《数据出境安全评估办法》所涉流程、待解问题、法律备置以及价值意义

实际上，数据出境是一个持续动态的过程，需要行政机关全方位监管，以保障出境数据的安全。全方位监管包含了事前安全评估以及数据出境后的持续监管。

尽管在事前安全评估中，监管机构需衡量境外接收方以及拟开展的传输活动的有关情况，从而决定是否准许进行数据跨境传输，但是数据处理主体以及嗣后的具体传输过程，往往涉及不同的法域，故而囿于法律壁垒、技术手段限制等原因，监管机构在数据出境的后续监管中面临巨大的困难。

因此，如何应对复杂的法律规定以及日趋严格的监管环境，从而实现数据合法合规出境，是中国本土企业和跨国企业面临的新课题。总体看来，《评估办法》和《申报指南》对数据出境企业的申报准备工作提出较大挑战，如何有效应对，是数据出境企业面临的共同课题。

一般而言，法律文件多以合同或协议的方式体现，在数据出境场景下主要表现为“数据出境合同”。法律文件的备置应当遵循“充分约定了数据安全保护责任义务”的总体要求，并包含《评估办法》以及《申报指南》等要求的必备条款，作为开展数据出境活动以及行政监管的重要依托，法律文件的质量直接影响数据出境活动的顺畅度和合法合规性。

网信办已于2022年6月30日发布《个人信息出境标准合同》（征求意见稿），因此，针对出境数据涉及个人信息时，未来可参考《标准合同》拟定相关条款，同时需注意若存在多种类型数据（包括个人信息）出境时，应当保证所拟定的法律文件符合前述总体要求和必备条款。

根据《个人信息保护法》和《评估办法》, 数据出境安全评估申报所涉及的主要流程如下:

(1) 涉及个人信息的, 需进行个人信息保护影响评估(“PIA”)。

(2) 准备数据跨境传输合同/法律文件。

(3) 数据出境安全自评估。

(4) 申报网信办数据出境安全评估。

(5) 重新评估。

《申报指南》细化了关于数据出境安全自评估及申报评估的具体流程。结合适用法律法规, 通力律师事务所相关律师专家将数据跨境传输可能涉及的内部评估、文件签订、申报评估流程梳理如下：

当前，《评估办法》和《申报指南》对数据出境企业的申报准备工作提出较大挑战，如何有效应对，是数据出境企业面临的共同课题。

因此，汇业黄春林律师团队整理出了数据出境安全评估及申报实践20问答，比较浅显易懂地解答了相关过程中的疑惑，提供了更为简洁有效的思路。

1、线下还是线上提交申报文件？

答：全国统一线上提交申报文件。目前网信办系统已经开发完成，即将公开上线。

2、线上注册需要哪些信息？

答：申报者基本信息、法定代表人基本信息、经办人基本信息及注册授权书等。

3、申报表包含哪些内容？

答：除了前述注册信息外，还包括数据出境目的、方式、链路，以及出境数据情况、接收方情况、法律文件及条款索引、申报方遵守中国法律法规情况等。

4、何为申报方遵守中国法律法规情况？

答：申报方简述近2年在业务经营活动中受到行政处罚和有关主管监管部门调查及整改情况，重点说明个人信息、数据和网络安全方面相关案件。

5、自评估报告有官方参考模板吗？

答：有。参考模板内容主要包括：

（1）自评估工作开展情况，包括起止时间、组织情况、实施过程、实施方式等内容。

（2）出境活动整体情况，包括数据处理者基本情况、数据出境涉及业务和信息系统情况、拟出境数据情况、数据处理者数据安全保障能力情况、境外接收方情况、法律文件约定数据安全保护责任义务的情况，等等。

（3）拟出境活动的风险评估情况，以及相应采取的整改措施及整改效果。

（4）评估结论及其理由、论据等。

6、要备案出境方、接收方的数据安全责任人和管理机构情况吗？

答：要的。包括姓名、职务、国籍、联系信息及证件类型（可以是护照及港澳通行证）等，以及所在机构名称及人数等信息。因此，汇业黄春林律师团队建议，还未确立数据安全负责人和机构的公司，应当尽快指定，并明确工作职责、工作规程等。

7、重要数据和个人信息可以一起申报吗？

答：可以。

8、可以聘请外部机构开展自评估吗？

答：可以。若有，应在自评估报告中说明第三方的基本情况及参与评估的情况。建议企业聘请具有丰富经验和良好资质的第三方机构参与自评估工作。

9、申报方基本情况包括哪些内容？

答：要披露股权结构和实际控制人情况、组织架构情况、整体业务及数据情况等。

10、要披露出境所涉业务及系统情况吗？

答：要。应详细描述业务场景、依托系统、机房或云服务情况、出境链路等。

11、何为数据出境链路？

答：如链路提供商、链路数量与带宽、境内外落地数据中心名称及机房物理位置、IP地址等。

12、要披露本地化情况吗？

答：要。要披露拟出境数据在境内存储的系统平台、数据中心等情况。

13、如何阐述数据安全管理能力？

答：应详细描述数据安全有关的管理组织体系和制度建设情况。汇业黄春林律师团队介绍，具体包括但不限于分类分级、教育培训、数据出境管理、应急预案及应急处置、个人信息保护影响评估、个人信息权益保护等制度及落实情况。

14、需要提供数据安全能力有关认证、佐证吗？

答：要。要提供数据安全保障措施有效性证明，例如开展的数据安全风险评估、数据安全能力认证、数据安全检查测评、数据安全合规审计、网络安全等级保护测评、ISO认证等情况。

15、如何阐述风险评估情况？

答：严格按照《数据出境安全评估办法》第五条的要求，一一对应、逐项评估，重点说明评估发现的问题和风险隐患，剩余风险以及相应采取的整改措施、整改计划等。

16、自评估报告应多久完成？

答：申报前3个月内完成。考虑到《数据出境安全评估办法》的整改大限，建议企业尽快启动自评估相关的工作。

17、需要提供自评估报告的工作底稿吗？

答：重要事项应提供工作底稿作为支持文件。例如PIA报告、认证证书、审计报告等。

18、递交申报后可以补正材料吗？

答：可以。但可能会延长评估周期。

19、系统填写的申报经办人必须为本单位人员吗？

答：是的。需提交企业盖章的授权委托书。

20、需要提交法定代表人身份信息、联系信息吗？申报文件需要其签字吗？

答：需要且需要提交扫描件。但可以是护照、港澳通行证等证件。联系信息需要提交手机号及邮箱。授权书需要法定代表人签字。

《申报指南》一方面重申了《评估办法》第四条规定的申报数据出境安全评估的具体情形, 另一方面也明确了数据出境行为的情形, 为“数据出境”行为进行了定义（见下表及图示）。

虽然《申报指南(第一版)》在《评估办法》的基础上进一步明确了“数据出境”行为的认定方式, 但目前对于某些特定情形是否属于“数据出境”行为, 实践中仍存以下两点争议：

1. 数据处理者是否包括个人信息处理受托方?

境外的个人信息处理者出于处理中国境内个人信息的需要, 常会委托境内主体作为个人信息处理受托方（以下简称“受托方”）进行个人信息的处理, 受托方根据业务需要，将会将相关个人信息自境内传输至境外的个人信息处理者或是其他受托方。

通常情况下，个人信息处理活动中的决策、安全措施的设置等，均是由个人信息处理者决定。同时，个人信息处理活动的相关法律责任，应当由个人信息处理者来承担。故而，我们理解应进行数据出境安全评估的数据处理者不包括受托方。

但由于目前《评估办法》及《申报指南(》并未对数据处理者进行定义, 受托方是否需要履行数据出境的相关义务，仍待监管部门进一步予以明确。

2. 向本国境内未在境内注册的主体提供信息数据, 是否属于数据出境？

《申报指南》将境外的机构、组织或者个人访问境内数据，认定为“数据出境”行为, 但《申报指南》并未明确“境外”是地理位置（主体是否位于境外）概念，或是主体属性（是否是外籍主体）概念。

实践之中，常会存在企业雇用外籍人士，在境内从事涉及个人信息处理的工作，以及企业向使领馆、外国常驻新闻机构提供个人信息等情形。

在此场景中，数据本身并未通过传输或远程访问等方式，被转移至境外, 应不属于“数据出境”行为, 但仍有待监管部门对“境外的机构、组织或者个人”的确切含义进行澄清。

《申报指南》明确要求数据出境申报方需提交“与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件”（以下简称“法律文件”），该要求与《评估办法》第九条的规定相呼应，是企业申报数据出境安全评估的必要材料之一。

那么，数据出境法律文件备置的过程中，应当注意哪些关注点呢？泰和泰律师相关专家从《评估办法》第九条要求的必备条款入手，结合实务经验，简要分析数据出境法律文件备置过程中需关注的要点。

一、数据出境方式范围及境外接受方用途等

二、境外接收方再转移数据约束性要求

三、数据在境外达到目的或保存期限处理措施

四、境外接收方政策法规和网安环境发生变化

五、违约补救措施、责任和争议解决方式

六、出境数据面临篡改破坏等风险时应急措施

总体而言，数据出境合同应当以保障数据安全为基础，纳入《评估办法》要求的必备条款，同时结合具体出境数据的类型、范围、规模、场景等，以满足实际使用需求以及符合监管要求。

《评估办法》虽未要求在申报时法律文件已实际签署，但作为拟签署的合同类法律文件，其条款必然要经缔约双方的反复讨论和协调，合同的拟定过程并非一蹴而就。

虽然《评估办法》专门规定了15个工作日的复评期，但实务中，如若因法律文件、制度文件等存在问题而未通过初步评估，在短短15个工作日的复评期内往往很难完成整改以满足监管要求。

因此，建议企业应当早启动早部署，在律师等专业人士的帮助下，提前完成相关法律文件的草拟、磋商、签署工作，确保全面满足数据出境安全评估要求。

值得注意到是，申报最长需57个工作日, 但存在延长的情形。

数据出境安全评估需要经过省级网信部门完备性查验（5个工作日）, 国家网信部门材料申报（7个工作日）， 国家网信部门实质审查（45个工作日）三个步骤。对于情况复杂或者需要补充、更正材料的, 时间还会进一步延长。

因此通常来说, 申报数据出境安全评估最长需要57（5+7+45）个工作日, 但存在情况疑难复杂、材料需补充更正或需申请复评等不确定因素, 相应的评估时间将会进一步延长。

建议存在疑难复杂情况或数据出境对业务有关键影响的企业尽早进行申报, 以免因等待评估结果而影响业务的开展。

《评估办法》作为部门规章，其法规价值在于落实《网络安全法》、《数据安全法》、《个人信息保护法》等上位法构建的数据出境安全评估制度，其价值特点可归纳为以下三方面：

一、推进制度闭环。

《网络安全法》（第37条）、《数据安全法》（第31条）、《个人信息保护法》（第40条）对于重要数据和个人信息的出境安全评估做出了制度授权并预留了法规细化空间。

《评估办法》对于数据出境安全评估的内容和工作机制等做出具体规定，是对其上位法相关制度框架的细化发展，有效推进了数据出境安全评估制度的闭环。

二、实现规则划一。

此前《数据安全法》在规定“重要数据出境安全评估”时，将“关键基础设施重要数据”和其他重要数据进行区分，即：关键信息基础设施运营者的重要数据出境安全管理，适用《网络安全法》，其他数据处理者的重要数据出境安全管理，由国家网信部门会同国务院有关部门制定重要数据的出境安全管理办法。

《评估办法》的颁布，在重要数据主体方面不再突出强调关键信息基础设施运营者和其他重要数据运营主体的区分，并将“重要数据出境的管理办法”进一步明确为“数据出境安全评估办法”，有利于推进规则合一并提高立法效率。

三、明确范围界定。

国家互联网办公室对数据出境安全评估相关管理办法进行过三次公开征求意见，分别是：2017版《个人信息和重要数据出境安全评估办法（征求意见稿）》、2019版《个人信息出境安全评估办法（征求意见稿）》及2021版《数据出境安全评估办法（征求意见稿）》。

此次《评估办法》的颁布，将个人信息、重要信息等统一纳入数据出境评估的范畴，进一步统一和明确了需评估信息的范围，有助于推进数据出境评估工作的统一性。

《评估办法》在强化数据出境安全管理的同时，对于促进数据安全产业的发展同样具有很强的导向作用。主要体现在其能够带动和引导以下两类需求发展。

一、促进数据出境安全评估服务。

《评估办法》规定了数据处理者“应当开展数据出境风险自评估”的义务，这对于网络安全行业而言，无疑会推动数据出境评估相关服务的发展。

一方面，促进面向数据处理者的专业化数据出境安全服务，如数据出境自评估咨询、出境数据资产审计、数据安全风险评估、数据脱敏、以及数据出境安全评估一体化解决方案等。

另一方面，促进面向数据评估专业机构的支撑服务发展，如出境重要数据识别、数据出境安全风险甄别、数据出境安全事件处置等专用工具研发等。

此外，还能促进数据安全出境相关培训服务的发展，如数据安全相关资质和技能培训、数据风险分析与应急培训等。

二、促进数据出境安全监管支撑服务。

《评估办法》规定了国家相关职能部门所应承担的监管职责，这对于相关的监管支撑服务也具有积极促进作用。主要包括：数据出境风险监测、敏感数据威胁情报支持、数据出境安全协同管理平台等。

综上可见，《评估办法》是我国数据安全制度体系的重要组成部分，也是全面提升我国数据安全保障能力的重要基础一环，并且随着数据出境安全评估制度的逐步落实推进，数据安全产业也必将伴随得到深入促进发展。

《评估办法》的发布，不仅是我国数据安全法治建设的里程碑，更是见证和保护数据安全产业高质量发展的新征程。