2017年5月27日，全国信息安全标准化技术委员会对外发布《信息安全技术 数据出境安全评估指南（草案）》（“《指南》”），向社会公开征求意见。作为数据出境安全评估的国家推荐性标准，《指南》为《网络安全法》及国家网信办正在制定中的《个人信息和重要数据出境安全评估办法》（“《评估办法》”）所规定的个人信息和重要数据出境安全评估制度，提供了具有实践操作性的指引，有利于相关执法机构和存在跨境数据传输需求的企业对于该项制度的落实。

一、制定目的

此次《指南》的制定目的主要围绕“两个防止”，即：一是防止个人信息未经用户同意向境外提供，损害个人信息主体合法利益；二是防止国家重要数据未经安全评估和相应主管部门批准存储在境外，给国家安全造成不利影响。上述制定目的与《网络安全法》和《评估办法》的相关立法宗旨相吻合。

二、适用范围

《指南》在第1条中就对适用范围予以了明确的规定，即其既适用于网络运营者开展的个人信息和重要数据出境安全评估工作，也适用于行业主管或监管部门对网络运营者开展个人信息和重要数据出境安全评估进行的指导、监督等工作。而对于网信部门、行业主管和监管部门“依职权”开展的安全评估工作，《指南》的内容同样可作为参考依据。需要指出的是，鉴于全国信息安全标准化技术委员会的主要组成人员基本由国家网信部门、行业主管和监管部门构成，故《指南》在相当程度上反映了未来相关执法机构的执法标准和理念。

三、概念定义

《指南》中对于相关术语和概念的定义与《评估办法》基本一致，并有所完善。其中，《指南》除了将“姓名、出生日期、身份证件号码、通信通讯联系方式、个人生物识别信息、住址、账号密码、财产状况”等界定为“个人信息”外，进一步将“位置和行为信息”囊括其中。这与当下各类通讯APP的发展，使用户位置和行为信息成为足以反映自然人特征的现状相贴合。在最新版本的《评估办法》修订稿中，对于“个人信息”外延的界定，与《指南》的上述内容保持了高度的一致。此外，《指南》在其附录A《重要数据识别指南》中，对“重要数据”这一《网络安全法》中的重要概念进行了阐述。作为《指南》的重要组成部分，《重要数据识别指南》采用了定义加列举的结构形式，在明确将“重要数据”定义为“我国政府、企业、个人在境内收集、产生的不涉及国家秘密，但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)”的基础上，对“石油天然气”等27个重要行业领域所涉及的“重要数据”的范围予以了详细的列举。《重要数据识别指南》为行业主管部门、监管部门、具体行业内的企业提供了更为明确的指引，对于数据出境安全评估制度在各个行业内的落实具有重要意义。

四、评估步骤

此次《指南》详细规定了个人信息和重要数据出境安全评估的步骤和流程。具体包括：1. 自评估启动；2. 制定出境计划；3.评估数据出境计划的合法正当和风险可控；4. 形成评估报告；5.检查修正。

对于自评估的启动，《指南》与《评估办法》的规定相一致，包括了“产品或服务涉及向境外机构、组织或个人提供数据”和“已完成数据出境安全评估的产品或业务所涉及的数据出境，在目的、范围、类型、数量等方面发生较大变化、数据接收方变更或发生重大安全事件的”等两种可能引起的情形。

对于出境计划，《指南》要求涵盖数据出境目的、范围、类型、规模、涉及的信息系统、中转国家和地区、数据接收方及其所在的国家或地区的基本情况、安全控制措施等内容。

对于合法性与正当性，《指南》通过正面与反面相结合，规定了数据出境计划中应当满足的五大要求。

对于风险可控，《指南》要求网络经营者应综合考虑出境数据的属性和数据出境发生安全事件的可能性。同时，《指南》在附录B中，将个人权益和国家安全和社会公共利益受影响的程度，划分为“1-4”个等级；将引发安全事件的可能性，划分为“高中低”三个等级。各类量化指标有利于网络经营者判断风险是否可控。

五、除外情形

《指南》针对网络经营者所承担的安全评估义务，规定了两种除外情形。具体包括：一是，网络经营者仅对主动向境外机构、组织或个人提供数据的行为承担安全评估义务；二是，若境外数据经由中华人民共和国中转，未经任何变动或加工处理的情形不属于数据出境，不受《评估办法》的规制。

结语

此次《指南》的发布是对《网络安全法》和《评估办法》的重要补充，标志着我国规制个人信息和重要数据出境行为的法律体系逐渐完善。可以预见的是，在“有法可依”的情况下，未来该领域的监管和执法活动将更为高效有序，网络经营企业所面临的合规风险则将相应加大。当然，此次《指南》也为相关企业的数据出境安全评估工作提供了具有实践操作性的指导。因此，我们建议相关企业认真对照《指南》内容，完善自身的数据出境合规审查工作，同时密切关注《指南》的后续动态以及相关主管部门的权威表态，并可积极参与现阶段的意见征求工作（截至2017年6月27日）。

本文作者系大成数据保护团队戴健民律师、邓志松律师，转载请署作者名，并注明文章出自公众号：个人信息与数据保护实务评论。

《信息安全技术 数据出境安全评估指南（草案）》全文请点击“阅读原文”。