數據出境合規100問 | Part 3：《數據出境安全評估辦法》高頻問題與適用解讀 - 網安

數據出境合規100問

《數據出境安全評估辦法》與《個人信息出境標準合同規定（征求意見稿）》剖析與解讀

文 / 王捷律師團隊

第三部分：

《數據出境安全評估辦法》高頻問題與適用解讀

《辦法》的發布促進了我國維護數據安全及保護數據利益的制度設計到實踐操作的良性銜接，本次《辦法》共包括二十條，對安全評估的目的，適用范圍，評估程序，評估內容，評估效果等各進行了全面規定。

《辦法》實施后，符合要求的企業最好在規定的期限內盡快配合完成評估，盡早熟悉、準備安全評估的相關事項及流程，以避免因違反《辦法》規定而導致企業的數據出境活動受到影響。本專題的第三部分，將匯總《辦法》的高頻問題以及適用難點，結合團隊多年的數據出境業務經驗，為大家帶來詳細解讀。

Q49. 本次《辦法》相比先前的各個意見稿版本有何變化？與《網安法》、《個保法》、《數安法》中關于跨境安全評估的規定有何異同？

與早些年相比，目前我國數據保護相關的法律成果是比較豐富的，借助回答本問題的機會，我們可以先對《辦法》及與數據出境評估相關的立法脈絡進行一個梳理。

從當下的法律布局來看，在已經實施并生效的法律中，《網絡安全法》、《數據安全法》、以及《個人信息保護法》共同搭建起了立體的數據安全評估法律體系，其中，《網絡安全法》側重網絡安全風險、對關鍵信息基礎設施提出了評估要求；《數據安全法》更關注重要數據處理相關的評估事項；《個人信息保護法》則把安全評估作為個人信息數據出境可能采取的路徑之一；而隨著《辦法》的發布，后續企業將能獲得數據出境安全評估事項的詳細指引，我國安全評估從規定事項到具體做法逐漸清晰。

從《辦法》制定的時間脈絡來看，《辦法》的制定先后經歷2017年《個人信息和重要數據出境安全評估辦法（征求意見稿）》、2019年《個人信息安全出境評估辦法（征求意見稿）》、2021年《數據出境安全評估辦法（征求意見稿）》以及2022年《數據出境安全評估辦法》4個版本，期間名稱、內容的改動可以很好地看到我國近年來對數據出境安全立法思路的調整與發展，如對于是否要分類調整個人信息及重要數據、安全評估如何開展、是否需要自評估等，在不斷的調整和立法探索中，如今的《辦法》才最終敲定。

對我國數據出境評估相關法律規定進行扼要對比如下：

Q50. 企業如何判斷自身業務是否需要進行出境安全評估的申報？

是否需要進行安全評估，企業可以按照以下流程圖進行判斷：

但是，在實務中，企業還有很多既不是個人信息又不是重要數據的數據，且這些數據也會有大量出境的情況存在，若按照現有《辦法》的條文來看，這類的數據，并不需要進行安全評估，或者簽署標準合同，但仍然建議企業考慮通過完成風險自評估的方式來進行自我檢測。

Q51. 延伸一如何理解“數據處理者向境外提供重要數據”以及具體情況可能包括哪些？

《辦法》第十九條對重要數據進行了詳細的定義，主要強調考慮數據產生的社會影響，該部分在本專題第一部分有進行講解，進一步補充的是，《信息安全技術重要數據識別指南》（以下簡稱《指南》）中除給出了重要數據的定義外，對危害國家安全、公共利益等各個領域重要數據的識別需要考慮的因素也作出了詳細的列舉，故企業可以通過對處理數據的領域進行判斷以明確是否處理了重要數據。比如，地圖軟件中掌握的地圖數據，城市車輛的行駛路線等。

需要注意的是，《指南》中規定重要數據不包括國家秘密和個人信息，但是基于海量個人信息形成的統計數據、衍生數據有可能屬于重要數據，其中“海量”的具體數字并未明確。在《汽車數據安全管理若干規定（試行）》中，其明確指出“涉及個人信息主體超過10萬人的個人信息”屬于重要數據。故在實務中，關于海量個人數據的具體化可能需要在不同行業領域進行分別規范。

Q52. 延伸 — 核心數據是否可以通過安全評估數據出境？

從數據類型上看，《辦法》只規定了重要數據、達量的敏感數據及個人數據出境需要進行安全評估，而并未列明核心數據可以通過安全評估完成出境，由此核心數據的數據出境規則值得進一步分析，根據《數據安全法》第二十一條規定：“關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據，實行更加嚴格的管理制度。”由此可以判斷核心數據可能不能通過安全評估辦法進行出境，一是因為核心數據其對國家、社會的重要性要比《辦法》中規定的幾種數據類型更高，二是《數據安全法》中已說明將會實行更嚴格的管理制度要求，至于這是否意味著核心數據不具有出境的可能性，或者核心數據出境需要適用何種規則，由于其需要更多維度要素的考量，可以在未來進一步觀察。

Q53.延伸 — 如何理解“CIIO和達量數據處理者向境外提供個人信息”以及具體情況可能包括哪些？

關于關鍵基礎設施運營者，《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》中給出了明確的定義。除此之外，《條例》第十條規定保護工作部門根據認定規則負責組織認定本行業、本領域的關鍵信息基礎設施，及時將認定結果通知運營者，并通報國務院公安部門，故企業應當注意是否接到主管部門的認定結果的通知，以判斷自己是否屬于關鍵基礎設施運營者。關于CIIO的其他內容，在本系列文章第一部分做了更詳細的闡釋，如仍有疑問可以進行參照。

其次，關于處理100萬人以上個人信息是對數據處理者處理個人信息的人數要求，同時，處理個人信息主體量達到100萬，不管向境外傳輸多少，都已符合該條要求，需要進行申報。

Q54.《關鍵信息基礎設施確定指南（試行）》提及的100萬訪問人次和《辦法》的人數一樣嗎？

實務中有企業注意到了《關鍵信息基礎設施確定指南（試行）》（以下簡稱《指南》）中也提及到“100萬”的衡量標準，并前來咨詢《指南》的100萬與《辦法》的標準是否等同的問題.

實際是，雖然都是100萬，但是衡量標準是不同的，根據《指南》的規定，“日均訪問量超過100萬人次的網站，或可能影響超過100萬人工作、生活，或造成超過100萬人個人信息泄露的網站可認定為關鍵信息基礎設施。”注意，《指南》中提及的標準是100萬“人次”，而《辦法》則是100萬“人數”，前者計算訪問次數，后者計算主體數量，單個主體可能會訪問多次網站，每次訪問都會以人次作為計算。

Q55.《辦法》中提及的100萬“人”、10萬“人”、1萬“人”是否只計算具有中國國籍的公民？例如，收集境外來境內的游客的個人信息是否應計算在內？

該問題的核心在于確認我國保護的個人信息主體的涵蓋范圍，結論是，只要是我國境內的自然人的個人信息都受到保護，并不止于我國的公民。該范圍可以在《個人信息保護法》第二條及第三條的內容中找到法律依據，只要是位于我國境內的自然人都將會落入《辦法》計算中被判斷的主體。如理解有誤，歡迎拍磚指正。

Q56.《辦法》中關于100萬數據出境的規定是否可以理解為就是《個人信息保護法》第四十條規定的境內儲存達量標準？

該問題出現了一個針鋒相對的觀點，早在《個人信息保護法》剛發布實施時，其第四十條要求的國家網信部的規定數量究竟為何一直是被業內關注的重點，《辦法》實施后，100萬是否應當同時也是個人信息處理者應當把信息儲存到境內的標準。有企業認為，既然數據出境的達量標準為100萬，那么境內儲存的標準應當與其等同或者，至少不會比數據出境的標準更低；亦有企業認為，若境內儲存的標準為100萬人數或者要求更嚴格的話，實務中會為企業的數據處理活動帶來過高的處理成本。

我們認為，判斷該問題可以分為兩步，

從目前來看，《辦法》規定的是數據出境的適用規則而并非是數據儲存，二者的標準可能有參考價值但不能從法條文義上直接得出數據儲存也適用該標準的結論

由此，數據儲存的標準不會因為《辦法》的頒布施行而當然的提高；

從近年來的實踐判斷，企業實踐中亦尚未出現因掌握個人信息人數達到100萬即被要求必須在境內儲存信息的情形

由此，在未進一步明確境內儲存規則之前，目前實務中企業的境內儲存規則狀況可能會仍暫時維持現狀。

Q57. 延伸 — 如何理解“累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息”，其具體情況可能包括哪些？

首先，需要注意的是時間起算點為自上年1月1日起，由于本《辦法》自2022年9月1日起施行，故在實務中應理解為自2021年1月1日起計算，此條與《規定》中關于簽署《標準合同》的主體的時間要求銜接，如此規定避免了長時間的數據累計，可使數據量較小的數據處理者不必落入監管范圍。

其次，10萬人與1萬人為實際累計向境外傳輸個人信息主體的人數，關于傳輸信息的計量單位（例如條數、容量等等）在本系列第二部分文章中也進行了討論，這是一個在實務中較為模糊，需要進一步立法規定的問題。最后，關于敏感個人信息，在本系列文章第一部分進行了解釋，故企業在實務中應當注意時間的起算要求以及收集個人信息的種類是否屬于敏感個人信息。

Q58.延伸 — 如何理解“網信部門規定的其他需要申報數據出境安全評估的情形”以及具體情況可能包括哪些？

該條為兜底條款，企業在實務中應當注意經營領域是否有相關行業法規規章對數據收集以及出境具有要求，而不僅局限于《網絡安全法》《數據安全法》和《個人信息保護法》等整體性法律框架內。

Q59.小劇場：仔細研讀《辦法》后，為后續便利出境，A公司就累計起算規則日期的問題前來和律所探討，A公司認為，《辦法》是今年9月1號開始施行，今年的1月1號已經經過，是否可以理解為累計時間的起算點是從2022年1月1日、或2023年1月1日才開始起算？

結合現有法條的文義來看，我們理解，累計的起算時間點應當從2021年1月1日開始，除非有額外的規定說明，否則《辦法》2022年9月1日生效后，就應該在生效的時間點開始遵循《辦法》規定的起算點，即，2022年9月1日為生效時間點，自上一年1月1日開始累計計算。同時，若累計起算的時間點尚需等待2022年乃至2023年起算，那么《辦法》提出的六個月的整改期，以及盡快完善出臺我國數據出境的各項規則的效果也會大打折扣。

Q60.延伸 — 規定關于100萬人數的標準并沒有上一年1月1號的限制條件，是否意味著只要歷史到現在累計達到100人，就得申報而不是采用滾動清零措施？

從《辦法》的適用標準框架來分析，100萬人目前確實并未采取滾動清零的措施。

考慮到累計人數達到100萬，已經是一個相當龐大的數據合集，容易產生較大的數據安全隱患，盡管是歷史累計，可能牽涉的主體以及產生的社會影響力仍然比較高；

從規則設計可行性上看，如果100萬人數采取的累積規則若仍是上一年1月1號，很難有企業會達到100萬的要求，監管目的容易落空；

從適用標準的體系來看，4項標準分別從主體類型、數據類型、人數規模、時間累計四個層面進行了多層次的規定，體系上標準相對完善；

《辦法》的目的是盡可能的降低法數據安全出境風險，若采用歷史累計達100萬的方式也與《辦法》的目的相符合。

Q61. 延伸 — 未達到《辦法》要求進行安全評估的人數要求，但是處理個人信息的條數規模較大是否需要進行安全評估？

鑒于《辦法》中關于100萬、10萬、1萬均指的是人數要求，而非信息條數的要求。在此情況下，實務和業內基于此標準延伸出了一個疑問，若企業處理的人數未達標準，但是所持有的信息條數足夠多，企業是不是就無需進行安全評估。

該問題的著眼內容不僅在于人數標準，而在于在該情形下企業是否需要進行安全評估，我們認為，該情形下，雖然企業確實達不到安全評估的人數要求，但是其持有的條數如果足夠多，以至于對國家、經濟、社會、公共健康等產生影響的，企業可能會因為其所處理的數據被認定為重要數據或屬于法律規定的其他情況而達到進行安全評估的要求。

Q62.延伸 — 現階段未達到申報要求但未來有達到要求可能的企業是否需要申報？

若數據類型為個人信息的，現階段未達到申報要求的企業可以通過簽訂《標準合同》等其他途徑進行數據出境，若數據非涉及個人信息且未達到《辦法》要求的，無需進行安全評估申報。但是根據《辦法》第十六條以及第十八條規定，違反本辦法規定的，不僅面臨被舉報的風險，更有可能構成犯罪，依法追究刑事責任。

由于進行出境安全評估申報，需要開展自評估以及安全評估，提交申報書、自評估報告以及各項法律文件，且需要通過省級網信部門查驗以及國家網信部門受理，整個申報過程需要大量時間成本，故建議企業應當根據現階段經營狀況進行及時預估，如果預測未來發展走勢積極，應當盡早做好申報準備，以免因為不符合數據出境要求影響企業業務發展。

Q63.企業是否可以通過安排不同主體去承接數據的方式規避《辦法》要求的數據出境安全評估？

在《辦法》實施后各企業包括業內都有曾進行類似場景的討論，假設一個需要安全評估的企業主體把個人信息分散給不同的企業主體進行處理，且分散后每個主體都達不到安全評估的要求，此時企業是否就可以不用完成安全評估了。

從實務經驗來看，判斷該問題的核心在于分析處理數據的不同企業之間的關系如何，若企業與企業之間能夠保持獨立，人員、資金、管理制度等都能達到不混同、不融合、不共享的，我們可以認為，每一個處理數據企業都構成一個完全獨立的主體，因此，若此時每一個企業主體處理數據的情形都未達到安全評估的要求標準，數據出境活動可以不進行安全評估。

但是隨著對數據出境監管力度的加強，不排除之后監管部門會通過對不同企業主體進行詳細審查，若通過判定企業之間的數據流轉情況、數據融合情況、企業的具體經營狀況（包括但不限于業務人員的對應的勞動合同關系，各企業主體是否獨立承擔責任，是否具有獨立責任人等），以及向境外提供個人信息和重要數據的各企業之間的關系，最終判斷出各企業主體之間是較難保持獨立性，或實際為同一企業所控制的話，則仍然需要考慮依據《辦法》要求的內容完成數據出境安全評估。

故目前來說，這種方式并不能當然就完全避免企業面臨的被監管部門審查問責的風險。

第三部分中篇：

《數據出境安全評估辦法》高頻問題

與適用解讀

本部分中篇將回答以下問題：

Q64.企業在進行數據出境安全評估時將需要經歷哪些具體流程？

Q65.企業應該如何進行自評估報告，完成自評估的過程中需要重點關注哪些內容？

Q66.延伸—自評估報告和安全評估報告有什么區別？

Q67.《標準合同》的個人信息保護影響評估與《辦法》規定的自評估有什么區別？

Q68.企業是否需要分開做個人信息保護影響評估以及自評估？

Q69.企業進行自評估以及個人信息保護影響評估的材料是否有可以共用的部分？

Q70.《辦法》中提及的數據出境的法律文件具體有哪些要求？

Q71.延伸—《辦法》中的法律文件和《標準合同》有什么區別？

Q72.延伸—在企業起草法律文件中的安全保障義務條款時，是否可以參考《標準合同》的內容？

Q64.企業在進行數據出境安全評估時將需要經歷哪些具體流程？

Q65.企業應該如何進行自評估報告，完成自評估的過程中需要重點關注哪些內容？

我們在本專題的第一部分對自評估報告的概念進行了說明，簡單來說，自評估報告中需要對數據出境業務、數據出境過程中可能涉及的風險、境外接收方的安全保護能力、個人信息權益維護、簽訂的法律文件等進行評估。

結合法條內容，我們理解，風險自評估的報告可以包括如下內容：

Q66.延伸—自評估報告和安全評估報告有什么區別？

首先，我們先從兩個評估流程的法律規定進行內容上的對比：

其次，除常規法條對比外，從實務角度進行理解，討論該問題的核心目的并不是為了從學理上理解二者的差別，而是知道安全評估辦法的重點內容，以便于企業在完成自評估的時候盡可能地配合安全評估辦法的著眼點，確保企業數據成功出境，就如同日常中給客戶講解項目報告，關鍵點在于如何闡述到客戶的心檻里才是提高成功率的關鍵。

從對比可以看到，在法條描述的內容里，自評估與安全評估有許多內容保持了一致性，由此可以推斷，對于兩個評估環節保持一致的部分，企業按照評估要求完成材料準備即可。

此外，安全評估與自評估的差異性在于，從內容上看，相比于企業，國家在考察境外法律、政策方面的評估更具有優勢，因此安全評估比自評估多了“關于境外接收方所在國/地區的數據安全保護政策法規和網絡安全環境對出境數據安全的影響；遵守中國法律、行政法規、部門規章情況”這兩條；從考察視角上看，自評估相對而言側重評估個人信息主體的權益在境外是否能得到同等的保障，出境安全評估除了評估個人信息主體權益外，還更多地考量國家安全、公共利益。

基于以上差別，可以推斷出，企業在進行自評估的時候，在條件允許的情況下，可以事先對境外接收方所在國家的法律政策有所考察，并對國家、社會、個人風險進行一個初步的判斷。王捷律師團隊曾于2021年出具的《中國與海外多國/地區數據保護及企業合規要點對比報告》，里面有就部分主流出海國家與地區的數據保護法律要點進行分析與比對，以幫助企業客戶更全面地了解境外接收方所在國家的法律政策。

概述而言，企業進行自評估的主要目標是為了讓數據出境，開展業務，盡管自評估與安全評估在規定上有所差別，但是企業在條件以及成本允許的情況下，進行自評估時可以兼顧安全評估的標準，提高獲得批準的可能性。

Q67.《標準合同》的個人信息保護影響評估與《辦法》規定的自評估有什么區別？

二者的對比如下：

基于《標準合同》傳輸的個人信息的數量以及風險程度相對較低(不涉及或較少涉及重要數據、敏感數據)，因此，企業進行個人信息保護影響評估更多關注對個人信息權益帶來的風險，而自評估還需更多考量數據出境給國家安全、公共利益帶來的風險。

企業使用簽訂標準合同的方式進行傳輸時，按規定需要備案。若《規定》生效，網信部門將面臨大量的備案工作，不太可能對備案的內容進行實質性審查，因此個人信息保護影響評估將“評估境外接收方所在國家的法律、政策對履行合同的影響”這一內容規定由企業承擔，從上一問的對比也可以知道，在安全評估中這一內容主要由國家網信部門以及其他有關部門開展，企業的自評估并不涉及這一點。單從這一項對比來看，個人信息保護影響評估所要評估的內容（廣度）是多于自評估的。但是，自評估由于可能涉及重要數據、敏感個人信息以及傳輸數量較大，其所需的評估程度（深度）是大于個人信息保護影響評估的。

此外，對比自評估的第5項“是否訂立了法律文件來符合數據安全保障義務”，由于個人信息保護影響評估是企業簽署《標準合同》的配套評估活動，且《標準合同》是網信部門制定的，其中已經涵蓋安保義務的約定，故在個人信息保護影響評估中無需另外評估標準合同。對于需要進行安全評估的企業，我們建議可以在簽訂《標準合同》的基礎上，再根據具體業務情況簽訂其他法律文件。

Q68. 企業是否需要分開做個人信息保護影響評估以及自評估？

個人信息保護影響評估主要適用數據類型為個人信息的情形，自評估則可能涉及到更多數據類型，由于個人信息保護影響評估以及自評估涉及的評估廣度以及深度上的差異，對于不同類型的數據，企業都需要完成數據出境的，有可能存在分別進行個人信息保護影響評估以及自評估的情況。

Q69.企業進行自評估以及個人信息保護影響評估的材料是否有可以共用的部分？

承接上一問，由于個人信息保護影響評估以及自評估涉及的評估廣度以及深度上的差異，企業可能需要分別進行個人信息保護影響評估以及自評估。但是，這并不意味著二者沒有可以共用的部分。

相反，許多企業在進行兩項評估的過程中實際上有許多調查的事項材料是重合的，比如涉及到個人信息相關的目的、類型、使用范圍、境外接收者保障信息安全的技術和管理制度、境外的責任承擔義務等，這也提醒企業，在進行各項評估時，相關的評估材料可以進行及時備份和保存，以提高企業經辦數據出境流程的效率。

在對個人信息主體的保護方面，自評估涵蓋了個人信息保護影響評估內容，可以合并進行評估。而對于涉及接收方所在國/地區的政策評估，則需要在個人信息保護影響評估中額外進行。

Q70. 《辦法》中提及的數據出境的法律文件具體有哪些要求？

《辦法》中表述數據處理者與境外接收者之間簽訂的文本使用的是“法律文件”而并非“合同”，這說明，企業雙方也可能采取在原有合同的基礎上簽訂補充協議或者增加附件的方式完成義務內容的約定，同時與《標準合同》不同，《辦法》規定發布后并沒有提供一個官方的樣本，而主要強調法律文件中的數據安全保護責任義務內容。主要包括以下要點：

Q71.延伸—《辦法》中的法律文件和《標準合同》有什么區別？

本質上，《辦法》的法律文件以及《規定》提供的標準合同，都能體現國家對于數據出境的監管，只是由于約束的數據內容在涉及的范圍、類型、重要性及影響力上存在差異，因此兩個文本背后體現出來的，采用的監管策略可能會存在差異，關于差異性，二者的比較可以從多個角度進行分析：

Q72.延伸—在企業起草法律文件中的安全保障義務條款時，是否可以參考《標準合同》的內容？

目前來看，《標準合同》的條款還是具有較高參考價值的，尤其在《辦法》實施的初期，境內各企業對法律文件的條款內容可能尚缺乏充足的經驗幫助判斷，《標準合同》中關于個人信息處理者及境外接收者的權利義務、對個人信息的制度及技術保護要求、對出現侵害個人信息事件風險時的處置措施等內容都值得借鑒。由于進行安全評估的個人信息重要性更高，影響力更大，雙方的安全保障義務條款可能會比《標準合同》更為嚴格。

團隊

第三部分下篇：

《數據出境安全評估辦法》高頻問題與適用解讀

本部分下篇將回答以下問題：

Q73.安全評估結果的有效期持續多久？

Q74.有效期屆滿時企業何時需要進行重新評估？

Q75.企業在重新申報評估的過程中原評估結果有效期屆滿，數據出境活動效力為何？

Q76.符合安全評估要求的企業需要現在就著手準備安全評估嗎？

Q77.若企業不進行安全評估需要承擔何種法律責任？

Q78.現階段不符合《辦法》規定的，《辦法》實施后還需要追究責任嗎？

Q79.如果申報材料不符合規定或者對安全評估結果有異議的，企業如何進行補救？

Q80.通過安全評估后是否還有其他持續性的審查？

Q81.已經進行了網絡安全審核評估的企業，還要做數據出境安全評估嗎？

Q82.企業如何合規地進行數據出境活動？

Q73.安全評估結果的有效期持續多久？

安全評估活動并非是一勞永逸，《辦法》規定評估結果的有效期為出具結果之日起二年，如果企業在評估結果有效期屆滿后仍計劃繼續開展數據出境活動的，應當在有效期屆滿前60個工作日前重新申報評估，即大約三個自然月。

從《辦法》的時效要求來看，如果達到《辦法》規定要求的企業，持續有數據出境相關業務的話，安全評估可能將會是企業未來頻繁接觸的流程。

Q74. 有效期屆滿時企業何時需要進行重新評估？

需要注意的是，若想確保企業數據出境活動不受評估結果失效而終止，企業需要留夠充分的申報時間，雖然流程中有規定申報材料流程的相關部門大概的處理時長，但目前《辦法》要求最終出具評估結果的最長時間尚不明確，建議企業需要重新進行安全評估的，應當盡早著手準備。

Q75.企業在重新申報評估的過程中原評估結果有效期屆滿，數據出境活動效力為何？

既然目前并不確定評估結果出具的最長時間需要多久，那么盡管企業在60個工作日前完成重新申報，也有可能會出現原評估結果有效期屆滿，但是新評估結果也尚未出具的情形，嚴格按照《個人信息保護法》以及《辦法》的規定來判斷，有效的安全評估結果是符合要求的企業開展數據出境活動的前置條件，有效期屆滿后，企業繼續進行數據出境活動的，可能會被因違反《辦法》要求而被終止活動。

Q76.符合安全評估要求的企業需要現在就著手準備安全評估嗎？

自《辦法》發布后，近日許多企業都前來咨詢該問題，未來一段時間內，很有可能是數據安全評估申報的高峰期。

首先，《辦法》要求符合安全評估要求的企業堅持事前評估、風險自評估，并在申報安全評估時提交申報書、數據處理者與境外接收方擬訂立的法律文件以及其他材料，這意味企業需要在申報前完成大量的準備工作；

其次，《辦法》第二十條規定，《辦法》自2022年9月1日起施行。《辦法》施行前已經開展的數據出境活動，不符合《辦法》規定的，應當自《辦法》施行之日起6個月內完成整改，即已有數據出境業務的企業應在實施之日起6個月內整改，即最遲于2023年3月1日完成整改；

最后，《辦法》規定，國家網信部門應當自向數據處理者發出書面受理通知書之日起45個工作日內完成數據出境安全評估，情況復雜或者需要補充、更正材料的，可以適當延長并告知數據處理者預計延長的時間，這意味目前監管部分對于數據出境安全評估審核的期限可能基于情況復雜、材料不足等原因延遲；

綜上所述，我們建議符合安全評估要求的企業盡快開始著手準備安全評估，避免因提交材料、審核期限等問題導致無法在《辦法》實施之日起6個月內整改。

Q77.若企業不進行安全評估需要承擔何種法律責任？

《辦法》明確了符合安全評估要求的企業違反《辦法》要求的法律后果，包括依據《網絡安全法》、《數據安全法》、《個人信息保護法》等法律法規處理，若情節嚴重，構成犯罪的，還有被追究刑事責任的風險。我們為企業梳理以上法律中的相關規定如下，供企業參考：

《網絡安全法》第六十六條中對違法在境外存儲網絡數據，或者向境外提供網絡數據的行為處罰規定

《數據安全法》第四十六條中針對向境外提供重要數據行為的處罰規定

《個人信息保護法》第六十六、六十七條中對違反規定處理個人信息，或者處理個人信息未履行《個保法》規定的個人信息保護義務的行為處罰規定

Q78.現階段不符合《辦法》規定的，《辦法》實施后還需要追究責任嗎？

企業數據出境現階段不符合《辦法》規定的，由于現階段《辦法》尚未實施，目前還不會受到處罰，但是《辦法》也給企業預留了整改期，這說明，《辦法》是考慮到了企業此時可能不合規的情況，并預留給企業調整時間的，因此，如企業在《辦法》實施前已有部分數據出境情形，建議企業在《辦法》施行之日起6個月內完成整改，否則可能面臨違規風險。

Q79.如果申報材料不符合規定或者對安全評估結果有異議的，企業如何進行補救？

與之前2021年征求意見稿的版本相比，《辦法》完善了安全評估的救濟流程，企業先把材料交給省級網信部門進行材料的完備性審查，當材料不齊全時，會退回數據處理者并告知補充材料，企業可在此時補充材料，并在此向省級網信部門重新提交申報材料；同時，若最終企業無法通過安全評估，數據處理者對國家網信部門的評估結果有異議的，還可以在收到評估結果15個工作日內向國家網信部門申請復評，需注意此復評結果為最終結果。

Q80.通過安全評估后是否還有其他持續性的審查？

會的，我國數據出境安全堅持事件評估和持續監督相結合，也就是說國家網信部門可以主動對正在進行的各項企業數據出境活動進行監督，一旦發現已經通過評估的數據出境活動在實際處理過程中不再符合數據出境安全管理要求的，應當書面通知數據處理者終止數據出境活動。數據處理者需要繼續開展數據出境活動的，應當按照要求整改，整改完成后重新申報評估。

Q81.已經進行了網絡安全審核評估的企業，還要做數據出境安全評估嗎？

從現有法律的規定與監管的角度來看，完成網絡安全審核評估的企業，建議仍然需要根據企業實際情況以及現有規定進行數據出境安全評估。網絡安全審查評估與數據出境安全評估在許多內容上都有明顯差別，二者共同作為我國數據安全的法治框架的一部分，數據安全既包括數據出境場景，同時也包括境內活動場景。

Q82.企業如何合規地進行數據出境活動？

企業馬上需要做的內容是判斷自身是否符合《辦法》規定的需進行申報的要求，具體的事務事項可能受限篇幅無法完全展開，此處可以提供大致的思路，企業可以先對自己日常經營過程中處理的數據類型、規模、范圍、業務流程進行一個確認歸類，并梳理出企業內部的數據處理流程，以確保企業對其合規的判斷足夠精確。

其次，若符合《辦法》要求的，由于《辦法》規定了有限的整改期，且可能近段時間為申報的高峰期，可以盡早按照《辦法》的要求完成申報材料的準備。

最后，企業除了考慮《辦法》的要求外，本次解讀第二部分《規定》的內容也需要關注，尤其《標準合同》中約定的各項權利義務及責任要求，可以成為企業日常數據出境活動中完成法律文件時的參考內容。當然，企業若想要安全合規的完成數據出境，只考慮出境規則是不夠的，企業內部數據處理各項環節都可能會有違規的風險，精準的找到出血點，并對癥下藥，也是保證合規的關鍵。具體開展企業數據合規的相關事宜時，也非常歡迎企業與王捷律師團隊進一步聯系。

本系列文章作者：

王捷肖錦豪夏律黃思妍劉玫君