Q1：我國對于數據出境的立法框架是如何搭建的？

A：自2017年6月1日起施行的《中華人民共和國網絡安全法》（以下簡稱“《網絡安全法》”）、2021年9月1日起施行的《中華人民共和國數據安全法》（以下簡稱“《數據安全法》”）和2021年11月1日起施行的《中華人民共和國個人信息保護法》（以下簡稱“《個人信息保護法》”），均從法律層面對數據出境進行了規定。中國的數據保護方面立法針對數據出境采用了“分層監管”的方式，即將關鍵信息基礎設施運營者與一般網絡運營者（即不屬于關鍵信息基礎設施運營者范圍的網絡運營者）區分進行監管。

企業應當根據自身屬性和出境數據的類型與性質的不同，判斷需要承擔不同層次的數據出境合規義務。從企業屬性角度看，當企業構成關鍵信息基礎設施運營者時，在境內運營期間收集和產生的個人信息與重要數據存在出境的限制；從數據類型角度看，個人信息、重要數據、國家核心數據、由特別法管轄下的特殊類型數據，其在出境規則上各有不同。

若企業屬于關鍵信息基礎設施運營者（以下簡稱“CIIO”），根據《網絡安全法》第三十七條，只有因業務需要，確需向境外提供在境內運營中收集和產生的個人信息和重要數據時，在根據國家網信部門會同國務院有關部門制定的辦法進行安全評估后方可提供?！稊祿踩ā返谌粭l亦規定，關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理，適用《網絡安全法》的規定。

若企業僅為一般網絡運營者，其數據出境合規要求取決于所傳輸的數據類型，即個人信息、重要數據、核心數據、國家秘密、其他數據（既非個人信息又非重要數據，如企業的一般性經營信息）。因業務需要，確需向境外提供個人信息的，應當根據《個人信息保護法》第三章，除征得相關個人本人（如果是兒童，則為其監護人）的單獨同意外，還需要根據《個人信息保護法》第三十八條，滿足如下條件之一：（一）通過國家網信部門組織的安全評估；（二）按照國家網信部門的規定經專業機構進行個人信息保護認證；（三）按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務；（四）法律、行政法規或者國家網信部門規定的其他條件。

若一般網絡運營者擬向境外提供的數據屬于重要數據的，則根據《網絡數據安全管理條例（征求意見稿）》（以下簡稱“《網數條例（征求意見稿）》”）第三十七條以及《數據出境安全評估辦法》第四條，向境外提供時需要通過國家網信部門組織的安全評估。

若一般網絡運營者擬向境外提供的數據屬于核心數據的，則根據《工業和信息化領域數據安全管理辦法（試行）（第二次征求意見稿）》（詳見我們的解讀文章環球合規與風控 | 《工業和信息化領域數據安全管理辦法（試行）（第二次征求意見稿）》要點解讀）第二十一條，法律、行政法規有境內存儲要求的，應當在境內存儲，確需向境外提供的，應當依法依規進行數據出境安全評估。

若企業擬向境外提供的數據涉及其他特別法或者部門規章明確要求在境內存儲的數據，則應根據相關要求將數據存儲于境內，換言之，不得向境外提供，除非法律法規另有規定。例如，公司擬傳輸的數據若涉及國家秘密，則根據《中華人民共和國保守國家秘密法》第三十條只有在報國務院有關主管部門或者省、自治區、直轄市人民政府有關主管部門批準，并與對方簽訂保密協議后方可提供。又如，涉及健康醫療大數據，則根據《國家健康醫療大數據標準、安全和服務管理辦法（試行）》第三十條，應當存儲在境內安全可信的服務器上，因業務需要確需向境外提供的，應當按照相關法律法規及有關要求進行安全評估審核。

Q2：對于外國公司在中國投資設立的企業（“FIE”）在中國境內運營所產生的數據可以出境嗎，還是必須在中國境內設立數據中心？

A：整體而言，外國公司在中國投資設立的企業同樣適用我國《網絡安全法》《數據安全法》和《個人信息保護法》等相關法律法規。判斷其在境內運營所產生的數據是否可以出境以及是否需要在中國境內設立數據中心，如Q1的答復所述，也需要結合FIE企業的自身屬性，從企業性質上先判定是否可能被主管機構通知為是CIIO，以及企業擬向境外提供的數據是否涉及其他特別法規明確要求在境內存儲或者在境內設立服務器的情況。如以上任何一個回答為是，則應當根據相關法律法規要求將數據存儲于境內，換言之，不得向境外提供數據，除非法律法規另有規定。

除此之外，也與一般網絡運營者一樣需要考慮擬出境數據的類型與性質，再判斷需要承擔的合規義務。若FIE企業向境外提供重要數據、核心數據，則同上方Q1答復中的要求，應判斷向境外提供數據是否確屬業務經營必需，并依法申請數據出境安全評估。

值得注意的是，網信辦有關負責人于7月7日就《數據出境安全評估辦法》答記者問時提及《數據出境安全評估辦法》適用于兩種情形，一是數據處理者將在境內運營中收集和產生的數據傳輸、存儲至境外。二是數據處理者收集和產生的數據存儲在境內，境外的機構、組織或者個人可以訪問或者調用。由此來看，向境外提供個人信息不僅限于物理上的傳輸，還包括境外機構訪問或調研境內服務器的情況。如FIE企業的境外母公司可以訪問存儲于中國服務器中的相關數據，該FIE企業也需要根據《數據出境安全評估辦法》的要求進行安全評估后方可被其境外母公司訪問或者調取。

Q3：如出境數據涉及個人信息，數據處理者在出境前需要履行哪些合規義務？

A：對于個人信息而言，其向境外傳輸需參考《個人信息保護法》《數據出境安全評估辦法》《信息安全技術 個人信息安全規范》《信息安全技術 數據出境安全評估指南（征求意見稿）》等。結合以上法律法規和國家標準，數據處理者針對個人信息出境合規應當履行以下義務。換個角度而言，以下義務的履行情況也應當納入企業開展數據出境自評估的范疇之內。

1. 取得個人信息主體的單獨同意

《個人信息保護法》規定，個人信息處理者向中國境外提供個人信息的，應當向個人告知境外接收方的身份、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式等事項，并取得個人的單獨同意。

據此，如果要發生數據跨境傳輸，企業需要在其相關隱私政策中進行聲明?；凇秱€人信息保護法》數據出境需獲取個人的“單獨”同意，企業還需要在產品界面上進行特殊設計。

2. 事先進行數據出境風險自評估（見下文Q7詳細分析）

3. 根據情況選取數據出境保護性措施

• 個人信息出境標準合同：網信辦于2022年6月30日發布了《個人信息出境標準合同規定（征求意見稿）》，請參考我們對此進行的解讀（詳見環球合規與風控 | 個人信息出境合規指引之一——簽署“中國版”個人信息出境標準合同）。

• 個人信息保護認證：全國信息安全標準化技術委員會于2022年6月24日發布了《網絡安全標準 個人信息跨境處理活動認證技術規范》（以下簡稱“《認證技術規范》”，我們也將于近期推出詳細解讀。

• 數據出境安全評估：本文重點論述。

《數據出境安全評估辦法》《個人信息出境標準合同規定（征求意見稿）》與《認證技術規范》的要求共同組成了《個人信息保護法》第三十八條下提出的個人信息跨境傳輸須遵守的保護措施，并進一步補足、細化了《個人信息保護法》的要求?！稊祿鼍嘲踩u估辦法》與《個人信息出境標準合同規定（征求意見稿）》《認證技術規范》的區別在于，其還包括了對重要數據出境的評估要求。以下為三種數據出境保護措施及其相關依據之間的邏輯關系，以供讀者參考。

4. 數據傳輸方的安全保護能力

出境方企業應當對擬傳輸的數據采取加密或者其他形式的處理（例如采用去標識化等脫敏處理）并落實相關管理制度（包括安全管理、人員管理、合同約束、審計機制、應急處理等）以及技術手段保障能力（包括傳輸時的安全措施、針對數據安全事件的預防、檢測及響應能力、數據安全技術防護體系、數據傳輸過程中實施身份鑒別和訪問控制的能力、保留數據發送日志的能力、對數據發送、傳輸、銷毀等各階段進行審計的能力、對數據出境傳輸的安全措施定期評估等）。

5. 記錄出境情況并進行保存

出境方企業應當對個人信息出境情況進行記錄，記錄內容包括：

（一）向境外提供個人信息的日期時間；

（二）接收者的身份，包括但不限于接收者的名稱、地址、聯系方式等；

（三）向境外提供的個人信息的類型及數量、敏感程度；

（四）國家網信部門規定的其他內容。

《個人信息保護法》第五十五條和第五十六條同樣要求對個人信息向境外傳輸前進行自評估制作的個人信息保護影響評估報告和處理情況記錄至少保存三年。

Q4：企業應在什么情況下開展數據出境安全評估？

A：《數據出境安全評估辦法》第四條明確了數據處理者向境外提供數據時符合以下情形的，應當申報數據出境安全評估：（一）數據處理者向境外提供重要數據；（二）關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息；（三）自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息；（四）國家網信部門規定的其他需要申報數據出境安全評估的情形。

從適用主體看，除兜底條款外，包括了CIIO和一般網絡運營者/數據處理者；從向境外提供的數據類型看，包括向境外提供個人信息和重要數據兩類。下面三問將針對《數據出境安全評估辦法》第四條前三款所述的三種主要適用情況分別進行分析。

Q5: 如何識別與界定重要數據，以及重要數據出境安全評估有哪些要求？

• Q5.1: 現階段識別重要數據的參考依據有哪些？

A：《數據安全法》首先提出了建立國家安全觀以及數據安全制度體系，要求國家數據安全工作協調機制統籌協調制定國家重要數據目錄，加強對重要數據的保護。隨后于2021年11月14日發布的《網數條例（征求意見稿）》，不僅明確了重要數據的定義[1]，還提出了一系列重要數據安全監管制度，因此，“什么是重要數據”以及“如何識別重要數據”成為影響當前國家數據安全工作進展的重大議題?！稊祿鼍嘲踩u估辦法》第十九條也對重要數據進行了定義，即重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據。

國家信息安全標準化委員會于2022年1月13日公布了最新調整后的《信息安全技術 重要數據識別指南（征求意見稿）》（以下簡稱“《重要數據識別指南》”）。2022年4月26日，曾有專家在公眾號發布《信息安全技術 重要數據識別規則》，作為《重要數據識別指南》的最新過程稿?！吨匾獢祿R別指南》劃分了重要數據的定義范圍，規定重要數據是指“以電子方式存在的，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數據。”。這既說明了重要數據的存在形式，也明確了以造成不利后果為判斷重要數據的唯一標準。并且，《重要數據識別指南》指明識別重要數據的基本原則、明確重要數據的識別因素等，不僅為各行業、地區、部門制定本行業、本地區、本部門的重要數據具體目錄提供參考，也為企業識別其自身掌握的重要數據提供實踐指引，從而進一步為國家重要數據安全保護工作提供支撐。

工業和信息化部也于去年底開始開展工業領域數據安全管理試點，其中要求試點企業按照《工業數據分類分級指南（試行）》《工業領域重要數據和核心數據識別規則（草案）》開展數據分類分級，制定重要數據清單，并向主管部門報備。

• Q5.2：識別重要數據的原則有哪些？

A：相較于歷史版本中大篇幅對重要數據采取非窮盡列舉的方式，《重要數據識別指南》僅對識別重要數據的基本原則和重要數據的識別因素進行了說明，給企業和各主管機構留有更多權衡和商榷的余地。

《重要數據識別指南》明確指出，從原先對各類別數據具體范圍的框定到目前只確定原則性的做法，《重要數據識別指南》確定了包括：聚焦安全影響、突出保護重點、銜接既有規定、綜合考慮風險、定量定性結合、以及動態識別復評這六大原則 。

• Q5.3：重要數據的識別因素有哪些？

A：《重要數據識別指南》將所有領域對重點數據的識別維度均放在認定因素上，從本質上介紹重要數據的識別因素。在總原則引領下，重要數據識別判斷因素主要包括：

（1）反映國家戰略儲備、應急動員能力；

（2）支撐關鍵基礎設施運行或重點領域工業生產；

（3）反映關鍵信息基礎設施網絡安全保護情況，可被利用實施對關鍵信息基礎設施的網絡攻擊；

（4）關系出口管制物項；

（5）可能被其他國家或組織利用發起對我國的軍事打擊；

（6）反映重點目標、重要場所物理安全保護情況或未公開地理目標的位置，可能被恐怖分子、犯罪分子利用實施破壞；

（7）可能被利用實施對關鍵設備、系統組件供應鏈的破壞，以發起高級持續性威脅等網絡攻擊；

（8）反映群體健康生理狀況、族群特征、遺傳信息等的基礎數據；

（9）國家自然資源、環境基礎數據；

（10）關系科技實力、影響國際競爭力；

（11）關系敏感物項生產交易以及重要裝備配備、使用，可能被外國政府對我實施制裁；

（12）在向政府機關、軍工企業及其他敏感重要機構提供服務過程中產生的不宜公開的信息；

（13）未公開的政務數據、工作秘密、情報數據和執法司法數據；

（14）其他可能影響國家政治、國土、軍事、經濟、文化、社會、科技、生態、資源、核設施、海外利益、生物、太空、極地、深海等安全的數據。

具備以上因素之一的，可能被認定為重要數據。

結合上述識別因素，《重要數據識別指南》對如下相關場景包含的重要數據進行舉例：戰略物資產能、儲備量；反映關鍵信息基礎設施網絡安全方案、系統配置信息、核心軟硬件設計信息、系統拓撲、應急預案等情況的數據；描述出口管制物項的設計原理、工藝流程、制作方法等的信息以及源代碼、集成電路布圖、技術方案、重要參數、實驗數據、檢測報告；反映重點安保單位、重要生產企業、國家重要資產（如鐵路、輸油管道）的施工圖、內部結構、安防等情況的數據，以及未公開的專用公路、未公開的機場等的信息；未公開的水情信息、水文觀測數據、氣象觀測數據、環保監測數據；以及描述與國防、國家安全相關的知識產權的數據等。

• Q5.4：重要數據出境的評估要求有哪些？

A：《數據安全法》第三十一條規定，除CIIO外，其他數據處理者向境外提供重要數據的出境安全管理辦法，由國家網信部門會同國務院有關部門制定?！稊祿鼍嘲踩u估辦法》則落實了該條的要求，規定向境外提供重要數據的，需要履行數據出境安全評估的義務。

結合上述幾個問題的答復，無論是否為CIIO，也無論出境數據數量有多少，只要向境外提供的數據中包含“重要數據”，都應當向國家網信部門申報出境安全評估。因此，建議企業盡快落實重要數據的識別工作，明確出境的數據是否包含重要數據，并根據要求做好合規評估工作。

Q6: 如何識別關鍵信息基礎設施（“CII”）和關鍵信息基礎設施的運營者（“CIIO”），以及如何針對CIIO擬出境的數據進行評估？

• Q6.1:識別關鍵信息基礎設施（“CII”）和關鍵信息基礎設施的運營者（“CIIO”）的法律依據有哪些？

A：根據目前的立法現狀，關于識別和認定CII和CIIO方面，企業可以綜合參考《網絡安全法》、由國務院發布并于2021年9月1日施行的《關鍵信息基礎設施安全保護條例》（以下簡稱“《保護條例》”）、公安部于2020年發布的《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》（以下簡稱“《指導意見》”）、網信辦網絡安全協調局于2016年6月公布的《國家網絡安全檢查操作指南》，以及2020年8月發布的國家標準《信息安全技術 關鍵信息基礎設施邊界確定方法（征求意見稿）》（以下簡稱“《CII邊界確定方法》”）。

• Q6.2:判斷關鍵信息基礎設施的運營者的思路及方式是什么？

A：一般而言，通過以下三個步驟識別CIIO：

（1）判斷所涉業務是否涉及重要行業和領域

根據《網絡安全法》第三十一條，CII所涉的重點行業和領域包括：公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的行業和領域?！侗Ｗo條例》第二條則在《網絡安全法》的基礎上進一步補充，提出CII范圍包括：“公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等”。

此外，根據公安部發布的《指導意見》，“基礎網絡、大型專網、核心業務系統、云平臺、大數據平臺、物聯網、工業控制系統、智能制造系統、新型互聯網、新興通訊設施等重點保護對象”有可能會被納入CII。

因此，不難看出，國家針對CII所涉行業和領域的劃分采用的是非窮盡列舉式抽象定義，并以“視具體情況認定重點行業和領域”的情形留有余地。

（2）識別關鍵業務及具體關鍵信息基礎設施

在初步確認所涉業務可能會被認定為屬于上方重要行業和領域之后，企業可以依據《CII邊界確定方法》進一步評估其是否存在“一旦遭到破壞或者喪失功能，會嚴重危害國家安全、經濟安全、社會穩定、公眾健康和安全的”、并且依賴信息化運行的業務，來識別、篩選關鍵業務。即當一個企業的屬性落入到第（1）點所列法規要求的CII所涉及的重點行業時，也不是該企業中的所有信息系統都是CII的范圍。只有所列行業中的相關企業其高度支撐信息化運行且該系統的運行如果遭到破壞或者功能喪失有嚴重危害國家安全、經濟安全、社會穩定、公眾健康和安全后果的才有可能被納入CII的范圍。

在初步判斷后，企業可以參考《保護條例》第九條來進一步梳理企業中“對本行業、本領域關鍵核心業務”“重要的”“一旦遭到破壞、喪失功能或者數據泄露對國家安全、社會穩定帶來危害”的網絡設施、信息系統；而該網絡設施、信息系統則極大可能會被認定為CII。

（3）明確CIIO

順接上述第（2）點，需要進一步明確的是，支撐同一關鍵業務的CII可能屬于一個運營者，也可能分屬于多個運營者。因此，在識別出關鍵業務和CII之后，應當根據關鍵業務對信息化的依賴程度和依賴關系進行系統評估，梳理支撐同一關鍵業務的CII分布和運營情況，以明確對應到具體的CIIO。

需要提醒的是，從《網絡安全審查辦法》《指導意見》到《保護條例》，均明確了CII及CIIO的認定工作由各自行業的主管部門負責，所以企業是否屬于我國認定的CIIO主要取決于主管機構的判定和通知。同時，考慮到CII的定義以及范圍均比較寬泛，并且技術以及網絡安全的要求會不斷地更新迭代，主管機構對于行業內企業所擁有的CII具體情況應該也是在一個持續的了解和動態認定的過程中，所以希望公司時刻保持關注。

• Q6.3：如果外國公司在中國投資設立的公司（“FIE”）被認定為CIIO，該FIE的個人信息出境活動應如何開展？是否可以直接向境外母公司傳輸個人信息？

A：首先，應當說明的是，我國現行有效的法律對于CIIO的個人信息出境活動（包括跨境傳輸員工個人信息的行為）有明確規制。如Q1所述，《網絡安全法》第三十七條規定了CIIO向境外提供數據的安全評估義務?！秱€人信息保護法》第四十條進一步規定，CIIO應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的，應當通過國家網信部門組織的安全評估。因此，若FIE被認定為CIIO，則需要將在中國境內收集的個人信息存儲在境內；如FIE確需向位于境外的母公司提供在境內運營中收集產生的個人信息的，應當根據《數據出境評估辦法》通過國家網信部門組織的安全評估。 在未履行上述要求的情況下，公司直接向境外母公司傳輸個人信息是存在合規風險的，可能會被要求承擔Q14中所述的相關責任。

需要說明的是，無論FIE是否構成CIIO，除上述合規義務以外，向境外母公司提供個人信息前均應當同時履行其他數據出境義務，如開展數據出境風險自評估、向個人主體充分告知境外接收方（如母公司）的情況以及其個人信息出境的目的、方式并取得個人的單獨同意。此外，還應當進行個人信息保護影響評估，以確保企業開展個人信息出境活動的合規性。

還有一種特殊場景，不是有關FIE被認定為CIIO的問題，而是國內企業屬于國外私募基金的被投企業，但屬于CIIO，并且其經營信息和財務信息都很敏感，還會涉及到重要數據，那么根據以上分析，該被投企業在境內運營中產生的數據需要存儲在中國境內。如果私募基金的投資人是境外主體，其數據存儲的服務器在境外，因基金須對投資人履行私募基金監管所要求的信息披露義務，按照基金合同的約定向投資人報告基金及被投企業的基本情況，在實踐中，可能需要委托一家中國的中介機構（如律師事務所），對被投企業的情況進行了解、摸底并整理成相關匯報材料后，通過國家網信部門會同國務院有關部門制定的辦法進行安全評估，除非遵從證券相關法律法規對于數據出境的另行規定。如果投資人是中國實體，但間接股東有境外主體，與上述答案略不同，不過仍然需要注意被投人信息不被投資人的境外間接投東直接接觸。如果基金管理人的股東為境外主體，即，基金管理人為外商投資私募基金管理人，基金決策機構是股東委派產生，完全接觸基金管理運營的全部信息。在這種情況下，同樣會存在數據出境的風險，則要根據被投企業的性質與出境數據的類型與數量再具體分析。并且，基金管理公司與投資人和被投方不僅通過郵件往來，還會通過微信與境外增收方溝通并向境外發送資料，也需要關注數據出境的合規問題，與上面的思路基本一致。

Q7：數據處理者向境外提供個人信息都需要進行安全評估嗎？

• Q7.1: 個人信息出境安全評估與個人信息出境前須開展的個人信息保護影響評估、個人信息出境自評估是一回事嗎？

A：對于數據出境風險評估有兩類，一類是企業需要實施《個人信息保護法》下的個人信息保護影響評估（即“自評估”）；而另一類是根據《數據出境安全評估辦法》，在數據出境前完成企業自評估，當滿足相應條件時，通過所在地省級網信部門向國家網信部門申報數據出境安全評估?？梢?，只有當符合《數據出境安全評估辦法》第四條規定的任何一種數據出境安全評估適用條件時，數據出境安全評估才觸發，進而企業須向網信部門遞交評估申請并進入評估流程。因此，在數據出境的場景中，開展數據出境風險自評估通常是數據處理者向網信部門申報數據出境安全評估的前置程序。

對于數據出境風險自評估，根據《數據出境安全評估辦法》第五條，需要重點評估如下事項：（一）數據出境和境外接收方處理數據的目的、范圍、方式等的合法性、正當性、必要性；（二）出境數據的規模、范圍、種類、敏感程度，數據出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險；（三）境外接收方承諾承擔的責任義務，以及履行責任義務的管理和技術措施、能力等能否保障出境數據的安全；（四）數據出境中和出境后遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等的風險，個人信息權益維護的渠道是否通暢等；（五）與境外接收方擬訂立的數據出境相關合同或者其他具有法律效力的文件等（以下統稱法律文件）是否充分約定了數據安全保護責任義務；（六）其他可能影響數據出境安全的事項。

《數據出境安全評估辦法》第八條規定由網信部門開展的數據出境安全評估范圍相比于數據出境風險自評估范圍更大，多出以下幾項評估事項：

• 境外接收方所在國家或者地區的數據安全保護政策法規和網絡安全環境對出境數據安全的影響；境外接收方的數據保護水平是否達到中華人民共和國法律、行政法規的規定和強制性國家標準的要求（第二項）；

• 數據安全和個人信息權益是否能夠得到充分保障（第四項）；

• 遵守中國法律、行政法規、部門規章情況（第六項）。

由此可知，監管機構的安全評估不僅會審查雙方合同中關于境外接收方義務的約定，而且會更加全方位地審查數據出境活動對于國家以及行業的整體風險系數與其所采取的相應安全保障措施的充分性。意味著，雖然企業數據出境自評估范圍不包括上述三項，但從提前預判是否存在無法通過網信部門評估的風險考慮，還是建議企業在自評估時將以上內容納入摸底和排查范圍，提前整改以提高一次性通過率。

此外，《個人信息保護法》第五十五條規定，當觸發個人信息出境場景，需要進行個人信息保護影響評估，該評估也屬于企業自評估的性質，評估內容包括：①個人信息的處理目的、處理方式等是否合法、正當、必要；②對個人權益的影響及安全風險；③所采取的保護措施是否合法、有效并與風險程度相適應。通過對比，數據出境自評估內容的第1-3點，與個人信息保護影響評估的第1-3點內容基本一致，從實操角度而言，我們認為無須評估兩次，可參考補充對于國家安全和公共利益的影響評估，并對數據出境自評估的4-6點進行補充。但根據《個人信息保護法》第五十六條要求，個人信息保護影響評估報告和處理情況記錄應當至少保存三年，如果公司對于兩個自評估實踐中希望合并操作的，則數據出境自評估報告需要保存至少三年。

• Q7.2: 如何定義出境數據的“境外接收方”？

A：《信息安全技術 數據出境安全評估指南（征求意見稿）》（尚未生效）第3.7條對“數據出境”進行定義，即網絡運營者通過網絡等方式，將其在中華人民共和國境內運營中收集和產生的個人信息和重要數據，通過直接提供或開展業務、提供服務、產品等方式提供給境外的機構、組織或個人的一次性活動或連續性活動。

如Q2所述，即使數據未轉移存儲至本國以外的地方，但被境外的機構、組織、個人訪問查看或調用的（公開信息、網頁訪問除外），也屬于數據出境。同理，國內企業聘用的境外服務供應商通過境外服務器收集產生于中國境內的個人信息，也是屬于數據出境。例如，境外人力資源服務供應商或者FIE的母公司均屬于境外接收方。

結合我們的經驗，從跨國企業和其供應商的關系看，一般跨國企業和其聘用的供應商多為委托處理關系，還多為這些境外供應商受跨國公司總部的委托，雙方簽署了數據處理協議（約定跨國企業及各分以機構均為數據處理者，供應商為受托方）。當從中國境內收集或者產生的數據被傳輸到境外供應商，如果境外母公司可以自行查閱、瀏覽存儲于境外服務供應商于境外服務器的中國子公司的個人信息，并且境外母公司作為與其境外供應商簽署合同的一方主體可以根據自己的目的進行處理（以個人信息處理者的身份對中國境內生成的個人信息進行處理），FIE實質是將個人信息出境傳輸至其境外母公司（即使出境的數據存儲于境外服務供應商于第三國的服務器），境外母公司屬于數據處理者角色的數據接收方。

• Q7.3: 哪些情況下需要開展個人信息出境安全評估？

A：第一，針對處理100萬以上個人信息的數據處理者，向境外提供個人信息的。

《個人信息保護法》第四十條規定，處理個人信息達到國家網信部門規定數量的個人信息處理者，如確需向境外提供數據，應當進行安全評估義務?！稊祿鼍嘲踩u估辦法》與其上位法保持一致，并進一步就《個人信息保護法》第四十條所提及的“數量”進行了明確。

如我們在《環球合規與風控 | 個人信息出境合規指引之一——簽署“中國版”個人信息出境標準合同》中提到，對于處理100萬以上個人信息的處理者，法律法規規制的對象是某一類個人信息處理者，而非某一類處理行為。因此，結合上述第一點，針對處理100萬以上個人信息的數據處理者，原則上，在中華人民共和國境內運營中收集和產生的個人信息應當在境內存儲。確有需要向境外提供時，不論向境外提供的數據量為多少，都應當事先進行安全評估。

第二，針對累計向境外提供10萬人個人信息的數據處理者或者1萬人敏感個人信息的數據處理者。

相較于《出境安全評估辦法征求意見稿》，《數據出境安全評估辦法》明確了“10萬人個人信息或者1萬人敏感個人信息”的起算時間，即從上年1月1日起。這一點也與近期的《個人信息出境標準合同規定（征求意見稿）》中的相關要求保持銜接。

《數據出境安全評估辦法》對符合這兩個數量的門檻設置得相對較低，相對較容易滿足，這體現了國家對于數據出境的管控日趨嚴格。建議企業盡快開展自查，充分了解內部涉及已經累計向境外提供的個人信息數據量及流轉情況，判斷是否達到了上述規定的標準或者還有多少余量將可能需要申請出境安全評估。

所述的“10萬”“1萬”，是指實際累計向境外傳輸個人信息所對應主體的人數，而非指人次。例如某公司向境外傳輸員工個人信息，通常需要考慮加上未來新入職的員工人數，以及已經傳輸過的離職人員的數量，如果從去年1月1日起累計向境外已傳輸超過10萬名員工，或者從去年1月1日起向境外傳輸1萬名員工的敏感個人信息（如身份證號碼），則該公司應當在9月1日《數據出境安全評估辦法》生效后考慮申報數據出境安全評估。

Q8：哪些屬于法律、行政法規另有規定，依照其規定進行評估/批準的情況？

A：除《網絡安全法》《數據安全法》和《個人信息保護法》確立的數據和網絡安全整體體系外，企業還應當考慮其他相關法律法規的要求。例如，根據《中華人民共和國保守國家秘密法》第三十條，機關、單位對外交往與合作中需要提供國家秘密事項，或者任用、聘用的境外人員因工作需要知悉國家秘密的，應當報國務院有關主管部門或者省、自治區、直轄市人民政府有關主管部門批準，并與對方簽訂保密協議。如涉及健康醫療大數據，則根據《國家健康醫療大數據標準、安全和服務管理辦法（試行）》第三十條，應當存儲在境內安全可信的服務器上，因業務需要確需向境外提供的，應當按照相關法律法規及有關要求進行安全評估審核。如涉及測繪成果，則根據《中華人民共和國測繪法》第三十四條，屬于國家秘密的，適用保密法律、行政法規的規定；需要對外提供的，按照國務院和中央軍事委員會規定的審批程序執行。如涉及人類遺傳資源信息，則根據《中華人民共和國生物安全法》第五十七條，向境外組織、個人及其設立或者實際控制的機構提供或者開放使用的，應當向國務院科學技術主管部門事先報告并提交信息備份。

Q9：符合條件的企業應當向哪個/些機構申請數據出境安全評估？

A：《數據出境安全評估辦法》第四條明確，數據處理者向境外提供數據，應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估。

根據《數據出境安全評估辦法》第十條，國家網信部門受理申報后，根據申報情況組織國務院有關部門、省級網信部門、專門機構等進行安全評估。就具體負責評估的部門而言，《出境安全評估辦法征求意見稿》規定評估部門還包括行業主管，而《數據出境安全評估辦法》則去掉了行業主管部門。對此，有兩種理解，一種是出境安全評估將不由行業主管部門評估，另一種理解是此處的刪減并不意味著評估過程中將沒有行業主管部門的參與。我們的觀點更偏向于后者，原因是根據《數據出境安全評估辦法》第十條，評估的部門還包括國務院有關部門，此處也包括行業主管部門。因此，《數據出境安全評估辦法》保留了一定的靈活性，網信辦可以根據實際情況組織相關行業主管部門參與出境安全評估。

Q10：符合條件的企業申請數據出境安全評估時，應當準備哪些申請材料？

A：如企業符合《數據出境安全評估辦法》第四條所規定的情形，則應盡快開始準備相關申請材料。具體而言，根據《數據出境安全評估辦法》第六條，申報數據出境安全評估，應當提交以下材料：（一）申報書；（二）數據出境風險自評估報告；（三）數據處理者與境外接收方擬訂立的法律文件；（四）安全評估工作需要的其他材料。

針對申報書，可參考網絡安全審查制度中的相關要求[2]，后續監管部門可能會提供統一的格式文本，供企業填寫相關基本信息。針對數據出境風險自評估報告，企業在數據出境前需要對擬出境數據進行自評估，根據《數據出境安全評估辦法》第五條和第八條的評估重點開展評估并記錄。如有需要時，也可以請外部第三方協助評估并制定出境風險自評估報告。針對數據處理者與境外接收方擬訂立的法律文件，請參考Q11答復。

Q11：數據處理者與境外接收方擬訂立的法律文件與個人信息出境標準合同有何區別？與數據處理者在境內簽署的數據處理協議有何區別？

A：根據《數據出境安全評估辦法》第九條，數據處理者與境外接收方擬訂立的法律文件，需要至少包括（一）數據出境的目的、方式和數據范圍，境外接收方處理數據的用途、方式等；（二）數據在境外保存地點、期限，以及達到保存期限、完成約定目的或者法律文件終止后出境數據的處理措施；（三）對于境外接收方將出境數據再轉移給其他組織、個人的約束性要求；（四）境外接收方在實際控制權或者經營范圍發生實質性變化，或者所在國家、地區數據安全保護政策法規和網絡安全環境發生變化以及發生其他不可抗力情形導致難以保障數據安全時，應當采取的安全措施；（五）違反法律文件約定的數據安全保護義務的補救措施、違約責任和爭議解決方式；（六）出境數據遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等風險時，妥善開展應急處置的要求和保障個人維護其個人信息權益的途徑和方式。

通過與《個人信息出境標準合同規定（征求意見稿）》中關于標準合同要求的比對，《數據出境安全評估辦法》對于數據處理者與境外接收方擬訂立的法律文件的區別如紅字所示：

通過上表可知，與《個人信息出境標準合同規定（征求意見稿）》第六條相比，《數據出境安全評估辦法》第九條還額外提及了超出保存時間后的處理、境外接收方再轉移數據、接收方實際控制權或者經營范圍發生實質性變化、接收方所在地數據安全保護政策法規和網絡安全環境發生變化以及發生其他不可抗力情形，以及出境數據發生泄露等風險時的應急處置要求。企業在起草與境外接收方擬訂立的相關法律文件（如《數據跨境傳輸協議》）時，一方面可參考《個人信息出境標準合同規定（征求意見稿）》中“個人信息出境標準合同”模板，另一方面應當重點補充如下兩種情形下的處理措施：（1）境外接收方實際控制權或者經營范圍發生實質性變化的情形；（2）接收方所在地網絡安全環境發生變化或發生其他不可抗力的情形。

此外，由于目前《個人信息出境標準合同規定（征求意見稿）》中的“個人信息出境標準合同”未明確規定雙方角色屬于委托處理還是對外提供，為進一步明確雙方角色，建議在雙方擬訂立的法律文件中補充數據接收方的角色屬于受托方還是處理者。

還應值得關注的是，網信辦有關負責人就《數據出境安全評估辦法》答記者問時，建議在法律文件中注明此文件須在通過數據安全評估后方可生效，以避免因出境安全評估未通過而造成合同主體的損失。

Q12：整個評估流程是什么樣的，需要多久可以完成？

A：根據《數據出境安全評估辦法》第七條、第十一條、第十二條、第十三條的要求，我們制作了如下流程圖，供企業參考。

《數據出境安全評估辦法》增加了省級網信部門進行形式審查的時間，即省級網信部門在5天內審核材料是否完畢。從整體評估流程來講，《出境安全評估辦法征求意見稿》中的完整評估流程最長約67天，而根據《數據出境安全評估辦法》第十二條，如果涉及情況復雜需要補充材料的情況，網信部門會向企業告知預計時間，但該條并沒有明確說明最長時限。因此，《數據出境安全評估辦法》中的整體評估時長為57+N天（N代表補充材料審核時間）；如涉及復評的，則為72+N天。這將導致在申請安全評估前，企業可能較難準確預估整體的評估周期，因此建議對后續的業務運營安排提前留好余量。

在整體評估流程中，《數據出境安全評估辦法》第十一條還新增了數據處理者拒不補充或拒不更正材料的后果。即安全評估過程中，國家網信部門可以要求數據處理者補充或者更正材料，如數據處理者無正當理由不補充或者更正的，國家網信部門可以終止安全評估。

此外，《數據出境安全評估辦法》第十三條為數據處理者提供了救濟方式。對評估結果有異議的，數據處理者可以在收到評估結果15個工作日內向國家網信部門申請復評，該復評結果則為最終結論。

Q13：完成數據出境評估后，有效期為多久？什么情況下需要再次申請安全評估？

A：根據《數據出境安全評估辦法》第十四條，數據出境安全評估的結果有效期為2年，自評估結果出具之日起算。換言之，有效期2年是針對同一數據出境目的、方式、范圍、類型和境外數據接收方類型不變等情況下，不需要針對這些情況重新申請評估，2年有效期屆滿，應當在有效期屆滿60個工作日前重新申報評估。此處不確定的是，2年后的評估人員與評估尺度是否仍然一致，提前60個工作日啟動再次申請，是否能夠在前一次評估有效期屆滿前順利通過。舉例來說，如果某家公司出境評估結果于2025年12月31日屆滿，其恰恰僅提前了60個工作日啟動再次評估申報，因為2年后傳輸數據的情況發生變化，與前次相比數據量增大而且復雜，公司被告知另行準備補充材料，從而使得整體的評估時長可能超出60個工作日并且無法在2025年12月31日前拿到評估結果，此時該公司只能停止傳輸，待拿到評估結果之后再恢復傳輸。為了不對實踐中的生產運營產生影響，建議企業應當隨時掌握自身向境外傳輸數據的情況、境外接收方情況的變化、境外接收方所在國家、地區數據安全保護政策法規和網絡安全環境發生變化以及發生其他不可抗力情形的可能性，盡可能提早啟動重新申報評估的流程。

《數據出境安全評估辦法》第三條明確，數據出境安全評估堅持事前評估和持續監督相結合。根據《數據出境安全評估辦法》第十四條，出現如下情況，則需要重新申報評估：（一）向境外提供數據的目的、方式、范圍、種類和境外接收方處理數據的用途、方式發生變化影響出境數據安全的，或者延長個人信息和重要數據境外保存期限的；（二）境外接收方所在國家或者地區數據安全保護政策法規和網絡安全環境發生變化以及發生其他不可抗力情形、數據處理者或者境外接收方實際控制權發生變化、數據處理者與境外接收方法律文件變更等影響出境數據安全的；（三）出現影響出境數據安全的其他情形。根據上述要求，數據處理者需要對境外接收方處理數據的方式、用途、保存期限、實際控制權等方面進行監督，也需要隨時把控數據接收方所在地法規和網絡環境的變化，以便在前述因素發生變化時重新申報評估。就持續監督而言，不僅體現在數據處理者對于境外接收方的監督，而且還涉及國家網信部門和其他組織和個人對于出境活動的監督。

Q14：應申請安全評估但未申請出境數據，有何罰則？

A：國家網信部門也可依職權對數據出境活動進行監督。根據《數據出境安全評估辦法》第十七條，國家網信部門一旦發現已經通過評估的數據出境活動在實際處理過程中不再符合數據出境安全管理要求的，則應當書面通知數據處理者終止數據出境活動。數據處理者需要繼續開展數據出境活動的，應當按照要求整改，整改完成后重新申報評估?！稊祿鼍嘲踩u估辦法》第十六條規定，任何組織和個人發現數據處理者違法向境外提供數據的，可以向省級以上網信部門舉報。這也印證了《數據出境安全評估辦法》第三條所述的持續監督。

需要注意的是，根據《數據出境安全評估辦法》第二十條，在2022年9月1日前已經開展的數據出境活動，不符合《數據出境安全評估辦法》規定的，應當自2022年9月1日起6個月內完成整改。該法條沒有明確起始時間，是否意味著，如果在2022年9月1日前已經開展了出境活動，無論出境活動多么久遠，只要符合條件，都應當在2023年3月1日前申請出境安全評估。這將成為企業后續具體實施和網信部門執法過程中需要考量的問題。

此外，《數據出境安全評估辦法》第十五條與此前《出境安全評估辦法征求意見稿》基本一致，也要求參與安全評估工作的相關機構和人員對在履行職責中知悉的國家秘密、個人隱私、個人信息、商業秘密、保密商務信息等數據應當依法予以保密，不得泄露或者非法向他人提供、非法使用。這條將在一定程度上打消部分企業對于向監管機構提交出境申報材料和與境外增收方簽署的相關法律文件（如合同）是否有可能內容會被外泄而產生的顧慮。

《數據出境安全評估辦法》沒有額外規定違規責任與懲罰措施，而是援引了《網絡安全法》《數據安全法》《個人信息保護法》的相關罰則。同時，若數據處理者構成犯罪的，將依法追究刑事責任。

根據《個人信息保護法》第六十六條，若企業違法處理個人信息，例如未在出境前進行安全評估，則可能面臨最高5,000萬元以下或者上一年度營業額5%以下罰款、停業整頓、吊銷相關業務許可或者吊銷營業執照等嚴厲的處罰措施；同時，針對直接負責的主管人員和其他直接責任人員，也有可能被處以10萬元以上100萬元以下罰款，并在一定期限內禁止擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。

根據《網絡安全法》第六十六條，關鍵信息基礎設施的運營者違反規定，在境外存儲網絡數據，或者向境外提供網絡數據的，由有關主管部門責令改正，給予警告，沒收違法所得，處5萬元以上50萬元以下罰款，并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照；對直接負責的主管人員和其他直接責任人員處1萬元以上10萬元以下罰款。

根據《數據安全法》第四十六條，違反規定向境外提供重要數據的，由有關主管部門責令改正，給予警告，可以并處10萬元以上100萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處1萬元以上10萬元以下罰款；情節嚴重的，處100萬元以上1,000萬元以下罰款，并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處10萬元以上100萬元以下罰款。

Q15：其他還應當注意哪些具體事項？

A：根據《中華人民共和國保守國家秘密法》，違反法律規定存在國家秘密出境行為的，則有可能構成犯罪并依法追究刑事責任。

除此之外，企業還應當關注《中華人民共和國刑法》（以下簡稱“《刑法》”）規定的刑事責任，如《刑法》第一百一十一條規定，為境外竊取、刺探、收買、非法提供國家秘密、情報罪，規定了為境外的機構、組織、人員竊取、刺探、收買、非法提供國家秘密或者情報的，處五年以上十年以下有期徒刑；情節特別嚴重的，處十年以上有期徒刑或者無期徒刑；情節較輕的，處五年以下有期徒刑、拘役、管制或者剝奪政治權利。

若涉及某特定領域或行業，公司還需要根據部門規章以確認是否存在相應的特殊規定以及罰則以及具體的處罰后果。

結語

隨著《數據出境安全評估辦法》的出臺，數據出境的相關監管要求和框架已逐步明朗和清晰?！稊祿鼍嘲踩u估辦法》同時規制了個人信息和重要數據出境的安全評估要求。對于涉及數據出境的企業而言，《數據出境安全評估辦法》的適用門檻較低，因而較容易觸發數據安全評估義務。同時，出現情況復雜或需要補充更正材料的情況時，無法預判監管部門進行安全評估的時限，可能給出境安全評估帶來更多不確定性。因此，《數據出境安全評估辦法》的生效可能使涉及數據出境的企業（尤其是外商投資企業）面臨較大的合規成本和挑戰。為此，我們建議企業充分利用6個月（自2022年9月1日起算）的緩沖期，盡快開展內部數據出境活動的盤典和梳理，判斷是否需要申報出境安全評估，如確需適用，則盡快開展自評估并準備相關申報材料，以免延誤數據出境業務的開展甚至構成違規。

注釋：

[1] 重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數據。包括以下數據：1.未公開的政務數據、工作秘密、情報數據和執法司法數據；2.出口管制數據，出口管制物項涉及的核心技術、設計方案、生產工藝等相關的數據，密碼、生物、電子信息、人工智能等領域對國家安全、經濟競爭實力有直接影響的科學技術成果數據；3.國家法律、行政法規、部門規章明確規定需要保護或者控制傳播的國家經濟運行數據、重要行業業務數據、統計數據等；4.工業、電信、能源、交通、水利、金融、國防科技工業、海關、稅務等重點行業和領域安全生產、運行的數據，關鍵系統組件、設備供應鏈數據；5.達到國家有關部門規定的規?；蛘呔鹊幕?、地理、礦產、氣象等人口與健康、自然資源與環境國家基礎數據；.國家基礎設施、關鍵信息基礎設施建設運行及其安全數據，國防設施、軍事管理區、國防科研生產單位等重要敏感區域的地理位置、安保情況等數據；7.其他可能影響國家政治、國土、軍事、經濟、文化、社會、科技、生態、資源、核設施、海外利益、生物、太空、極地、深海等安全的數據。

[2] 根據《網絡安全審查辦法》第八條，申報網絡安全審查，應當提交申報書。

請點擊文末“相關下載”，查看《數據出境安全評估辦法》較《出境安全評估辦法征求意見稿》的重大修改點。