一文全解《数据出境安全评估办法》出境安全规范数据出境安全评估办法评估办法

1、通过数据资产梳理与分类分级，建立企业内部数据监管制度

数据梳理与分类分级是企业建立流动的数据监管制度的基础，以企业现行或拟进行的业务为依托，对其中涉及的数据进行梳理，根据数据类型等对数据进行分类分级，并按照分类分级结果，建立企业内部控制制度，具体包括数据访问权限设计，内部安全管理制度，安全事件应急预案等制度。

2、做好业务拆分工作

3、做好企业与其他主体的各项合规工作

数据出境，除了要对境外接收方的法律环境与数据安全环境进行尽职调查，还要为涉及国内各数据处理第三方设计各项制度。包括准备签订各项法律文件，对各方管理措施和技术措施进行调查和确认，同时要对结果、来往记录留存，如有需要，配合监管机构核查。

（四）数据出境安全评估要点解读

（一）“数据出境”的定义

根据《评估办法》答记者问，数据出境活动主要包括：一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以访问或者调用。

通过对上述内容进行归纳，《评估办法》中数据出境共有两个特点：第一，数据由境内收集和产生；第二，境外可通过物理层面上的传输和存储接触到数据，或者通过线上的方式进行访问或调取。这种不仅限于物理上的数据出境，在《信息安全技术数据出境安全评估指南（征求意见稿）》（以下简称“《评估指南》”）也有提及（如下图）。

笔者建议，即使在其他规定中对“数据出境“也有规定，但在数据出境安全评估工作中，应严格按照《评估办法》中的两个特点进行理解。

（二）《评估办法》的适用范围

首先必须明确，判断《评估办法》适用范围的第一步，要确定数据类型是否仅限于重要数据和个人信息，第二部再判断数据处理者是否属于规定中要求的特殊条件。这种判断方法不仅与数据合规实务中先行数据梳理有联系，而且如发现涉及国家秘密或一般经营数据等其他数据类型，可做区别处理。

（1）重要数据的认定

《评估办法》中第十九条规定，重要数据，是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。

虽然有上述定义，但重要数据认定在实务中一直是困扰企业的难题，主要是目前《数据安全法》将确定重要数据目录的任务交给了各地区和各部门。但目前为止，只有《汽车数据安全管理若干规定（试行）》做出了回应，汽车领域的重要数据包括①军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据；②车辆流量、物流等反映经济运行情况的数据；③汽车充电网的运行数据；④包含人脸信息、车牌信息等的车外视频、图像数据；⑤涉及个人信息主体超过10万人的个人信息；⑥国家部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。

虽然目前为止其他领域暂未列明重要数据目录，但企业（尤其是涉及能源、金融等重要行业的企业）不可忽视其重要数据识别的必要性。一方面，应积极与主管本地区，本行业的单位组织沟通，确认企业是否涉及重要数据。其次，通过汽车行业重要数据目录，根据本行业性质，归纳出定性与定量结合的方式进行认定。例如涉及军事管理区的数据、反映经济运行状况的数据均可认定为重要数据。

（2）关键基础设施者（以下简称“CIIO”）的认定

CIIO的认定与重要数据存在同样的困境。《关键信息基础设施安全保护条例》将关键基础设施者的认定交给了本行业、本领域的保护工作部门。我们一般可使用“敲门原则”帮助企业判断自身是否属于CIIO，即企业如收到保护工作部门通知，则属于CIIO。

（3）敏感个人信息的处理

笔者认为，敏感个人信息的认定应根据不同场景具体分析。例如个人的姓名，在涉及疫情流调的场景中，有可能被认定为敏感个人信息。

其次，通过改变信息颗粒度，确认必要性，尽可能减少出境敏感个人信息数量，降低企业合规成本。例如，国外母公司如果需要国内子公司或分公司员工的体检结果，是否可以用正常/异常代替详细的体检结果。

（4）100万，10万，1万的认定

本次《评估办法》确认了关于人数的计算方式，即以人数为计算方式，而并非以个人信息条数计算。同时，10万人个人信息和1万人个人信息无需累计，可在一个周期内清零，这减轻了部分中小企业的合规负担。

（三）个人信息保护影响评估（PIA）与数据出境风险自评估的关系

个人信息出境作为《个保法》下明确规定应该进行PIA的情形，如遇到也需要进行数据风险自评估的情形，二者是否应出具同一份报告。目前有观点认为两者为同一份报告，笔者对此持保守态度。通过二者在各自规定中的内容即可了解。（如下图）

造成以上原因主要是两个法律文件保护法益的倾向性不同。但在实践中，由于数据出境安全自评估与PIA的部分工作内容重合，二者可同步进行，在保证两份报告均可出具的同时，避免企业或外部第三方机构重复工作，以提高企业合规工作的效率。

（四）数据安全评估要求的企业动态监管体系

通过数据出境安全评估的结果有效期为2年，自评估结果出具之日起计算。有效期届满，需要继续开展数据出境活动的，数据处理者应当在有效期届满60个工作日前重新申报评估。

这是根据《评估办法》中根据自评估和国家机关评估重点进行归纳得出的。

1、数据出境的合法性、正当性，必要性

2、境外接收方数据保护情况

3、通过对数据本身进行分析，确认数据的规模、范围、种类、敏感程度，出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险。

4、数据安全和个人信息权益是否能够得到充分有效保障

5、双方签订有约束力的法律文件

6、规定或认为需要评估的其他事项。

结语

数据出境安全评估制度的确定，使我国数据出境的格局发生变化。在国家要求数据安全有序流动的大背景下，安全评估为企业数据出境带来了确定性。加之近期发布的《标准合同（征求意见稿）》、《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》，我国的数据出境的路径将逐渐明悉。