为数据出境安全评估工作提供具体指引 简析数据出境安全评估的常态化机制 　　 　　 　　近年来，随着信息技术广泛应用于经济发展领域，数据作为新型生产要素，对数字经济发展产生的影响越来越大。这使得人们对数据的价值以及数据跨境流动风险的认识不断提高，各国纷纷颁布法律法规规范数据跨境传输以保护网络安全、数据安全与个人信息安全。 　　 　　国家互联网信息办公室颁布的《数据出境安全评估办法》（以下简称《评估办法》）2022年9月1日起正式实施。《评估办法》进一步落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》的规定，规范数据出境活动，规定数据出境安全评估具体适用范围，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动，为数据出境安全评估工作提供具体指引。 　　 　　值得注意的是，《评估办法》正式生效的前一天，2022年8月31日，国家网信办正式发布《数据出境安全评估申报指南（第一版）》（以下简称《申报指南》），对数据出境安全评估的适用范围、申报方式及流程、申报材料、申报咨询等问题作了具体说明。随后，各地网信部门陆续就数据出境安全评估申报工作发布相关指引。比如，江苏省互联网信息办公室在2022年9月2日发布《江苏省数据出境安全评估申报工作指引（第一版）》（以下简称《江苏指引》）。这些配套性文件的出台，标志着数据出境安全评估工作进入实操阶段，相关数据处理者的数据出境活动将有章可循，我国数据出境安全评估的常态化机制日渐确立。 　　 　　明确数据出境安全评估的适用范围 　　 　　首先，根据《评估办法》《申报指南》，适用数据出境安全评估的数据类型，主要指个人信息与重要数据。这意味着数据安全法规定的重要数据出境评估制度与个人信息保护法规定的个人信息出境评估制度，均将在数据出境安全评估工作中得到具体落实。其中，根据《评估办法》，重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全。《江苏指引》对重要数据、个人信息、敏感个人信息等重要概念均进行细化规定。不同数据类型的区分意义在于，在出境数据涉及重要数据情况下，均需按安全评估程序进行申报，而当出境数据涉及个人信息时，只有满足规模数量等前提条件时才需进行安全评估。 　　 　　其次，根据《申报指南》，数据出境安全评估申报的义务主体是数据处理者，数据处理者具体包括关键信息基础设施运营者和一般情形下的数据处理者。其中，关键信息基础设施运营者的出境安全评估义务由网络安全法确定，根据《网络安全法》第三十一条的规定，在公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施的运营者，均在调整范围之内。而一般情形下的数据处理者，则主要指提供重要数据的数据处理者以及处理个人信息达到规定数量的数据处理者。 　　 　　最后，在此基础上，《申报指南》进一步界定数据出境行为的表现形式。根据《评估办法》，数据出境行为的表现形式体现为：一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外；二是虽然数据存储在境内，但可以由境外的机构、组织或者个人访问或者调用。《申报指南》则将“访问或者调用”进一步细化为“查询、调取、下载、导出”，进一步明确数据出境行为的判断标准。此外，《申报指南》还新增“国家网信办规定的其他数据出境行为”的兜底性表述，为日后监管实践中可能出现的复杂情形提供解释余地。 　　 　　细化数据出境安全评估的具体运作机制 　　 　　根据《评估办法》第三条的规定，数据出境安全评估的具体运作机制，体现为事前评估和持续监督相结合、自评估与网信部门安全评估相结合。其中，数据出境风险自评估是申报数据出境安全评估的前置流程，若已属于数据出境安全评估的适用范围，相关主体就需要履行自评估的合规义务。《申报指南》则是对其中的网信部门评估流程的细化。相较于《评估办法》，《申报指南》细化和落实了数据出境安全评估申报材料的具体要求，将材料细化为八项，并提供相应模板。例如，其中的《数据出境风险自评估报告（模板）》，为数据处理者的自评估工作提供具体指引。 　　 　　《申报指南》规定了作为前置性程序的自评估工作的实效性。要求自评估工作应当在安全评估申报之日前3个月内完成，且至申报之日未发生重大变化。同时，在《评估办法》的基础上，《申报指南》还对申报方式和流程作了更明确和具体的规定。例如，明确了申报方式为数据处理者向所在地省级网信办送达书面申报材料并附带材料电子版，明确了审查过程中数据处理者可能收到的通知文件以及评估期限等问题。 　　 　　总体来看，《申报指南》明确数据出境企业的合规义务，对相关企业提出较高要求。数据出境安全关系到全体国民数据安全，相关监管具有正当性。作为数字经济实践的基础性资源，数据并非企业的私有财产，而是承载着相关参与主体的个人信息保护、国家安全与数据主权等多重利益。因此，安全是数据跨境自由流动的前提，相关企业必须正视数据合规管理的重要意义。 　　 　　需要注意的是，虽然《评估办法》和《申报指南》并未专门明示未履行评估申报义务的具体法律后果，但结合相关法律规定可知，数据处理者未履行数据出境安全评估义务，则可能受到进一步监管。若企业未经评估擅自开展数据出境活动，或在自评估中存在隐瞒、欺诈或造假行为，擅自向境外提供数据，将面临行政处罚，甚至被追究刑事责任，如可能构成侵犯公民个人信息罪、拒不履行信息网络安全管理义务罪、危害国家安全类犯罪等。 　　 　　当前，《评估办法》《申报指南》进一步明确我国数据保护法律体系落地方式，为不同类型的数据出境设计有针对性的管控措施，使数据出境安全评估的具体规则最终落地。例如，针对个人信息，采取的是轻监管模式，除非个人信息的流动可能带来重大风险，否则原则上允许信息自由流动；而针对重要数据，则采取强监管处置措施。 　　 　　当然，值得思考的是，当前的数据出境安全评估主体主要为网信部门。是否可以考虑引入独立第三方机构适度参与安全评估，并进行外部监督审查，以倒逼相关企业提升数据管理能力，值得研究。同时，在数据出境监管成为大趋势的背景下，如何平衡数据出境安全评估与企业高质量发展之间的关系，值得进一步探讨。伊志律师事务所位于北京市朝阳区朝外大街乙6号朝外SOHO-C座1209，优越的地理位置，便利的交通条件，安静、专业的办公环境为需求提供方便。 电话：010-84493343 微信：18401228075 电话：18401228075