编者按：

2022年7月7日，国家互联网信息办公室发布了《数据出境安全评估办法》，办法于今年9月1日起施行。同日，中国香港个人资料私隐专员公署就办法生效发布提醒，并就办法相关内容做归纳和解读，并提醒香港企业，尤其是在内地开展业务的香港企业或机构，例如银行、保险公司和证券公司等，如符合《办法》所订明的情形，可能须按有关规定向国家网信部门申报数据出境安全评估。

内地《数据出境安全评估办法》今生效

个人资料私隐专员公署（私隐专员公署）留意到，国家互联网信息办公室（网信办）发布的《数据出境安全评估办法》（《办法》）于今日（9月1日）生效。

私隐专员公署提醒香港企业，尤其是在内地开展业务的香港企业或机构，例如银行、保险公司和证券公司等，如符合《办法》所订明的情形，可能须按有关规定向国家网信部门申报数据出境安全评估。

个人资料私隐专员（私隐专员）钟丽玲指出︰「在《办法》实施前已经开展的数据出境活动，如不符合《办法》的规定，亦须在《办法》实施起计6个月内，即2023年2月28日前，完成整改。鉴于国家网信部门处理申请可能需时，有关企业或机构应尽早了解《办法》的规定及评估《办法》对其数据出境活动的影响，作出适时的跟进和（如有需要）寻求专业意见，以符合《办法》的相关要求。」

具体而言，《办法》要求数据处理者（当中包括企业或机构）向境外提供数据，如有以下情形之一，须开展数据出境风险自评估，并须通过所在地省级网信部门向国家网信部门申报数据出境安全评估：

• 数据处理者向境外提供重要数据；

  
  

• 关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；

  
  

• 自上年1月1日起累计向境外提供10万人个人信息或1万人敏感个人信息的数据处理者向境外提供个人信息；

  
  

• 国家网信部门规定的其他需要申报数据出境安全评估的情形。

  
  

当中「重要数据」是指一旦遭到篡改、破坏、洩露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。

至于出境风险自评估，当中包括重点评估以下事项：

• 数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；

  
  

• 出境数据的规模、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；

  
  

• 境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全；

  
  

• 数据出境中和出境后遭到篡改、破坏、洩露、丢失、转移或者被非法获取、非法利用等的风险，个人信息权益维护的渠道是否通畅等；

  
  

• 与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等是否充分约定了数据安全保护责任义务；

  
  

• 其他可能影响数据出境安全的事项。

为协助有关企业或机构了解内地个人信息出境相关法规的最新发展，私隐专员公署将举办网上专题讲座，公署亦更新了内地《个人信息保护法》专题网页，提供包括《办法》在内的简介︰
https://www.pcpd.org.hk/tc_chi/data_privacy_law/mainland_law/mainland_law.html

请按此参阅《办法》全文。国家网信办亦上载了《办法》的记者会问答，就《办法》背景及内容提供更详细的解释，请按此浏览。

背景资料

内地《个人信息保护法》列明，个人信息处理者如需向境外提供个人信息，须先自行作出个人信息保护影响评估，取得当事人的单独同意，以及具备指明条件，当中包括通过国家网信部门组织的安全评估。而《办法》就如何进行数据出境安全评估（包括评估的事项、流程及期限等）提供更详细和严格的规定。

《办法》乃根据内地的《网络安全法》、《数据安全法》及《个人信息保护法》等法规而制定，以规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动。

来源：香港个人资料私隐专员公署https://www.pcpd.org.hk/sc_chi/news_events/media_statements/press_20220901.html

（完）

往期文章：

1、我国数据跨境流动治理

《数据出境安全评估申报指南》（第一版）发布（附英文全文）

2、全球数据治理观察

非洲联盟国家数据保护与数据跨境流动政策蓝图解析

美国数据隐私和保护法（ADPPA）内容简析

前沿分析|印度撤回《个人数据保护法（草案）》

英国数据保护改革|《数据保护和数字信息法案》要点

印度国家数据治理政策框架（草案）全文翻译（附草案原文）

马斯克收购Twitter交易中的数据争议

国内外数据交易模式对比分析

我们应当如何理解数据治理中的管辖权冲突？

数据交易治理：中国、欧盟和印度的发展（附报告全文）

数据访问治理：中国、欧盟和印度的发展（附报告全文）

作为经济政策的数据治理：中国、欧盟和印度的发展（附报告全文）

3、国际数据空间

【域外执法】欧盟EDPB：发布“欧洲健康数据空间”联合意见——必须确保对电子健康数据的有力保护（附意见原文）

全文首发|EDPB和EDPS就《欧洲健康数据空间条例》提案发布联合意见（中译本）

全文首发|欧盟委员会《关于欧洲共同数据空间》工作文件（中译本）

欧洲共同数据空间：进展与挑战

国际数据空间在欧洲数据战略中的作用

合作发布|国际数据空间IDS China Research Lab正式启动

合作发布|IDS — 数据自主权的标准

4、数据跨境流动治理

俄罗斯修改个人数据跨境传输程序

欧盟数据保护监督机构就欧盟-日本跨境数据流动发表意见

全文首发|美国《保护美国人免受外国监视法案》（中译本）

《个人信息出境标准合同规定（征求意见稿）》适用要点解读

英国“数据 新方向”咨询结果|促进贸易和减少数据跨境传输壁垒（第三章）

欧盟GDPR vs. APEC CBPR：数据跨境传输机制比较分析（下）

欧盟GDPR vs. APEC CBPR：数据跨境传输机制比较分析（上）

数据跨境流动的规则监管与多元治理

英美签署全球首个数据跨境取证双边协议（附全文翻译）

5、欧盟数据治理模式

欧洲议会发布数据治理研究报告

首个GDPR认证机制GDPR-CARPA详解

全文首发|欧盟委员会《关于欧洲共同数据空间》工作文件（中译本）

欧洲数据治理方式的转变：《数据治理法》

Data Act：欧盟数据访问和使用的新框架

国际数据空间在欧洲数据战略中的作用

对数据的监管如何培育数字经济创新和竞争  ——GDPR提供的共同监管工具

EDPB《关于行为守则作为数据跨境传输工具的04/2021号指南》简评（附征求意见前后对比中译本全文）

EDBP《关于对处理者具有约束力的公司规则的工作文件》中译本全文

EDBP《关于对控制者具有约束力的公司规则的工作文件》中译本全文

全文首发| 欧盟《数据法》草案中译本

欧盟的公共数据治理方案（下）

欧盟的公共数据治理方案（上）

欧盟的人工智能数据治理方案

Gaia-X:下一代数据治理基础设施

6、数据权属与数据治理之争

数据治理：数字经济竞争和数据要素流通的新路径

如何设计数据交易市场？（下）

如何设计数据交易市场？（上）

如何实现大数据价值？（下）

如何实现大数据价值？（上）

政策制定者应密切关注数据治理（下）

政策制定者应密切关注数据治理（上）

当讨论数据所有权时，我们到底在讨论什么？

没有人拥有数据？（下）

没有人拥有数据（上）

数据所有权：问题盘点与总结（下）

数据所有权：问题盘点与总结（上）

应该在欧盟引入数据生产者权利吗？（下）

应该在欧盟引入数据生产者权利吗？（上）

7、产业数据治理

如何解锁制造业数据的价值？（下）

如何解锁制造业数据的价值？（上）

车联网中的隐私与信任（下）

车联网中的隐私与信任（上）

物联网数据共享和控制的四个法律挑战