泰和泰研析丨《数据出境安全评估办法》正式发布！企业需关注以下合规要点（附征求意见稿对比表）

2022年7月7日，网信办正式发布《数据出境安全评估办法》（以下简称“《办法》”），对此前的《数据出境安全评估办法（征求意见稿）》（以下简称“征求意见稿”）加以调整和完善，对数据出境最严格的合规路径「安全评估」给出明确指引。

《办法》共二十条，相较征求意见稿增加两条，分别是：第十九条「重要数据」的定义，第十三条新增数据处理者对安全评估结果申请「复评」的权利。除此之外，《办法》重点对评估适用情形、评估事项、评估程序、数据出境合同内容、安全评估制度过渡期等做出规定。我们认为，经营跨境业务、从事数据出境活动的企业应务必重视本《办法》，关注其中的合规事项，充分履行合规义务。

《办法》第四条 数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：

（一）数据处理者向境外提供重要数据；

（二）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；

（三）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；

（四）国家网信部门规定的其他需要申报数据出境安全评估的情形。

《办法》第四条明确了4种应当申报数据出境安全评估的情形，结合了数据种类、数据处理者类型、涉及个人信息主体人数等判断维度，简言之：

1.数据种类：涉及重要数据必须申报。

对重要数据的判断可以参照《信息安全技术 数据出境安全评估指南（征求意见稿）》附录A《重要数据识别指南》。该指南将行业领域作为大类，与《网络安全法》第三十一条规定的关键信息基础设施（CIIO）的定义思路基本一致，主要关注公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的相关数据。整体而言，CIIO与重要数据有着密不可分的相关关系。

2.数据种类+个人信息主体人数：个人信息所涉主体人数达标则须申报。

随着《办法》正式发布，①按个人信息主体人数标准而不是按数据数量标准；②1万人/10万人/100万人三个数量级，此二问题尘埃落定。企业应尽快核实自身情况，如符合标准，则在数据出境活动前，应严格履行申报「安全评估」义务。

值得特别关注的是，相较于征求意见稿，《办法》限定了1万人/10万人两个累计标准的时间跨度，即“自上年1月1日起累计”，也就是说，最短一年、最长两年清零一次。

对于用户规模较小，但是信息出境频率较高的企业，可在申报「安全评估」时间选择上稍加留意；对于用户数量规模较小且出境频率低的企业，这一限制则可能会使其免于严格「安全评估」，实现降低合规成本、提升经营效率。

3.数据处理者类型：CIIO。

《办法》第五条 数据处理者在申报数据出境安全评估前，应当开展数据出境风险自评估，重点评估以下事项：（五）与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等（以下统称法律文件）是否充分约定了数据安全保护责任义务；

《办法》第八条 数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险，主要包括以下事项：（五）数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务；

1.定稿出境合同待通过评估后再“盖章”

此次《办法》相较于征求意见稿有两处细节调整值得关注：在第五条「企业自评估」事项和第八条「安全评估」事项中“订立的出境合同/法律文件”之前增加一个“拟”字。这两处调整再次强调了「安全评估」是数据出境的前置程序。也就是说，在「企业自评估」阶段，企业就应该与境外接收方磋商确定待签的出境合同，在提交给网信部门「安全评估」前，出境合同应当是基本定稿且符合我国政策法规的状态，尤其是其中关于数据安全保护责任义务的部分，评估确定通过后，相关条款不得实质变更，然后再“盖章”订立合同。

在《答记者问》中，网信办也建议相关企业：如果已经先行签订了法律文件，建议在文件中注明“此文件须在通过数据出境安全评估后生效”，避免可能未通过评估而造成损失。换言之，企业亦可以采用附条件生效合同的方式，订立数据出境合同。但无论如何，通过评估前，企业不得擅自进行数据出境。

2.「标准合同」+「安全评估」双保险。

无论是「企业自评估」还是「安全评估」，《办法》均将数据处理者与境外接收方拟订立的数据出境合同（法律文件）作为重点评估事项。虽然此处并未使用「标准合同」的表述，但是可以想见，安全评估时必然会参照网信部制定的《标准合同》。此外，《办法》第九条也规定了出境合同至少应包含的内容，与上周刚刚发布的《个人信息出境标准合同（征求意见稿）》内容基本重合。

因此，采用《标准合同》或将成为通过「安全评估」的一个必要条件。虽说数据出境合规路径 “三选一”，但在申报「安全评估」路径下，「标准合同」+「安全评估」双保险是一个更为稳妥的选择。这也意味着，企业将面临「标准合同」项下其作为境内输出方承担连带责任、受制于第三方受益人制度等方面的责任和义务。

当然，需要注意的是，目前的《标准合同》仅针对「个人信息」出境，我国尚未有针对「重要数据」的标准合同。「重要数据」可能与「个人信息」出境标准合同中的“第三方受益人制度”等内容有不适配问题，因此，也期待网信部门进一步制定其他类型的《标准合同》。在此之前，仍建议企业将「个人信息」出境标准合同作为范本。

《办法》第八条 数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险，主要包括以下事项：（二）境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响；境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求；

《办法》第十四条 通过数据出境安全评估的结果有效期为2年，自评估结果出具之日起计算。在有效期内出现以下情形之一的，数据处理者应当重新申报评估：（二）境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的；

欧盟GDPR第五章对数据跨境转移做出规定，提供了充分性决定（adequacy decision）、适当安全保障措施（appropriate safeguards）、克减情形（derogations）三大类重要的合规跨境转移途径。其中，充分性决定是欧盟委员会对第三国或国际组织保护个人信息水平达到欧盟同等标准的整体性认可，该决定会评估境外接收方所在国个人信息保护政策法规等因素。

在《个人信息出境标准合同规定（征求意见稿）》中，我们发现，网信办规定数据处理者和境外接收方应当对境外接收方所在国家或者地区的个人信息保护政策法规进行评估，并作为个人信息保护影响评估报告（PIA）的一部分，提交网信部门备案。但在我国没有类似于充分性决定（adequacy decision）的整体“白名单”制度的现状下，单一企业完成此类评估的压力过大，很难完成此种量级的评估和背书。

但此次《办法》明确了网信部门应当重点评估“境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响”。如果由国家网信部门层级完成该项评估工作，则有望在大概十几次出境评估后形成几个典型境外国家或者地区的「政策法规和网络安全评估结果」，该等结果如果公示，则将成为「企业自评估」以及「人信息保护影响评估」的重要指引和依据。由此，我国版充分性决定（ADEQUACY DECISION）“白名单”有望逐渐呈现。

《办法》细化了数据出境评估的具体流程，如下图：

1.相较于征求意见稿，新增省级网信部门「完备性查验」

相较于征求意见稿，《办法》多设置了一项前置性程序，即由省级网信部门在5个工作日内完成完备性查验，材料齐全则报送国家网信部门；不齐全则退回一次性告知补全。从5个工作日的期限和处理方式来看，该程序属于形式审查，并不开展实质「安全评估」，主要是审查企业提交的申报材料：申报书、「企业自评估」报告、拟订立的法律文件等是否齐全。

2.取消延长“一般不超过六十个工作日”的限制

对于情况复杂、材料需要补充或更正的情况，国家网信部门可在45个工作日的基础时限之外，适当延长评估时间。此前征求意见稿规定适当延长“一般不超过六十个工作日”，《办法》取消了这一限制，评估所需时间上限无法预估。

我们认为，企业在申报「安全评估」时，为提高企业自身经营效率，可从以下方面着手争取缩短评估时间：

《办法》第六条规定的申报书、「企业自评估」报告、拟订立的法律文件等均应具备，尽量不因为形式原因导致返工。

该报告将会是网信部门开展「安全评估」的重要抓手，建议企业委托专业机构或专业人士协助开展「企业自评估」并形成报告。报告应符合所涉跨境业务的真实情况、清晰梳理业务流和数据流、全面呈现所涉及的数据处理活动（应包含是否转委托、是否再传输至第三国等重要影响因素），以便网信部门能够准确把握评估重点，节省工作时间。

《标准合同》由国家网信部门制定，全面覆盖《办法》对于法律文件的要求（第九条），直接采用《标准合同》作为数据出境的法律文件既可以减轻企业的工作量，也将更容易达到网信部门要求。

毋庸置疑，我国数据安全已上升至国家安全高度，因此，CIIO和其他涉及重要数据的企业必须以国家安全为第一要旨，配合评估，并做好属于复杂情况、评估期限长的预期。

3.增加对评估结果的「复评」救济程序，但「复评」结果即最终结论

《办法》第十三条 数据处理者对评估结果有异议的，可以在收到评估结果15个工作日内向国家网信部门申请复评，复评结果为最终结论。

根据该规定，数据处理者可提起「复评」申请。但是，一方面，无疑「复评」程序将再次延长整个安全评估的流程；另一方面，对于其中“复评结果为最终结论”的规定，笔者存在疑问。这里的“复评结果为最终结论”是否意味着该结果可以免受司法审查？是否意味着「安全评估结果」与「复评结果」均不属于行政诉讼的受案范围？进一步，「安全评估结果」的性质是否也存在一定的疑问？其是否属于行政许可？如果不属于，那么，其作为一项前置性审批程序又是何种性质呢？该等问题均值得进一步研究和明确，受限于本文主旨和篇幅，不在此做详细讨论。

《办法》第十四条 通过数据出境安全评估的结果有效期为2年，自评估结果出具之日起计算。在有效期内出现以下情形之一的，数据处理者应当重新申报评估：

（一）向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的，或者延长个人信息和重要数据境外保存期限的；

（二）境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的；

（三）出现影响出境数据安全的其他情形。

有效期届满，需要继续开展数据出境活动的，数据处理者应当在有效期届满60个工作日前重新申报评估。

根据上述规定，「安全评估结果」并非一次性永久有效。简而言之，有两种情况需要重新评估：其一，结果出具之日起满2年；其二，「安全评估结果」依据的重点评估事项发生变化影响出境数据安全的。

在2年有效期届满前，如果数据处理者需要继续开展数据出境活动的，则应当在有效期届满前的60个工作日前重新申报评估。这里的60个工作日基本覆盖了“5+7+45+适当延长”，且二次评估工作量通常会有所下降，因此提前申报基本可以保障数据处理者跨境业务的连续性。

《办法》第二十条 本办法自2022年9月1日起施行。本办法施行前已经开展的数据出境活动，不符合本办法规定的，应当自本办法施行之日起6个月内完成整改。

《办法》于2022年7月7日发布，将于2022年9月1日起施行，同时，第二十条新增了企业的「过渡整改期」，从现在起算，企业有近8个月的时间可以做出应对，我们建议如下：

• 对于2022年9月1日前已经开展的数据出境活动，企业应当首先着手开展「企业自评估」，自行整改并准备相关材料后，着手向所在地省级网信部门申报「安全评估」。虽然仍有近8个月的时间，但考虑到“5+7+45+适当延长+复评”，如果企业有存量数据出境活动，则建议尽快采取行动。

• 对于即将开展数据出境活动的企业，则应按照相关标准判断自身符合「安全评估」、「专业机构认证」和「标准合同」中的哪一类型。如果属于应当通过「安全评估」的，则所涉业务筹备之时起，就应当严格按照《办法》的规定，「企业自评估」+《标准合同》齐上阵，最大限度避免之后的「安全评估」过程再返工、整改，影响效率。

最后，附《数据出境安全评估办法》与征求意见稿对比表，以供参考:

郑晓霖 律师

业务领域：科技与大数据、公司商务、娱乐文化

往期文章推荐

ARTICAL