义，则见于《个人信息保护法》以及GB/T 35273—2020《信息安全技术 个人信息安全规范》，此处不做赘述。

    数据出境：《指南》增加规定数据出境包括境内存储境外访问等情形
《指南》中明确以下情形属于数据出境行为：(1)数据处理者将在境内运营中收集和产生的数据传输、存储至境外；(2)数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；(3)国家网信办规定的其他数据出境行为。

在《指南》出台前，《办法》中对何为“数据出境”并未列明，而仅是规定“向境外提供”。《指南》中增加规定，存储在境内的数据，如果从境外查询、调取、下载、导出，则涉及构成数据出境。该规定丰富了数据出境的外延，将互联网、电子商务等跨境数据访问纳入管理范围。而与此同时，该规定对于跨国公司日常经营行为影响深远，譬如外企的采购、人力资源、OA系统、财务管理、远程运维等，虽是内部数据传输，但因涉及允许境外关联主体查询访问数据，严格意义也属于数据出境的范畴。

    评估主管部门：网信部门主管，复评结论为最终结论
数据出境安全评估的主管部门为国家网信部门。《办法》第十条规定，国家网信部门受理申报后，根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估。与2021年《数据出境安全评估办法（征求意见稿）》相比,《办法》规定将“行业主管部门”从以上部门中删除。

数据处理者申报后取得的评估结果是《评估结果通知书》，其中除记载是否通过评估外，还可能涉及规范数据出境活动的具体要求。从性质而言，评估并非行政部门实施的具体行政行为，对其处理决定不服的，不适用行政复议和行政诉讼的救济措施。根据《办法》规定，数据处理者对评估结果有异议的，可以在收到评估结果15个工作日内向国家网信部门申请复评，复评结果为最终结论。

二.    数据出境安全评估申报内容

    申报主体：要求全面说明情况
《指南》对申报主体要求列明数据处理者的基本情况，其中除了基本信息外，还包括组织结构和实际控制人信息、整体业务与数据情况、境内外投资情况等。可见监管部门对于涉及跨境投资、可变实体架构，以及跨国集团或外资企业的数据出境从监管上有所侧重。

《指南》中申报材料规定了数据出境安全评估申报材料要求、经办人授权委托书（模板）、数据出境安全评估申报书（模板）、数据出境风险自评估报告（模板）。《指南》规定，申报主体内部应有具体的经办人，经办人不可转委托。因此实务中一旦涉及人员离职情况，只能撤销原委托再重新委托。另外，如申报主体委托第三方，要求须在自评估报告中说明第三方机构参与评估的情况并加盖公章。

    申报重点：数据出境链条的业务梳理
根据《指南》，申报主体需在自评估报告中列明数据出境涉及业务和信息系统情况，阐述业务、数据资产、信息系统、数据中心（云服务）、出境链路的情况。预计该部分内容将作为申报准备中的重点事项，尤其对于数据中心或云服务的情况将在何种程度上涉及数据出境，影响为何，有待实践中考察。

    申报难点：数据出境六大风险防范
根据《指南》，申报主体需就对与境外接收数据的六大方面主要风险，包括数据出境目的和方式、境外数据保存及终止出境后的措施、对数据二次转移的限制、境外接收方发生变化的救济、违约救济措施、数据篡改泄露的应急和维权措施进行详细说明。该等内容是实务中的难点，是核心关注风险所在。《指南》要求除在自评估报告正文中阐述外，还要求对以上内容在《数据出境安全评估申报表》中突出显示。

《办法》第九条要求数据处理者与境外接收方订立的法律文件中明确约定数据安全保护责任义务。此前在就《办法》相关问题答记者问上，主管部门明确数据处理者应在数据出境活动发生前申报并通过数据出境安全评估，并建议实践中数据处理者宜在与境外接收方签订法律文件前，申报数据出境安全评估，以避免未能通过而招致的损失。国家网信办2022年6月发布《个人信息出境标准合同规定（征求意见稿）》，其中核心条款可重点关注和参考。

    申报日：作为日期起算点应审慎确定
根据《指南》所附《承诺书》，网信办明确关注申报日前三个月的自评估情况，且至申报日未发生重大变化。另外在填写申报表时，数据处理者需简述近2年在业务经营活动中受到行政处罚和有关主管监管部门调查及整改情况，重点说明数据和网络安全方面相关情况。因此，根据《指南》规定，申报日作为日期起算点因此有重要意义，建议申报主体审慎确定申报日。

三.    数据出境安全评估申报流程

    评估流程：风险自评估与安全评估相结合
《办法》和《指南》中规定了申报方式及流程，数据处理者在申报之前先行自评估，然后所在地省级网信部门申报，在省级网信部门完成完备性查验后，将申报材料上报国家网信部门。国家网信部门应当自收到申报材料之日起7个工作日内，确定是否受理并书面通知数据处理者。其间可能涉及补足材料等具体流程，见下图总结。
 

    评估原则：事前评估和持续监督相结合
根据《办法》规定，事前评估是指在开展数据出境活动之前需通过风险自评估和国家网信部门的安全评估，持续监督是指在情形变化时数据处理者的主动“重新申报评估”，即当出现数据出境的用途、方式、保存期限等变化，或者延长个人信息和重要数据境外保存期限的，或者境外接收方发生变化、法律文件变更等事项影响数据安全的，数据处理者应当重新申报评估，此为主动的重新申报评估。还有一种是被动的整改，即当国家网信部门发现已经通过评估的在实际处理过程中不再符合要求的，书面通知终止数据出境活动，直至整改完成并通过。

    评估结果：有效期2年，《办法》前整改期6个月
《办法》第十四条规定，通过数据出境安全评估的结果有效期为2年，自评估结果出具之日起计算。有效期届满，需要继续开展数据出境活动的，需在有效期届满60个工作日前重新申报评估。另外，对于《办法》施行前已经开展的不符合规定的数据出境活动，《办法》规定6个月的整改期。企业需严格按照《办法》和《指南》规定6个月内完成整改，或者，企业重新考虑是否有继续实施数据出境活动的必要。