2022年7月7日，国家互联网信息办公室（“国家网信办”）在其官网上公布了《数据出境安全评估办法》（“《办法》”）的正式文本[1]，该《办法》将于2022年9月1日起施行。《办法》的出台标志着国家网络治理的三部大法（即《网络安全法》、《数据安全法》与《个人信息保护法》）下的数据出境配套规范版图日渐清晰，也为境内有数据出境需求的企业提供了更加明确与细化的指引。

本文将重点聚焦对《办法》项下三大问题进行解读，希望可以解答读者的部分疑惑，并尝试给予相关企业一些切实可行的针对性建议，以供参考。

内容索引

一、哪些企业需要申报数据出境安全评估？

1.主体身份识别

2.哪些场景属于《办法》下的“数据出境”？

3.安全评估的四大适用情形 

二、如何实施数据出境风险自评估？

1.不同类型的评估对照

2.数据出境风险自评估与数据出境安全评估的评估事项对比

3.数据出境风险自评估实施步骤

三、数据出境法律文件（合同文本）准备的注意要点

1.数据出境法律文件的形式

2.在商业合作场景下，数据出境法律文件与商业合作合同的体系安排

3.数据出境法律文件的必备条款

四、合规建议

1.数据出境路径选择

2.出境数据的本地化存储

3.宜尽早开展数据出境风险自评估

在开展数据出境风险自评估工作之前，首先需要搞明白的一个问题就是，企业是否落入了《办法》规定中需要申报数据出境安全评估（“安全评估”）的范围？对此，可以从“主体”、“场景”和“适用情形”三大维度进行判断。

1.主体身份识别

(1)  《办法》规制的“数据处理者”的范围

《办法》第二条开宗明义地表达了《办法》规制的是数据处理者向境外提供其在中国境内运营中收集和产生的重要数据和个人信息。不少人士可能会对“数据处理者”的内涵产生疑问。例如，数据处理者的受托方向境外传输数据，是否也需要申报安全评估？“数据处理者”是否包括《个人信息保护法》（“《个保法》”）第三条第（二）款规定的境外个人信息处理者？对此，我们认为：

1)  由于目前《办法》及其所依据的上位法中的相关规定（即《个保法》第三十八条、《数据安全法》（“《数安法》”）第三十一条）并没有对于境内受托方向境外传输的场景进行规范，且境内受托方的跨境传输行为系根据委托方的意志而实施，并非由于其自身处理目的，因此，我们认为申报安全评估的数据处理者应不包括受托方。尽管如此，仍有待监管部门进一步的澄清。

2) 结合《办法》的现有条文以及《个保法》第三十八条规定来看，《个保法》第三十八条及《办法》似乎不适用于《个保法》第三条第（二）款规定的境外个人信息处理者对境内自然人的个人信息处理活动。根据最近出台的《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》（TC260-PG-20222A），《个保法》第三条第（二）款规定适用的个人信息处理活动纳入了可进行认证的范畴。因此，《办法》是否亦可能规制《个保法》第三条第（二）款规定适用的个人信息处理活动，有待实践观察。

(2)  识别是否属于“关键信息基础设施运营者”

相较于对其他数据处理者的要求，《办法》对于“关键信息基础设施运营者”（“关基运营者”）申报数据出境安全评估的门槛显然低得多，无论其向境外传输的是多少规模的重要数据与个人信息，一律要求进行数据出境安全评估。这主要是基于对关键信息基础设施的运行安全对国家安全、国计民生和公共利益的重要保障而作出的严格要求。

《关键信息基础设施安全保护条例》（“《关基条例》”）第二条在《网络安全法》（“《网安法》”）第三十一条第（一）款的基础上对“关键信息基础设施”的定义做了细微更新，属于重要行业和重要领域及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等都可能被认定为是关键信息基础设施。此外，《关基条例》第十条也规定了，由保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施，并及时将认定结果通知运营者。因此，企业判断是否自己属于关基运营者，可以先从自己是否属于《关基条例》中明确列举的那些重要行业和重要领域的经营者进行初步判断；第二，也可以反向推定，在没有收到本行业、领域主管部门的认定关键信息基础设施的运营者的通知，企业可以姑且认为自己不是关基运营者。

2. 哪些场景属于《办法》下的“数据出境”？

《办法》规制的是数据处理者向境外提供其在中国境内运营中收集和产生的重要数据和个人信息。国家网信办负责人在《办法》答记者问中也提到了， “数据处理者向境外提供数据/个人信息”主要包括以下场景：（1）数据处理者将在境内运营中收集和产生的数据/个人信息传输、存储至境外；（2）数据处理者将数据/个人信息存储于境内，但同时给予境外机构或个人开启数据访问或调用通道。

此外，参考国家标准委2017年8月30日发布的《信息安全技术  数据出境安全评估指南（征求意见稿）》的相关规定，以下几种情形可能不被视作是“数据出境”：（1）非在境内运营中收集和产生的个人信息和重要数据经由本国出境，未经任何变动或加工处理的；（2）非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境，不涉及境内运营中收集和产生的个人信息和重要数据的。

3. 安全评估的四大适用情形   

《办法》规定了安全评估的四大适用情形，包括：

• 数据处理者向境外提供重要数据；

• 关键信息基础设施运营者向境外提供个人信息；

• 处理100万人以上个人信息的数据处理者向境外提供个人信息

• 自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息。

我们可以发现，判断是否适用安全评估的标准除了上文提到的识别主体是否属于关基运营者外，还需要把握的两大重点在于：（1）识别重要数据；（2）统计个人信息或敏感个人信息的数量。

(1) 重要数据的识别

《办法》在《网安法》规定的基础上，给予了“重要数据”更加清晰、明确的定义。依据《办法》第十九条，重要数据，是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。由此我们可以判断，是否构成“重要数据”与数据对国家安全与社会公共利益影响程度大小相挂钩。

《数安法》第二十一条规定，各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护，然而目前仅有汽车领域出台了相应规定，对于其他领域“重要数据”的判断，仍有待相关行业、领域主管部门出台相关规定予以明确。

(2) 个人信息或敏感个人信息的数量的统计

对于数据处理者向境外提供达到一定量的个人信息或敏感个人信息而需要申报安全评估的情形，我们理解，这里的“向境外”针对的是“所有境外接收方”而非“单个境外接收方”。这意味着，如果某一数据处理者同时分别向不同的境外接收方提供个人信息，其需要特别关注不同敏感程度的个人信息的大致规模，建立申报安全评估的分类数据数量预警机制，以便在数量快要接近安全评估阈值的时候及时准备申报材料。

1. 不同类型的评估对照

自《网安法》出台以来，《网安法》、《数安法》、《个保法》等均规定了不同企业在特定场景下应履行的评估义务，为了便于大家理解不同的评估差异，我们简单进行了如下对照，可以看出，该等评估可能存在交叉，但是触发场景和评估重点并不相同。如企业已实施了部分评估，那么在数据出境风险自评估场景中，可以参考已实施完成的评估内容，仅须针对《办法》中未实施的内容进行评估。

从上表可以看出，数据出境安全评估和数据出境风险自评估有所不同，数据出境安全评估是指网信部门通过企业提交的申报材料对企业数据出境行为进行安全评估的活动，网信部门评估工作组（包含网络安全专家、数据安全专家以及行业专家等）可采取技术检测、现场检查、访谈等方式对出境目的和安全风险进行评估，如企业通过安全评估，则可实施数据出境行为，如未通过，已实施的数据出境行为应终止；数据出境风险自评估是企业针对数据出境活动在申报数据出境安全评估前进行的评估活动，企业可采取检测工具与人工检测相结合，产品交互页面审查和法律文件审查相结合的方式对出境活动可能产生的风险进行评估，数据出境风险自评估报告是企业申报数据出境安全评估的申报材料之一。

2.数据出境风险自评估与数据出境安全评估的评估事项对比

从上表的评估重点对比来看，除了相同的评估内容外，网信部门还会针对数据出境接收方所在国家的政治法律环境以及数据处理者是否遵守法律、行政法规、部门规章的情况进行重点评估。由于国际局势的不稳定以及国家战略需要，对于境外接收方所在国家或地区是否达到了我国的保护水平以及特殊时期是否向特定国家传输数据，企业难以进行客观全面的评估。此外，如企业在日常经营过程中存在违反网络安全、数据安全等相关法律法规的情形，或在举报平台上有大量投诉或举报记录，我们认为有可能导致安全评估申报不通过，企业应积极梳理历史违法违规及投诉情况，将负面影响降到最小。

3.数据出境风险自评估实施步骤

对于企业来说，应该如何有效开展数据出境风险自评估，下文详细介绍了数据出境风险自评估步骤以及数据出境风险自评估报告模板，以供大家参考。

(1)  建立自评估工作组

工作组成员应包括法务、安全、技术、管理、产品等部门的成员，如企业已成立数据隐私合规组织，可继续沿用。

(2)  制定数据出境风险自评估计划

1) 法务人员应将风险自评估重点和安全评估重点拆解细化为合规检测项；

2) 协商确定合规检测项的可行性以及如何具体实施；

3) 根据评估重点制定境外接收方处理出境数据的尽调清单；

4) 制定数据出境风险自评估计划。

(3) 合规检测的实施

1) 利用检测工具与人工检测相结合的方式确定数据出境所涉重要数据和个人信息的类型、数量、范围、敏感程度以及流转路径等。如某一敏感个人信息字段是否通过API接口对外输出，境外个人或机构是否有访问权限可访问境内数据；

2) 梳理产品交互页面是否满足评估重点的合规要求。如数据出境是否通过弹窗获得个人的单独同意，是否在场景触发时获取必要权限；

3) 梳理产品所涉文本是否符合合规要求，如是否存在一揽子授权；是否向个人告知处理敏感个人信息的必要性以及对个人权益的影响。

(4) 对境外接收方的尽调

1) 境外接收方的基本信息、与数据处理者的关系；

2) 境外接收方处理数据的种类、范围、用途和方式；

3) 境外接收方所采取的管理措施和技术措施，以及是否有能力保障出境数据的安全；

4) 数据在境外保存地点、期限，以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施；

5) 境外接收方是否会将出境数据再转移给其他组织或个人；

6) 数据出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时，境外接收方是否有严密的应急机制可采取补救措施维护其个人信息权益；

7) 境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境；

8) 境外接收方响应个人信息主体权益的途径和方式。

(5) 合规整改

根据计划的实施情况，法务给出合规整改意见，安全和技术落实具体的整改措施。

(6) 形成《数据出境风险自评估报告》

整改完成后，根据风险自评估重点和安全评估重点制作《数据出境风险自评估报告》，根据我们已实施的评估项目经验，可参考如下报告体例：

数据出境风险自评估报告模板

一. 风险自评估主体

1.   企业基本信息

2.   股权结构和分支机构

3.   组织结构（网络安全、个人信息保护负责人/机构设置）

4.   企业产品和业务情况（包括涉数据出境的产品和业务）

5.   数据合规管理体系制度和流程设置

……

二. 数据出境情况（可区分场景）

1.   场景一

1.1 出境数据的数量、范围、种类、敏感程度

1.2 出境数据的处理目的和方式

1.3 出境数据的流转路径及所涉数据系统信息

1.4 企业所采取的防范数据泄露、损毁的管理和技术措施

管理措施包括企业的安全管理制度、对接触数据的员工的管理、应急机制和审计机制的建立以及有效的申诉渠道

技术措施包括数据身份鉴别、存储安全、传输安全、防网络攻击、漏洞修复等技术防护措施、数据传输日志以及对技术措施的定期审计和评估

1.5 境外接收方基本情况（资质、认证）

1.6 境外接收方处理数据的种类、范围、用途和方式

1.7 境外接收方所采取的管理措施和技术措施

1.8 出境数据在境外保存地点、期限以及处理目的结束后的处理方式

1.9 出境数据的再转移

1.10      境外接收方响应个人信息主体权益的途径和方式

1.11      境外接收方所在国家或区域的政治法律环境

1.12      法律文件（DTA）对境外接收方责任义务的约定

1.13      ......

2.   场景二

……

三. 数据出境风险自评估

1.   出境数据处理目的、范围、方式的合法性、正当性、必要性评估

2.   数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、利用等风险评估

3.   数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险评估

4.   境外接收方履行责任义务的意愿和能力的评估

5.   境外接收方有效响应个人信息主体权益的渠道是否通畅的评估

6.   境外接收方控制权或其所在国家或区域的政治法律环境发生变化可能影响出境数据安全的评估

……

四. 数据出境风险自评估结论

......

1. 数据出境法律文件的形式

《办法》规定，申报安全评估的申请材料之一即为数据处理者与境外接收方之间拟订立的数据出境相关合同或者其他具有法律效力的文件等（“法律文件”）。我们理解，出境合同相关合同可能存在的形式包括双方签订的合同或是单方承诺函。但是对于“其他具有法律效力的文件”是否包含类似于GDPR下Binding Corporate Rules（BCRs）形式的集团企业内部的数据保护公司规则或规章制度，还有待于后续观察监管实况。

2.在商业合作场景下，数据出境法律文件与商业合作合同的体系安排

由于实务中，具有数据出境需求很可能是发生在商业合作场景下，对此合作双方将订立相应的商业合作合同。但是，是将数据出境法律文件作为商业合作合同的附件更合适，还是单独签订数据出境法律文件更合适呢？对此，我们更推荐后者的做法，这将更有利于设计更针对于数据保护与数据出境相关的各方权利义务及违约责任条款，同时，对于争议解决机制的选择和合同生效条件的设置也更具有灵活性。

当然，考虑到在商业合作场景下，若安全评估不通过，很可能会影响商业合作合同的目的实现，因此可考虑在商业合作合同中约定添加一条“数据处理者身份对应的协议主体经事先通知，可无任何理由单方解除与境外接收方身份对应的协议主体订立的商业合作合同，且在此种情形下，数据处理者身份对应的协议主体不构成违约”，以减少商业合作合同的合同僵局以及数据处理者的违约风险的产生。

3.数据出境法律文件的必备条款

由于数据出境法律文件是规定数据出境双方之前权利、义务的基础性文件，且该文件的内容可能会被网信部门在安全评估环节作为考量数据出境及数据安全事件发生是否会对国家利益、社会公共利益和个人信息主体权益带来重大负面影响的一个重要参考。因此，制定好一个要素齐备、权利与义务约定明确具体的数据出境法律文件，不仅减少数据出境双方在合同履行过程中出现争议时陷于合同约定不明而相互推诿之境地，也一定程度上可以帮助网信部门打消数据出境的担忧。以下我们参考了《办法》及其上位法、以及《个人信息出境标准合同规定（征求意见稿）》等法律文件的相关规定，列出了数据出境合同中一些必备条款，供读者参考。

根据《个保法》第三十八条的规定，个人信息处理者因业务等需要确需向中华人民共和国境外提供个人信息的，应当具备上述路径之一即可。那么是否意味着企业与境外接收方订立了合同或实施了个人信息保护认证，就可以不申报国家网信部门组织的安全评估？非也，《网安法》第三十七条已明确，关基运营者在境内运营中收集和产生的个人信息和重要数据业务需要确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。只要触发《办法》第四条规定的情形，应优先适用《办法》的规定。触发情形之外方可选择与境外接收方订立合同路径（《个人信息出境标准合同规定（征求意见稿）》第四条也已明确）或个人信息保护认证路径。而个人信息保护认证路径较为特殊，仅适用于跨国公司或者同一经济、事业实体内部的个人信息跨境处理活动以及境外个人信息处理者在境外处理境内自然人个人信息的活动。

同时，我们应注意到，申报国家网信部门组织的安全评估以及个人信息保护认证路径均需要与相关方订立具有约束力和执行力的法律文件（主要为合同）；采取与境外接收方订立合同路径的，也需要进行个人信息保护影响自评估。

2.出境数据的本地化存储

对于许多外资企业来说，境内子公司通常会使用境外总部的WORKDAY、ERP、SAP、CRM系统，数据在境内无存储，数据收集后直接存储在境外服务器中，未境内存储的数据出境能否通过数据出境安全申报？

我们认为，《数据安全出境安全评估办法》第四条已经明确处理100万人以上个人信息、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息应申报数据出境安全评估。那么倒推《个保法》第四十条，关键信息基础设施运营者和处理个人信息达到国家网信办规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估。是否意味着“国家网信部门规定数量”就是《数据安全出境安全评估办法》第四条明确的数量，因为这个“规定数量”需要申报出境安全评估。

我们建议，为了防止数据出境申报不通过，有条件的企业应尽快在整改期内将境内收集的数据先行存储在境内数据系统或境内云服务平台后再行向境外传输。同时，要建立境内数据系统安全管理和技术措施。

3.宜尽早开展数据出境风险自评估

《办法》自2022年9月1日起施行，但并不意味着企业在《办法》施行前已经开展的数据出境活动9月1日后就不能继续了，《办法》第二十条给出了6个月的整改期，即企业应在2023年2月前完成整改，否则2023年3月1日后不符合办法规定的数据出境活动应终止。

在正常情况下，国家网信部门自收到申报材料之日起7个工作日内发出书面受理通知书，评估周期为自发出书面受理通知书之日起45个工作日，对于情况复杂或者需要补充、更正材料的情况，还可以适当延长。即使在正常情况下也需要57个工作日的申报周期，其他情况下可能会更长。因而，我们建议企业应尽早开展数据出境风险自评估，并对不符合《办法》的情形进行整改。如将境外供应商更换为境内供应商，非必要信息匿名化或终止出境，调整境外访问权限等。