（原标题：数据新规再“出炉”，出境传输勿“裸奔”）

2022年7月7日，国家互联网信息办公室发布第11号令，《数据出境安全评估办法》（以下简称《办法》）正式出台且自2022年9月1日起施行。该《办法》作为事关我国网络安全“三驾马车”《网络安全法》《数据安全法》和《个人信息保护法》具体如何实施的重要下位法，对数据出境的评估主体、评估范围、评估办法、评估期限等，作出了较为详细和严格的规定。

在万物互联的信息化时代，数据已然成为最重要的生产要素之一，而随着经济全球化进程的加快，跨境贸易正有力的推动着数据的全球流动。但数据毕竟与其他生产要素不同，它产生于千千万万公民的点滴生活，不仅有可能涉及个人隐私，甚至还有可能对国家安全、贸易竞争等产生重大深远的影响。因此，如何在兼顾数据经济价值的同时保障个人隐私和国家安全，正在成为全世界数据跨境领域立法的重点，但截至目前尚未有较为成熟有效的规制手段。

《办法》的出台意味着我国在数据跨境这一前沿领域迈出了关键一步，这既是落实上位法中关于数据出境安全评估的要求，亦是对企业提出了更加明确和严格的数据合规要求。那么，该《办法》是否会对企业的海外业务产生影响？产生何种影响？想必都是大家非常关心的问题，飒姐团队今天就对此进行深度解析，为大家答疑解惑。

一、《办法》的效力有多高？

我们在了解和学习一部新法的时候，应该从何处入手？常看公号的伙伴们一定知道，飒姐团队一直以来都强调：从其制定主体和效力级别入手。这是因为，制定主体和效力级别决定了一部法律或行政法规、规章管到谁？以及归谁管？这一点在实务中往往非常关键。

我们开头就已经说过，《办法》的制定和发布机关是国家互联网信息办公室，也就是我们常说的国家网信办。该机构的主要职责包括：落实互联网信息传播方针政策，推动互联网信息传播法制建设，指导、协调、督促有关部门加强互联网信息内容管理，以及依法查处违法违规网站等。因此，《办法》的效力级别是“部门规章”一级，属于部门规范性文件。这也就意味着《办法》的效力级别低于由全国人大及其常委会制定和发布的“法律”，也低于由国务院制定和发布的行政法规。

一般来说，这个级别的规范性文件不属于《刑法》中构成犯罪所要求的“前置法”范畴。但我们绝对不能想当然地认为，违反该《办法》不会有刑事风险，事实上数据跨境流动由于涉及国家安全一直以来都是一个敏感而复杂的领域，一旦操作不当很有可能构成诸如间谍罪、故意泄露国家秘密罪等犯罪，较为典型的一个案例就是今年被爆出的高铁数据泄密案。据悉，涉案公司向境外机构出售了约500G的中国铁路信号数据，具体包括物联网数据、蜂窝数据和高铁轨道使用的频谱数据，目前该公司主要负责人已经涉嫌犯罪被国安机关逮捕。

二、数据出境安全评估，具体怎么做？

虽然《办法》只有短短二十条，但却囊括了诸多重点信息，为企业数据出境安全评估指引了道路。首先，《办法》明确了数据出境活动的定义：（1）数据处理者将在境内运营中收集和产生的数据传输、存储至境外。（2）数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以访问或者调用。也就是说，即使数据储存在境内，但只要为境外机构或个人提供可接触数据的端口，也属于《办法》中规定的“数据出境活动”，符合条件的也需要进行数据出境安全评估。

（一）数据出境安全评估，谁来管？

《办法》明确，国家网信办是数据出境安全评估的主管机关，但这并不意味着企业在提交评估材料时与国家网信办直接对接，而是需要先将评估材料提交至企业所在地的省级网信办进行完备性审查。根据《办法》第七条之规定，省级网信部门应当自收到申报材料之日起5个工作日内完成完备性查验。申报材料齐全的，将申报材料报送国家网信部门；申报材料不齐全的，应当退回数据处理者并一次性告知需要补充的材料。国家网信部门应当自收到申报材料之日起7个工作日内，确定是否受理并书面通知数据处理者。

也就是说，省级网信办负责形式审查，主要检查企业所提交的材料是否齐全，而国家网信办负责对评估材料进行实质性审查，并作出是否受理安全评估、是否通过评估等决定。

（二）哪些情形需要申报数据出境安全评估？

根据《办法》第四条之规定，共有三种具体情形，第四种情形则属于兜底条款，一般在实践中需要具体问题具体分析：

1. 数据处理者向境外提供重要数据；

2. 关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；

3. 自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；

4. 国家网信部门规定的其他需要申报数据出境安全评估的情形。

熟悉三部上位法的伙伴们会发现，这一规定基本上与三法中涉及数据出境的条款相符合。其中，关键信息基础设施运营者的数据出境安全评估义务在《数据安全法》第三十一条和《网络安全法》第三十七条中已经有明确的规定：关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

在个人信息方面，则有了更加详细和具有可操作性的规定。原本在《个人信息保护法》第四十条中，仅规定了关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估。在该条中，事实上并未明确具体个人信息数达到多少就必须进行安全评估，而此次《办法》的制订则填补了空白。

何为重要数据？《办法》第十九条有一个比较概括的解释：一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。实际上，我们在实践中可以参照《信息安全技术 重要数据识别指南（征求意见稿）》中识别重要数据的六项原则、十四项基本识别因素以及附录中的各项重要数据，来判断自己手上的数据是否属于《办法》中规定的“重要数据”范畴。

（三）评估材料具体需要哪些？

根据《办法》第六条，申报数据出境安全评估，至少应当提交三份具体材料：（1）数据出境安全评估申报书；（2）数据出境风险自评估报告；（3）数据处理者与境外接收方拟订立的法律文件；以及安全评估工作需要的其他材料。

其中，数据处境风险自评估报告和境外数据接收方合同是决定企业是否能通过评估的关键。

企业在制作自评报告时需要重点体现：

1. 数据出境的目的、范围、方式等的合法性、正当性、必要性；

2. 境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响；境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求；

3. 出境数据的规模、范围、种类、敏感程度，出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险；

4. 数据安全和个人信息权益是否能够得到充分有效保障；

5. 数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务；

6. 遵守中国法律、行政法规、部门规章情况；

企业在与境外数据接收方订立法律文件时，必备以下条款：

1. 数据出境的目的、方式和数据范围，境外接收方处理数据的用途、方式等；

2. 数据在境外保存地点、期限，以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施；

3. 对于境外接收方将出境数据再转移给其他组织、个人的约束性要求；

4. 境外接收方在实际控制权或者经营范围发生实质性变化，或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时，应当采取的安全措施；

5. 违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式；

6. 出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时，妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。

（四） 评估有效期及重新评估

必须注意的是，即使数据出境安全评估获得通过，也并不代表一劳永逸的解决了数据跨境流动的问题，这个评估是有有效期的。根据《办法》之规定，有效期为：2年，并且时间自评估结果出具之日起计算。一旦有效期届满，需要继续开展数据出境活动的数据处理者，应当在有效期届满60个工作日前重新申报评估。

同时，在评估有效期内如果出现两种特定情形，则企业需要重新进行数据安全评估申报：

1. 向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的，或者延长个人信息和重要数据境外保存期限的；

2. 境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的；

当然，该条同样有兜底条款，如果出现影响出境数据安全的其他情形（影响数据安全的严重程度与上述两种情形相当）也要重新申报评估。

写在最后

飒姐团队以前就曾说过，做数据合规就像谈恋爱，需要足够的细致、耐心和真诚才能在如山似海的法律、法规、规章和其他规范性文件、技术标准中找到对的那个“它”。就用数据出境安全评估来说，企业法务和合规人员在进行评估申报时，务必认真研读《网络安全标准 个人信息跨境处理活动认证技术规范（征求意见稿）》、《个人信息出境标准合同规定（征求意见稿）》、《关键信息基础设施安全保护条例》、《网络数据安全管理条例（征求意见稿）》以及《信息安全技术 重要数据识别指南（征求意见稿）》等等。

另外，数据出境安全合规是一个专业性极强的领域，律师、法务和合规专员不仅要学习国内法，还需要尽量通晓诸多国外不同地区的法律，拿欧盟来说，《通用数据保护条例》（GDPR）以及最近通过的《数字服务法》（DMA）和《数字市场法》（DSA）是必须学习和掌握的。总而言之，数据出境是一条艰辛的长路，无论是监管机构还是企业，都需要在实践中进行探索。

本文系未央网专栏作者:肖飒 发表，内容属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！