數據已成為新型國家戰略性資產，其經濟和戰略價值在全球數字經濟發展中愈加凸顯。跨境數據流動既是重要的經濟紐帶，又是新興的經濟秩序博弈焦點，對于推動經濟全球化發展意義重大。然而，跨境數據流動也面臨諸多問題與挑戰，如數據安全保護和監管合規等方面。隨著全球主要經濟體對跨境數據流動提出越來越多的監管要求，企業必須合規開展跨境數據流動。

一、我國持續推進數據出境的法律建設

我國對境內企業數據出境的監管，始于2017年6月1日生效的《網絡安全法》，此后又分別于2021年9月1日和2021年11月1日正式實施《數據安全法》《個人信息保護法》，并在多個特殊領域由行業主管機構先后發布了行政法規、部門規章、規范性文件及團體/行業標準。而隨著一系列法律法規、國家標準的出臺，逐漸形成了數據出境的合規路徑體系。

其中，《數據出境安全評估辦法》更是落實 《網絡安全法》、《數據安全法》、《個人信息保護法》有關數據出境規定的重要舉措，目的是進一步規范數據出境活動，保護個人信息權益，維護國家安全和社會公共利益，促進數據跨境安全、自由流動。

二、數據出境安全評估

（一）數據出境安全評估情形

《數據出境安全評估辦法》明確了4種應當申報數據出境安全評估的情形：

1.數據處理者向境外提供重要數據；

2.關鍵信息基礎設施運營者和處理 100 萬人以上個人信息的數據處理者向境外提供個人信息；

3.自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息；

4.國家網信部門規定的其他需要申報數據出境安全評估的情形。

（二）數據出境行為

《數據出境安全評估申報指南(第一版)申報指南》明確指出，以下情形屬于數據出境行為：

1.數據處理者將在境內運營中收集和產生的數據傳輸、存儲至境外;

2.數據處理者收集和產生的數據存儲在境內，境外的機構、組織或者個人可以查詢、調取、下載、導出;

3.國家網信辦規定的其他數據出境行為。

（三）受監管的數據類型

《數據出境安全評估辦法》中明確了重要數據和符合一定條件的個人信息的出境，需要向網信部門申請數據出境安全評估。因此，重要數據和個人信息，是兩類首當其沖的受制于出境監管的數據。

1.重要數據：一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據。如未公開的政府信息，大面積人口、基因健康、地理、礦產資源等。

2.個人信息：以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。

3.個人敏感信息：一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息。

但是，在中國數據出境監管機制的總體框架下，還有其他數據類型（如國家秘密、特定行業中的特定數據）可能受制于出境監管要求；在某些場景下（如司法協助），所有數據類型都會受制于出境監管要求。與此同時，也并非所有個人信息的出境都會受制于監管要求。

（四）數據出境安全評估申報

2022年8月31日，在《數據出境安全評估辦法》正式施行的前夜，網信辦出臺了《數據出境安全評估申報指南(第一版)》，對數據出境安全評估申報方式、申報流程、申報材料等方面做出了具體說明。

1.申報流程

2.申報材料

數據處理者申報數據出境安全評估，應當提交如下材料：

(1)統一社會信用代碼證件（影印件加蓋公章）

(2)法定代表人身份證件（影印件加蓋公章）

(3)經辦人身份證件（影印件加蓋公章）

(4)經辦人授權委托書 (原件)

(5)數據出境安全評估申報書 (原件)

(6)與境外接收方擬訂立的數據出境相關合同或者其他具有法律效力的文件（影印件加蓋公章）

(7)數據出境風險自評估報告 (原件)

(8)其他相關證明材料 (原件或影印件加蓋公章)

《指南》與《辦法》要求提供的申報材料，對比如下：

（五）數據出境風險自評估：實現數據出境合規的必由之路

《辦法》的出臺，標志著涉及數據出境的相關企業將受到嚴格的監管。因此，企業在數據活動出境前的風險自評估尤為關鍵，開展自評估是申報出境安全評估的前提。

1.如何開展數據出境風險自評估?

第1步：出境場景識別

依據數據出境場景，明確自評估觸發條件和時機。為避免影響業務運行，企業應預留充分的評估時間。

第2步：出境目的評估

數據出境目的“合法性、正當性必要性”成為數據出境合規的“紅線”，需要企業首先加以關注。

第3步：評估要素分析

從數據發送方以及數據接收方的技術和管理能力、安全保護能力等角度逐分析評價各項評估要素。

第4步：安全風險綜合評估

從影響程度和安全事件發生的可能性兩個維度，對數據出境風險進行逐項判定和計量。

2.數據出境安全評估難點

(1)出境數據難識別

辦法明確提出了受到監管的數據包括重要數據、個人信息和敏感個人信息。有些數據屬于無特征數據，難以通過傳統工具或方法進行有效識別。

(2)出境內容缺統計

由于數據識別和接口監管能力缺失，導致企業缺乏對出境內容進行全面統計的能力，無法快速掌握出境目的地、數據類型、敏感程度和規模等評估重點關注的內容。

(3)評估機制不完善

針對辦法中提到的數據出境風險自評估和境外數據接收方能力評估，由于經驗的缺失，制度、流程的不完善，企業難以評估數據跨境風險和控制措施的有效性，難以構建一套合理完善的評估機制，嚴重制約數據出境安全評估的有效落地。

(4)評估申報成本高

處理評估、整改和申報相關手續及流程的時間周期過長，對企業的業務開展造成很大的影響。且履行評估、整改和申報義務所花費的經濟成本較高，企業難以承受。

三、芯盾時代數據出境服務

為幫助企業順利的進行數據出境安全評估申報工作，芯盾時代“數據出境安全評估服務”為各大企業提供數據出境安全全流程的咨詢、培訓、申報、整改等服務，幫助各大企業基于所屬行業現狀及法律法規環境，形成數據出境安全可行性路徑，護航企業數據出境合規。

（一）數據出境安全咨詢及培訓

專家提供對數據安全相關法律法規的解讀；提供數據安全出境評估工作過程中涉及到的相關管理、咨詢工作；提供數據安全相關的培訓服務。

（二）數據出境管理框架建設

協助企業建立數據出境活動管理和評估框架，制定相關制度、流程和工具。

（三）數據出境安全評估及整改

幫助企業對現有的網絡和信息系統進項數據安全評估、數據出境的風險評估、數據安全能力評估以及數據出境相關法律文件的合規評估。

（四）數據出境日常管理及持續監督

協助企業持續開展出境活動記錄盤點、自評估、整改輔導、管理培訓等日常出境活動管理運行支持。

（五）數據出境安全評估申報支持

協助企業梳理申報材料及申報流程；助力企業完成申報工作。

芯盾時代服務優勢

芯盾時代長期服務于金融、政府、運營商、大型企業、互聯網等行業的頭部客戶，具備豐富的安全咨詢規劃和檢測評估項目經驗，能夠切實把握各行業開展數據出境安全評估申報工作中的痛點難點，有效的對數據出境場景和出境數據進行精準識別，幫助客戶順利開展數據出境安全評估的申報工作，防范數據安全風險，規避出境的合規風險，切實保障客戶數據出境業務的安全可持續發展。

審核編輯 ：李倩