作者：金茂律师事务所  金文玮 律师

第一条 为了规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规，制定本办法。

解读：

在近期某些经济学的理论中，已经把数据与传统的土地、劳动、资本、组织并列，称为第五大生产要素。无论监管者是什么态度，数据流动是数据处理者的必然需求，因为数据只有流动才能产生更大的效益。

随着数据业务开展得日益广泛，全社会对数据业务特性的认知也更加深入和透彻，所以监管者也从早期视数据流动为洪水猛兽，绝对禁止数据流动的监管思路后，逐步向有序放开、监管下流动的监管思路转化；甚至通过本办法及相配套的《个人信息出境标准合同》（征求意见稿）规范数据跨境业务的开展，而不是一禁了之，这在数年前是完全不能想象的。

第二条 数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估，适用本办法。法律、行政法规另有规定的，依照其规定。

解读：

“境内重要数据”和“个人信息”向境外提供的，适用本办法。

向境外提供个人信息的，还需要需要注意《个人信息保护法》的规定，例如个人信息保护认证、向个人进行告知并获得同意等；此外，如果境外的个人信息处理者以向境内自然人提供产品或者服务为目的，或者分析、评估境内自然人的行为的，还需要在境内设立专门机构或者指定代表，并上报。

相比于征求意见稿，正式稿有一处变化，即将“依法应当进行安全评估的个人信息”修改为“个人信息”。

这处修改体现了更加务实的精神，本来出台《数据出境安全评估办法》就是用以确定哪些数据、个人信息要进行安全评估，增加了“依法应当进行安全评估”这一定语，反而在操作中让人无所适从，现在简明为“个人信息”更加清晰明了。

第三条 数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合，防范数据出境安全风险，保障数据依法有序自由流动。

解读：

本条核心内容是四个词“事前评估”“持续监督”“风险自评”“安全评估”。

结合下文规定来看，“事前评估”体现为只有事先通过安全评估才能开展业务，从性质上安全评估实际上是一项行政许可，而不是备案。
“持续监督”体现在第十四条情形变化时数据处理者主动“重新申报评估”与第十七条网信部门因发现变化而要求终止数据出境业务。
“风险自评”体现在第五条“数据处理者重点评估事项”、第九条“与境外接收方订立的法律文件中应包含的内容”、第十四条“数据处理者应主动重新申报评估的情形”。

“安全评估”体现在第八条“数据出境安全评估重点事项”、第十七条“终止已通过安全评估的数据业务”。

第四条 数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：

（一）数据处理者向境外提供重要数据；

（二）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；

（三）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；

（四）国家网信部门规定的其他需要申报数据出境安全评估的情形。

解读：

本条规定了五种向境外提供数据需要进行安全评估的情况，而换句话说在此五种情况以外，向境外提供数据的，无需申报数据出境安全评估，结合《上海市数据条例》第六十九条的规定“在临港新片区内探索制定低风险跨境流动数据目录，促进数据跨境安全、自由流动。”可以看出监管者对数据出境抱着较为开放的态度，其希望建立的数据出境体系是“非重要、低风险数据自由流通，重要的、高风险数据监管下部分流通”。

五种需要申报安全评估的情形是：

1. 向境外提供重要数据。

第十九条定义“重要数据”为“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”，对比《数据安全法》第二十一条“数据分级分类保护”中提出判断的标准“一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益”，“办法”中对“公共利益”规定得更加细致。

2. 关键信息基础设施运营者向境外提供个人信息。

3. 处理100万人以上个人信息的数据处理者向境外提供个人信息。

第（二）项需要申报安全评估是因为数据处理者的特殊身份：关键信息基础设施运营者和处理100万人以上个人信息的数据处理者。细想一下，有能力处理100万人以上个人信息的数据处理者应该也不是泛泛之辈。

4. 自上年1月1日起累计向境外提供10万人个人信息的数据处理者向境外提供个人信息。

5. 自上年1月1日起累计向境外提供1万人敏感个人信息的数据处理者向境外提供个人信息。

第（三）项需要申报安全评估是因为向境外提供的数据量达到了一定标准。需要注意的是，本项的评判标准是“自上年1月1日起累计”，也就是说安全评估并不以单次出境数据的量为标准，从根本上是为了杜绝“化整为零”逃避监管的现象。而且，相比于征求意见稿中更增加了“自上年1月1日起”这一时间限定，对操作的指引性更强。

第五条 数据处理者在申报数据出境安全评估前，应当开展数据出境风险自评估，重点评估以下事项：

（一）数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；

（二）出境数据的规模、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；

（三）境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全；

（四）数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险，个人信息权益维护的渠道是否通畅等；

（五）与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等（以下统称法律文件）是否充分约定了数据安全保护责任义务；

（六）其他可能影响数据出境安全的事项。

解读：

本条是“风险自评”的具体体现。

本条删除了征求意见稿中一项自评内容：“数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险”，而用第（四）项“数据出境中”五个字替代。

从立法上更加言简意赅了，但个人觉得征求意见稿中这一项的指引性更强，应该予以保留。建议数据处理者在申报时，本着“自评从严”的原则，不要忽略对这一项的评估，以免走冤枉路。

第六条 申报数据出境安全评估，应当提交以下材料：

（一）申报书；

（二）数据出境风险自评估报告；

（三）数据处理者与境外接收方拟订立的法律文件；

（四）安全评估工作需要的其他材料。

解读：

申报书的标准格式预计很快会出台，推测应该包含申报人、境外接收方、项目名称、项目内容、数据类型等主要内容。
风险自评估报告就是针对第五条内容逐一进行具体阐述，所有第五条提到的项目均应有陈述。

拟订立的法律文件可以参考《个人信息出境标准合同》内容，虽然《个人信息出境标准合同》目前仍在征求意见稿阶段，但既然评估办法在今年9月1日实施，那作为配套工程的《个人信息出境标准合同》应该不会等很久。

安全评估工作需要的其他材料应该指评估依据，例如数据类型、采取技术措施的证明等。

第七条 省级网信部门应当自收到申报材料之日起5个工作日内完成完备性查验。申报材料齐全的，将申报材料报送国家网信部门；申报材料不齐全的，应当退回数据处理者并一次性告知需要补充的材料。

国家网信部门应当自收到申报材料之日起7个工作日内，确定是否受理并书面通知数据处理者。

解读：

第七条第一款是新增的条款，原本征求意见稿中并没有“完备性查验”这一程序。“完备性查验”程序貌似拖延了申报的时间，但其实给了申报者在申报材料阶段重新修正一次的机会。这也符合《行政许可法》第三十二条的规定。

但理论上“完备性查验”只是形式审查，并不会对内容进行实质审查，但“形式”有多“形式”？例如风险自评估报告内容对某些项目过于简化而近乎于没有，是否属于需要补充的范畴？又或者安全评估需要的其他材料，如何界定范围？这些都需要在实践中予以解决。

第八条 数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险，主要包括以下事项：

（一）数据出境的目的、范围、方式等的合法性、正当性、必要性；

（二）境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响；境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求；

（三）出境数据的规模、范围、种类、敏感程度，出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险；

（四）数据安全和个人信息权益是否能够得到充分有效保障；

（五）数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务；

（六）遵守中国法律、行政法规、部门规章情况；

（七）国家网信部门认为需要评估的其他事项。

解读：

第八条是网信部门对数据出境安全的审查内容。相比于第五条申报人风险自评估的内容，主要项目一致，但内容更加细致了一些。从申报人的角度出发，建议在风险自评报告中按照第八条的规定内容有针对性的进行阐述，以减少日后补充材料的工作量。

第九条 数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务，至少包括以下内容：

（一）数据出境的目的、方式和数据范围，境外接收方处理数据的用途、方式等；

（二）数据在境外保存地点、期限，以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施；

（三）对于境外接收方将出境数据再转移给其他组织、个人的约束性要求；

（四）境外接收方在实际控制权或者经营范围发生实质性变化，或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时，应当采取的安全措施；

（五）违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式；

（六）出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时，妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。

解读：

第九条其实是《个人信息出境标准合同》这类标准合同在规定上依据，具体可以参看《个人信息出境标准合同规定》和《个人信息出境标准合同》——尽管还在征求意见稿阶段，但正式稿发布的时间不会太远。

正式稿在征求意见稿的基础上做了几处改动。第（四）项增加了“网络安全环境发生变化以及发生其他不可抗力情形”的规定，应该是采纳了征求意见阶段收到的合理化建议，从逻辑上更周延了。

第（五）项增加了“补救措施”一项内容。征求意见稿原本只要求数据出境合同中要约定违反数据安保义务的违约责任，而未提及补救措施，这显然也是征求意见阶段收到的建议。

第（五）项还有一处修改，即将“具有约束力且可执行的争议解决条款”简化为“争议解决方式”。

第十条 国家网信部门受理申报后，根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估。

解读：

征求意见稿中参加安全评估的单位还包括“行业主管部门”，而且“涉及重要数据出境的，国家网信部门征求相关行业主管部门意见”，但正式稿中都删除了。

虽然办法的规定做了这样的修改，但无论是《数据安全法》还是《个人信息保护法》都规定了各行业主管部门对本行业的监管职责，所以办法虽然没有规定安全评估必须有行业主管部门参与，但不等于不会征询、参考行业主管部门的意见，所以如果申报人所在的行业主管部门对数据出境有较强的监管，那仍然要给予重视。

第十一条 安全评估过程中，发现数据处理者提交的申报材料不符合要求的，国家网信部门可以要求其补充或者更正。数据处理者无正当理由不补充或者更正的，国家网信部门可以终止安全评估。

数据处理者对所提交材料的真实性负责，故意提交虚假材料的，按照评估不通过处理，并依法追究相应法律责任。

解读：

第十一条第一款相比于征求意见稿的规定思路发生了180度的转弯。征求意见稿原来规定“数据处理者应当按照本办法的规定提交评估材料……”，而正式稿变更为“安全评估过程中，（网信部门）发现数据处理者提交的申报材料不符合要求的”——两句的主语发生了变更，责任主体与责任模式也发生了变更。征求意见稿强调数据处理者对申报材料合规的责任，而正式稿强调网信部门对申报材料合规的审核责任。

第十二条 国家网信部门应当自向数据处理者发出书面受理通知书之日起45个工作日内完成数据出境安全评估；情况复杂或者需要补充、更正材料的，可以适当延长并告知数据处理者预计延长的时间。
评估结果应当书面通知数据处理者。

解读：

第十二条规定了数据出境安全评估的时间——45个工作日，如果按一个月22.5个工作日计算，正好两个月时间。

此外，正式稿相比于征求意见稿还有一处比较大改变，征求意见稿规定“情况复杂或者需要补充材料的，可以适当延长，但一般不超过六十个工作日”，而正式稿删掉了“六十个工作日”的规定，改为“可以适当延长并告知数据处理者预计延长的时间”评估时间延长不再设时间上限，在实际操作中让网信部门有了更加灵活的操作空间。

第十三条 数据处理者对评估结果有异议的，可以在收到评估结果15个工作日内向国家网信部门申请复评，复评结果为最终结论。

解读：

对评估结果有异议可以申请复评是正式稿中新增的条款。安全评估不再是“一锤子买卖”，数据处理者有了一次“上诉”的机会。但是复评过程中，数据处理者是否有权修改、补正申报内容与材料，以及复评的具体程序，例如复评组织是否由原评组织担任、复评人员构成是否须与原评估人员不同、复评的时限等都没有具体的规定，这可能要在实践中予以完善。

第十四条 通过数据出境安全评估的结果有效期为2年，自评估结果出具之日起计算。在有效期内出现以下情形之一的，数据处理者应当重新申报评估：

（一）向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的，或者延长个人信息和重要数据境外保存期限的；

（二）境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的；

（三）出现影响出境数据安全的其他情形。

有效期届满，需要继续开展数据出境活动的，数据处理者应当在有效期届满60个工作日前重新申报评估。

解读：

数据出境安全评估结果的有效期为两年，如果评估结论是通过的，那么两年内申报的数据出境项目无需就每次数据出境行为重复申报，两年期满后无论项目是否发生变化都需要重新申报评估。

正式稿第十四条与征求意见稿相比，在须重新申报评估的监管思路上有一个重大变化，即强调对出境数据安全构成“实质影响”，这一变化体现在两处修改：

1. 征求意见稿第（一）项规定只要“提供数据的目的、方式、范围、类型和境外接收方处理数据的用途、方式发生变化”就应当重新申报；而正式稿增加了“影响出境数据安全”这一限定，也就是说如果上述变化不影响出境数据安全的，可以不用重新申报。

2. 征求意见稿第（二）项规定当“境外法律环境发生变化”“实际控制权发生变化”“合同变更”等“可能影响出境数据安全”的情形下，需要重新申报；而正式稿删除了“可能”二字，也就是说正式稿强调只有当该些变化对出境数据安全构成实质影响，才需要重新申报，而非存在影响的可能。

尽管从第十四条的变化似乎放宽了重新申报的条件，但考虑到《数据安全法》第四十六条的处罚规定，数据处理者需谨慎评估上述变化是否对出境数据安全构成“影响”，避免因为错误自评“不构成影响”而遭受处罚。

第十五条 参与安全评估工作的相关机构和人员对在履行职责中知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密，不得泄露或者非法向他人提供、非法使用。

解读：

相比于征求意稿，本条增加了“非法使用”这一项，类似于兜底条款。

第十六条 任何组织和个人发现数据处理者违反本办法向境外提供数据的，可以向省级以上网信部门举报。

解读：

征求意见稿的规定是“投诉、举报”，正式稿删掉了“投诉”而只保留了“举报”，所以向网信部门反映数据处理者有违法行为的，只能是举报——处理“投诉”的本质是化解矛盾，而处理“举报”的本质是查处违法行为，从性质上来说“举报”的性质比“投诉”更严重，这也体现了第三条“持续监督”的原则。

第十七条 国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的，应当书面通知数据处理者终止数据出境活动。数据处理者需要继续开展数据出境活动的，应当按照要求整改，整改完成后重新申报评估。

解读：

正式稿将征求意见稿的“撤销评估结果并书面通知数据处理者，数据处理者应当终止数据出境活动”这一内容，改为直接“书面通知数据处理者终止数据出境活动”。征求意见稿类似于“釜底抽薪”的方式，而正式稿则更为直接。

第十八条 违反本办法规定的，依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规处理；构成犯罪的，依法追究刑事责任。

解读：

尤其要注意《数据安全法》中的处罚条款，一则从上位法来说数据出境活动更贴近《数据安全法》的范畴，二则《数据安全法》的处罚力度更大。

第十九条 本办法所称重要数据，是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。

解读：

参见对第四条的相关解读内容。

第二十条 本办法自2022年9月1日起施行。本办法施行前已经开展的数据出境活动，不符合本办法规定的，应当自本办法施行之日起6个月内完成整改。

解读：

办法施行前已经开展的数据出境业务，有6个月的整改期。个人认为就是要求数据处理者按照办法规定进行相应的安全自评，并向网信部门进行申报；虽然有“不符合本办法规定”的限定，但如果没有按照办法进行评估并申报，又何谈符合办法呢？