企业数据出境需要做的二三事

由于笔者在工作中遇到了数据出境的工作场景，花了不少时间搜集数据出境相关的资料，本篇文章算是一个汇总整理，也为有需要的朋友减少搜集资料的时间。

0X01 整体介绍

对于企业来说，数据出境主要需满足监管合规需求，避免数据在出境时出现合规风险。

数据出境涉及到的相关法规有：

1、《网络安全审查办法》

2、《数据出境安全评估办法》

3、《数据出境安全评估申报指南》（第一版）

4、《个人信息出境标准合同办法》

5、《信息安全技术 数据出境安全评估指南》征求意见稿

数据出境的主管单位是 网信办 。

0X02 关键词汇释义

在数据出境相关法规中，有几个比较关键的词汇，分别是

重要数据：指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公众健康和安全的数据。------《数据出境安全评估办法》

敏感个人信息：指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。------《中华人民共和国个人信息保护法》

数据出境行为：1、数据处理者将在境内运营中收集和产生的数据传输、存储至境外。2、数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出。3、国家网信办规定的其他数据出境行为。------《数据出境安全评估办法》

0X03 详细说明

在涉及到数据出境相关管理时，首先需要判断自己的企业适用什么法规，其中《网络安全审查办法》主要适用于企业赴境外上市，不是该场景时可不用关注该法规。

数据出境主要适用《数据出境安全评估办法》，在该办法中规定了企业需要进行数据出境安全评估的条件，具体如下：

信息安全管理人员可根据自己单位的情况判断是否需要进行数据出境安全评估。

需要进行出境安全评估的：

需要进行出境安全评估的企业，则需依据《数据出境安全评估申报指南》（第一版）进行出境安全评估，评估流程如图：

其中，《信息安全技术 数据出境安全评估指南》征求意见稿，是第三方机构出境评估的规范性国家标准，企业信息安全管理人员自评时也可以参照该标准进行自评。

不需要进行出境安全评估的：

不需要进行出境安全评估的单位，则需依据《个人信息出境标准合同办法》，与境外数据获取方订立标准合同，标准合同可以在网信办官方网站下载：http://www.cac.gov.cn/2023-02/24/c_1678884830036813.htm

以上是企业数据出境需要注意的二三事，做了以上这些，最后一件事可不能忘：凡是涉及到数据出境的企业，均需要到网信办进行数据出境备案。