【从零读懂】数据出境合规100问 | Part 3下篇：《数据出境安全评估办法》高频问题与适用解读

Original 王捷资深出海法律顾问出海互联网法律观察

2024-08-25

必读收藏

数据出境合规100问

《数据出境安全评估办法》与

《个人信息出境标准合同规定（征求意见稿）》

剖析与解读

导言

随着《个人信息出境标准合同规定（征求意见稿）》（以下简称《规定》）、《数据出境安全评估办法》（以下简称《办法》）的相继公布，由《个人信息保护法》第三十八条确定的数据出境选用路径的实践脉络已经越发清晰，可以判断，数据出境合规是企业数据出海必须面对的课题。我们一直专注于网络法实务，特别是数据合规实务工作，在日常为各大企业提供合规服务的过程中，亦遇到各类新型的值得探讨的问题。为了方便实务，让数据出境需求者能够尽快的熟悉，理解我国关于数据出境的各项法律要求与规定，我们计划以《规定》及《办法》作为基础，对我国数据出境有关的法律问题进行一个全方位的解读，一方面对数据出境相关的法律法规进行分析，另一方面也就日常工作中遇到的高频出境问题进行总结。我们热切地期待与各位同行朋友深入探讨各种新型问题，有任何数据合规实务需求与问题探讨，请随时联系王捷律师团队，联系方式见文末。

本系列文章将分为以下四部分

第一部分：初阶--数据出境关键概念剖析

第二部分：进阶--《个人信息出境标准合同规定》高频问题与适用解读（上）

进阶--《个人信息出境标准合同规定》高频问题与适用解读（下）

第三部分：进阶--《数据出境安全评估办法》高频问题与适用解读（上）

进阶--《数据出境安全评估办法》高频问题与适用解读(中）

第四部分：高阶--数据出海实践关键问题与海外SCC要点对比

在认识清楚数据出境相关的基本概念后，后续的内容将开始对数据出境的两部重要法规进行分析，本篇是第三部分进阶篇，主要就《数据出境安全评估办法）》的高频问题与适用进行解读。

文 / 王捷律师团队

第三部分下篇：

《数据出境安全评估办法》高频问题与适用解读

本部分下篇将回答以下问题：

Q73.安全评估结果的有效期持续多久？

Q74.有效期届满时企业何时需要进行重新评估？

Q75.企业在重新申报评估的过程中原评估结果有效期届满，数据出境活动效力为何？

Q76.符合安全评估要求的企业需要现在就着手准备安全评估吗？

Q77.若企业不进行安全评估需要承担何种法律责任？

Q78.现阶段不符合《办法》规定的，《办法》实施后还需要追究责任吗？

Q79.如果申报材料不符合规定或者对安全评估结果有异议的，企业如何进行补救？

Q80.通过安全评估后是否还有其他持续性的审查？

Q81.已经进行了网络安全审核评估的企业，还要做数据出境安全评估吗？

Q82.企业如何合规地进行数据出境活动？

《办法》的发布促进了我国维护数据安全及保护数据利益的制度设计到实践操作的良性衔接，本次《办法》共包括二十条，对安全评估的目的，适用范围，评估程序，评估内容，评估效果等各进行了全面规定。

《办法》实施后，符合要求的企业最好在规定的期限内尽快配合完成评估，尽早熟悉、准备安全评估的相关事项及流程，以避免因违反《办法》规定而导致企业的数据出境活动受到影响。本专题的第三部分，将汇总《办法》的高频问题以及适用难点，结合团队多年的数据出境业务经验，为大家带来详细解读。

Q73.安全评估结果的有效期持续多久？

安全评估活动并非是一劳永逸，《办法》规定评估结果的有效期为出具结果之日起二年，如果企业在评估结果有效期届满后仍计划继续开展数据出境活动的，应当在有效期届满前60个工作日前重新申报评估，即大约三个自然月。

从《办法》的时效要求来看，如果达到《办法》规定要求的企业，持续有数据出境相关业务的话，安全评估可能将会是企业未来频繁接触的流程。

Q74. 有效期届满时企业何时需要进行重新评估？

需要注意的是，若想确保企业数据出境活动不受评估结果失效而终止，企业需要留够充分的申报时间，虽然流程中有规定申报材料流程的相关部门大概的处理时长，但目前《办法》要求最终出具评估结果的最长时间尚不明确，建议企业需要重新进行安全评估的，应当尽早着手准备。

Q75.企业在重新申报评估的过程中原评估结果有效期届满，数据出境活动效力为何？

既然目前并不确定评估结果出具的最长时间需要多久，那么尽管企业在60个工作日前完成重新申报，也有可能会出现原评估结果有效期届满，但是新评估结果也尚未出具的情形，严格按照《个人信息保护法》以及《办法》的规定来判断，有效的安全评估结果是符合要求的企业开展数据出境活动的前置条件，有效期届满后，企业继续进行数据出境活动的，可能会被因违反《办法》要求而被终止活动。

Q76.符合安全评估要求的企业需要现在就着手准备安全评估吗？

自《办法》发布后，近日许多企业都前来咨询该问题，未来一段时间内，很有可能是数据安全评估申报的高峰期。

首先，《办法》要求符合安全评估要求的企业坚持事前评估、风险自评估，并在申报安全评估时提交申报书、数据处理者与境外接收方拟订立的法律文件以及其他材料，这意味企业需要在申报前完成大量的准备工作；

其次，《办法》第二十条规定，《办法》自2022年9月1日起施行。《办法》施行前已经开展的数据出境活动，不符合《办法》规定的，应当自《办法》施行之日起6个月内完成整改，即已有数据出境业务的企业应在实施之日起6个月内整改，即最迟于2023年3月1日完成整改；

最后，《办法》规定，国家网信部门应当自向数据处理者发出书面受理通知书之日起45个工作日内完成数据出境安全评估，情况复杂或者需要补充、更正材料的，可以适当延长并告知数据处理者预计延长的时间，这意味目前监管部分对于数据出境安全评估审核的期限可能基于情况复杂、材料不足等原因延迟；

综上所述，我们建议符合安全评估要求的企业尽快开始着手准备安全评估，避免因提交材料、审核期限等问题导致无法在《办法》实施之日起6个月内整改。

Q77.若企业不进行安全评估需要承担何种法律责任？

《办法》明确了符合安全评估要求的企业违反《办法》要求的法律后果，包括依据《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规处理，若情节严重，构成犯罪的，还有被追究刑事责任的风险。我们为企业梳理以上法律中的相关规定如下，供企业参考：

《网络安全法》第六十六条中对违法在境外存储网络数据，或者向境外提供网络数据的行为处罚规定

《数据安全法》第四十六条中针对向境外提供重要数据行为的处罚规定

《个人信息保护法》第六十六、六十七条中对违反规定处理个人信息，或者处理个人信息未履行《个保法》规定的个人信息保护义务的行为处罚规定

Q78.现阶段不符合《办法》规定的，《办法》实施后还需要追究责任吗？

企业数据出境现阶段不符合《办法》规定的，由于现阶段《办法》尚未实施，目前还不会受到处罚，但是《办法》也给企业预留了整改期，这说明，《办法》是考虑到了企业此时可能不合规的情况，并预留给企业调整时间的，因此，如企业在《办法》实施前已有部分数据出境情形，建议企业在《办法》施行之日起6个月内完成整改，否则可能面临违规风险。

Q79.如果申报材料不符合规定或者对安全评估结果有异议的，企业如何进行补救？

与之前2021年征求意见稿的版本相比，《办法》完善了安全评估的救济流程，企业先把材料交给省级网信部门进行材料的完备性审查，当材料不齐全时，会退回数据处理者并告知补充材料，企业可在此时补充材料，并在此向省级网信部门重新提交申报材料；同时，若最终企业无法通过安全评估，数据处理者对国家网信部门的评估结果有异议的，还可以在收到评估结果15个工作日内向国家网信部门申请复评，需注意此复评结果为最终结果。

Q80.通过安全评估后是否还有其他持续性的审查？

会的，我国数据出境安全坚持事件评估和持续监督相结合，也就是说国家网信部门可以主动对正在进行的各项企业数据出境活动进行监督，一旦发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的，应当书面通知数据处理者终止数据出境活动。数据处理者需要继续开展数据出境活动的，应当按照要求整改，整改完成后重新申报评估。

Q81.已经进行了网络安全审核评估的企业，还要做数据出境安全评估吗？

从现有法律的规定与监管的角度来看，完成网络安全审核评估的企业，建议仍然需要根据企业实际情况以及现有规定进行数据出境安全评估。网络安全审查评估与数据出境安全评估在许多内容上都有明显差别，二者共同作为我国数据安全的法治框架的一部分，数据安全既包括数据出境场景，同时也包括境内活动场景。

Q82.企业如何合规地进行数据出境活动？

企业马上需要做的内容是判断自身是否符合《办法》规定的需进行申报的要求，具体的事务事项可能受限篇幅无法完全展开，此处可以提供大致的思路，企业可以先对自己日常经营过程中处理的数据类型、规模、范围、业务流程进行一个确认归类，并梳理出企业内部的数据处理流程，以确保企业对其合规的判断足够精确。

其次，若符合《办法》要求的，由于《办法》规定了有限的整改期，且可能近段时间为申报的高峰期，可以尽早按照《办法》的要求完成申报材料的准备。

最后，企业除了考虑《办法》的要求外，本次解读第二部分《规定》的内容也需要关注，尤其《标准合同》中约定的各项权利义务及责任要求，可以成为企业日常数据出境活动中完成法律文件时的参考内容。当然，企业若想要安全合规的完成数据出境，只考虑出境规则是不够的，企业内部数据处理各项环节都可能会有违规的风险，精准的找到出血点，并对症下药，也是保证合规的关键。具体开展企业数据合规的相关事宜时，也非常欢迎企业与王捷律师团队进一步联系。

【附件】

数据出境评估2021年征求意见稿与2022年正式稿对比

向上滑动阅览

本系列文章作者：

王捷肖锦豪夏律黄思妍刘玫君

【声明】

本文内容系作者对法律及实务的理解，仅代表作者个人观点，不构成法律意见，作者以及本公众号均不对内容的分析正确性以及内容获得者由此采取的任何行为承担法律责任。

本文内容系作者原创，引用、转载均请联系作者并注明出处，禁止抄袭，谢谢！

欢迎联系主编投稿。

主编介绍

王捷

执业律师，垦丁W&W国际法律团队创始人，联合国世界丝绸之路委员会专家，中国国际贸易促进委员会深圳调解中心专家调解员，广东省法学会信息通讯法学研究会理事，荷兰RuG国际经济法与商法硕士，专注于网络法领域的研究和实务，特别是互联网产品合规、出海合规以及全球数据保护与个人信息保护合规，已为多家知名互联网公司及大中型外资企业提供专业法律服务，覆盖智能终端制造、IOT、人工智能、云计算与服务、社交网络平台、移动互联网、电子商务及平台、短视频视听直播、网络游戏、以及个人信息保护、数据安全等行业领域。

王捷律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作，拥有10年的科技型公司实务经验与中外律所从业背景，深耕海内外多条业务线。专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。她能更准确理解客户核心需求，快速响应并提供基础到战略的有效支持，并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。

王捷律师关于《中国与海外多国/地区数据保护及企业合规要点对比》的论文，在全球最高分的六篇论文中，荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖，该文章同时被评为年度隐私政策制定者 “必读” 文章。与此同时，她还是出海互联网法律观察公众号主理人，输出了多篇专业互联网与数据合规文章，部分刊登于国际知名专业数据库。

联系方式：

全球数据合规实务群

为您提供独家出海资讯、最新信息动态

与同行们一起交流时事热点、分享经典案例

尽享互联网出海法律干货

快添加主理人微信（jie-72）加入我们吧！

（入群请详细备注姓名、单位、研究领域）

【入群条件：请提出一个关于数据出境的实务问题】

近期更新：

【从零读懂】数据出境合规100问 | Part 3中篇：《数据出境安全评估办法》高频问题与适用解读

【从零读懂】数据出境合规100问 | Part 3上篇：《数据出境安全评估办法》高频问题与适用解读

【从零读懂】数据出境合规100问 | Part 2下篇：《个人信息出境标准合同规定（征求意见稿）》高频问题与适用解读