在以上申报案例中：

（1）首都医科大学附属北京友谊医院普外中心和阿姆斯特丹大学医学中心普通外科作为全球牵头中心发起的国际多中心临床研究项目，成为全国首个通过数据安全评估合规出境案例（编号20220001）。

（2）在汽车制造领域，北京现代汽车有限公司的数据出境申报进行全系统盘点、全业务申报，且全场景获批，成为我国汽车领域首个通过国家互联网办公室的审批的数据出境安全评估项目。

（3）在跨境电商领域，焦点科技股份有限公司的“中国制造网外贸电商平台业务”通过国家网信办数据出境安全评估，成为跨境电商领域全国首个数据合规出境案例。

（4）马自达（中国）企业管理有限公司、丝芙兰（上海）化妆品销售有限公司是上海首批通过数据出境安全评估的两家企业。

（5）杭州海康威视数字技术股份有限公司、杭州萤石网络股份有限公司是浙江省首批 通过国家网信办数据出境安全评估的企业。

（6）邦贝液压机械(杭州)有限公司提交的个人信息出境标准合同通过了浙江省互联网信息办公室组织的备案审核，是浙江省首家通过订立标准合同实现个人信息合规出境的企业。

（7）绿点科技（深圳）有限公司、安利（中国）日用品有限公司、捷普电子（广州）有限公司等企业是广东省首批通过数据出境安全评估的三家企业。

（8）捷普电子（威海）有限公司是山东省首家通过国家互联网信息办公室数据出境安全评估的企业。

（9）北京德亿信数据有限公司与香港诺华诚信有限公司签订的个人信息出境标准合同通过市网信办组织的备案审核，备案号为“京合同备202300001”，成为国内首家通过订立标准合同实现个人信息合规出境的企业。

（一）申报企业类型

在统计的15件数据出境申报成功案例中，申报企业类型包括国有企事业单位、民营企业和外资企业，其中，三分之二为外资企业。从以上分析可以认为，跨境数据流动成为企业开展跨境经营的基本方式，数据出境行为广泛存在于各类企业中，外资企业的常态性数据出境尤为居多。例如，安利（中国）日用品有限公司，其总部在美国且业务分布全球各地，安利中国的部分产品和服务也涉及跨境业务，将个人信息等数据传输到境外成为必然需求。

中国的数据立法包括《网络安全法》《数据安全法》《个人信息保护法》等，对外资企业以及拥有海外业务的中资企业影响最为直接。针对外资企业与境外总部的人力资源管理、业务合作、技术研究、跨境供应链管理、服务外包等典型应用场景，均需要通过数据出境申报来实现数据的合规出境。从法律遵从来看，针对中国数据立法所带来的影响，外资企业反应较为迅速，能够更加积极地去开展企业数据合规整改，面对数据合规与本地化带来的业务与管理挑战，尽早安排数据出境申报来满足数据出境合规要求。

（二）申报企业行业分布

这15件数据出境申报成功的案例，分别涉及设备制造、跨境电商、汽车制造、日化、民航、医疗、智能家居、智能物联网等行业，其中，制造业企业（设备制造与汽车制造等）占五成以上。其他数据出境申报的重点行业和领域还包括：互联网、医疗、电信、金融、物流、信息与技术服务等。

一般认为，中国制造行业的数字化程度总体不高，但在数据跨境流动方面，制造行业中的“涉外型企业”基于跨境供应链、人员管理等目的，数据出境场景较多。2023年1月1日实行的《工业和信息化领域数据安全管理办法（试行）》确定工业和信息化领域数据分类分级管理、重要数据识别与备案相关要求，为工业企业的数据出境申报提供更多依据。但早在2021年10月1日实行《汽车数据安全管理若干规定（试行）》建立起的多项评估机制，包括：对重要数据处理活动定期开展风险评估、对个人信息处理活动开展个人信息保护影响评估、对汽车数据安全管理情况年度报送制度等，让汽车制造行业比其他行业更早重视并实践数据合规工作，落实数据出境安全评估制度要求。尽管汽车行业的产业链长、全球性系统占比高、出境场景复杂，北京现代汽车有限公司在生产采购、索赔管理、全球质量反馈等300多个数据项上准予出境，马自达（中国）企业管理有限公司也在多个场景率先通过数据安全评估并准予数据出境。

（三）申报企业数据出境路径

在统计的15件数据出境申报成功案例中，13件案例所涉企业申报了数据出境安全评估，2例通过个人信息出境标准合规备案。从结果来看，数据出境安全评估申报被批准的企业数量远多于通过个人信息出境标准合同备案的企业。

根据《数据出境安全评估办法》规定，触发数据安全评估的情况包括：（1）出境数据包含重要数据。例如，首都医科大学附属北京友谊医院，通过建立重要数据出境的审核、评估和监督机制，规范数据出境活动。（2）关键信息基础设施运营者需进行数据出境。案例中并没有披露是否属于关键信息基础设施运营者的身份信息，当企业被列为这类主体名单并存在数据出境的，必须及时申请数据出境安全评估。（3）数据处理达到法定量级。例如，焦点科技旗下中国制造网平台，拥有百万级中国供应商和千万级全球采购商会员，年访问量超过22亿人次，属于数据达量而触发数据安全评估申报。

除了数据安全评估的路径外，还有两例通过个人信息出境标准合同备案，分别是邦贝液压机械（杭州）有限公司和北京德亿信数据有限公司，其中北京德亿信数据有限公司是向香港传输与征信相关的个人信息。分析认为，《数据出境安全评估办法》的发布和实施早于《个人信息出境标准合同办法》，触发数据出境安全评估条件的企业很早就开始了数据合规整改与申报，而适用于个人信息出境标准合同备案路径的企业仍处于法定整改期。这是申报数据出境安全评估被批准企业数量多余个人信息出境标准合同备案企业的原因之一。但事实上，数据出境标准合同备案更加便利，程序简单，备案也侧重于形式审查，将成为大多数企业个人信息出境的路径选择。

（一）各级网信部门数据出境申报受理情况

在上述15件案例中，通过北京市网信办进行备案或申报数据安全出境的企业有四家，浙江省网信办有4家，广州省网信办有3家，上海市网信办有2家，其他有2家。北京、上海、广东、浙江区域的企业占据成功申报案例中的绝大多数。

国家网信部门根据法律规定对企业的数据出境行为进行审批或备案，具体为：（1）国家网信部门审批程序。出现触发数据安全评估的情形，如上文所述，企业应通过所在地省级网信部门向国家网信部门申报数据出境安全评估。省级网信部门查收申报材料，仅对申报材料进行完备性查验，不决定是否受理；如通过完备性查验，则上报申报材料至国家网信办由国家网信办决定是否受理。国家网信办根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估，做出是否准予数据出境的决定。（2）省级网信办备案程序。企业通过订立标准合同的方式向境外提供个人信息的，在标准合同生效之日起10个工作日内向所在地省级网信部门备案。

网信部门对于企业数据出境审批或备案的“级别管辖”规定相对明确，但“地域管辖”的规定模糊。对于集团型企业以及投资关系复杂、分子公司或关联公司众多的企业，如何确定申报主体，在实务操作中是一个难题。在以上申报案例中，查阅到绿点科技（深圳)有限公司、捷普电子（威海）有限公司、捷普电子（广州）有限公司属于关联企业，他们以独立法人为主体，分别向广东省网信办和山东省网信办提交数据安全评估申报；杭州海康威视数字技术股份有限公司与杭州萤石网络股份有限公司也属于关联企业，他们也以独立法人为主体，向浙江省网信办提交数据安全评估申报。从申报案例来看，网信部门接受关联企业以独立法人为主体各自单独申报，但鉴于企业网络设备与数据处理行为的多样性，决定受理的“地域管辖”因素比较复杂，地域管辖链接点包括：“相关服务许可地或者备案地，主营业地、登记地，网站建立者、管理者、使用者所在地，网络接入地，服务器所在地，计算机等终端设备所在地等”。如果选择任一链接点作为网信部门的受理依据，不但会造成行政受理行为的交叉或重叠，也会造成企业的申报混乱。对于实践中存在的集团企业或关联公司间的“委托申报”、“合并申报”的审批口径与操作问题，有待国家网信部门尽快给予明确指引。

（二）数据出境企业申报趋势

在上述15件案例中，在2023年2月28日数据出境安全评估六个月整改期截止日（第一个整改期）之前，只有两家企业通过国家网信办的准予数据出境批准，之后分别有11家企业陆续被批准，时间集中在2023年5月和6月期间。个人信息出境标准合同备案成功的两家企业，分别是在2023年6月和7月。预计在2023年11月30日个人信息出境标准合同备案整改期（第二个整改期）之前，随着网信部门审核速度的加快，将会出现更多通过审批或备案的企业。

网信部门对于数据出境审批或备案的时间期限有着明确约定，具体如下：

（1）国家网信部门数据出境安全评估与审批时间。企业通过省级网信部门提出数据出境安全评估后，省级网信部门应当自收到申报材料之日起5个工作日内完成完备性查验。申报材料齐全的，将申报材料报送国家网信部门；申报材料不齐全的，应当退回数据处理者并一次性告知需要补充的材料。国家网信部门应当自向数据处理者发出书面受理通知书之日起45个工作日内完成数据出境安全评估。因此通常来说，申报数据出境安全评估最长需要57个工作日，但存在情况疑难复杂、材料需补充更正或需申请复评等不确定因素，相应的评估时间将会进一步延长。

（2）省级网信办的个人信息出境标准合同备案时间。企业应当在标准合同生效之日起10个工作日内，通过送达书面材料并附带材料电子版的方式，向所在地省级网信办备案。省级网信办收到材料后，在15个工作日内完成材料查验，并通知备案结果。备案结果分为通过、不通过。通过备案的，省级网信办发放备案编号；不通过备案的，将收到备案未成功通知及原因，要求补充完善材料的，个人信息处理者应当补充完善材料并于10个工作日内再次提交。企业在标准合同有效期内补充订立标准合同的，应当向所在地省级网信办提交补充材料；重新订立标准合同的，应当重新备案。补充或者重新备案的材料查验时间为15个工作日。

鉴于数据出境申报相关的法律法规实施时间不长，大部分企业还缺乏申报经验，网信部门也在实践中进行探索，从而导致当前的数据出境申报效率不高，通过率非常低。自国家网信办出台《数据出境安全评估申报指南》以来，上海市网信办、江苏省网信办、浙江省网信办、广东省网信办、山东省网信办等十几家省级网信部门相继发布各类指南或问答，为数据出境申报企业提供更加明确的路径和指引。期待未来的数月之内，国家网信部门会进一步审核标准、统一审查尺度，为企业的申报行为提供更多便利。

中国数据相关立法在实施中不断完善。作为数据出境的行政监管与执法机构，国家网信部门已经实质具备了实体上的职责和程序上的执法权，并针对企业提出“依法申报、应报尽报”的明确要求。从结果上来看，对于未履行数据出境申报或者提交虚假材料进行申报的违法行为，省级以上网信部门可以对企业进行企业约谈，要求整改消除隐患。若由此导致数据出境活动存在较大风险或者发生个人信息安全事件，则企业可能面临更高的合规风险，甚至要承担法律责任。

通过对数据跨境处理行为进行合规差距分析和改进，建立和完善企业的数据合规管理体系，完成数据出境申报是当前跨国企业开展数据合规管理工作的当务之急！企业在开展数据出境申报过程中，需要清晰掌握个人信息等敏感数据的跨境流动情况，开展数据出境场景梳理、数据盘点等各项工作，该类项目实施周期一般会持续2-3个月的时间。为此，建议企业要提前谋划，及早准备，预留充足时间，争取在上述第二个整改期内即2023年11月30日之前完成申报，从而降低企业数据合规的风险敞口期。同时，在日趋严格的数据本地化要求下，企业在申报过程中应准备系统本地化相应预案与技术解决方案，同步考虑数据境内存储的合规要求，保障企业的经营活动持续开展。

实习生华东政法大学国际法专业2021级本科生袁亦琹对本文亦有贡献。