2022數(shù)據(jù)出境安全合規(guī)十個問題

1十問數(shù)據(jù)出境安全合規(guī)2021年01

回顧數(shù)據(jù)出境法律法規(guī)202

十問之應(yīng)知必會2020年1月1日施行中華人民共和國密碼法歷程回顧：“數(shù)據(jù)出境安全評估”是國家數(shù)據(jù)治理持續(xù)性工作之一中華人民共和國國家安全法個人信息出境安全評估辦法（征求意見稿）2019年6月13日頒布中華人民共和國網(wǎng)絡(luò)安全法2017年6月1日施行中華人民共和國個人信息保護法2021年11月1日施行2015年7月1日施行①

針對數(shù)據(jù)出境進行有效管理，是國家數(shù)據(jù)安全治理、數(shù)據(jù)開發(fā)利用等工作的重要內(nèi)容，同時也是國家網(wǎng)信部門一直在完善的重點工作；②

2017年的18條要求，到2019年的22條要求，再到2021年的18條，除了看到要求不斷在完善，還能從“數(shù)字”和“流程”，看到國家對數(shù)據(jù)出境安全評估這項工作的務(wù)實態(tài)度與落實決心?！拔宸ā笔钱?dāng)前國家數(shù)據(jù)安全和個人信息保護的頂層設(shè)計布局“五法”包含數(shù)據(jù)出境安全相關(guān)要求中華人民共和國數(shù)據(jù)安全法2021年9月1日施行個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）2017年4月11日頒布數(shù)據(jù)出境安全評估辦法（征求意見稿）2021年10月29日頒布網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）2021年11月14日頒布2021年9月1日施行關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例342017年：個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）中華人民共和國國家安全法中華人民共和國網(wǎng)絡(luò)安全法《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》揭開序幕個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）2017年4月11日2015年7月1日施行 2017年6月1日施行境外訪問從境外直接或間接訪問位于中國境內(nèi)的服務(wù)器查閱、調(diào)取數(shù)據(jù)的跨境企業(yè)跨境企業(yè)內(nèi)部數(shù)據(jù)流動的，向境外關(guān)聯(lián)機構(gòu)提供數(shù)據(jù)的傳輸方式通過“線上”或“線下”方式將數(shù)據(jù)傳輸至境外，或以其他方式使數(shù)據(jù)“物理”轉(zhuǎn)移到境外的過境數(shù)據(jù)不屬于“數(shù)據(jù)出境”：過境數(shù)據(jù)境外數(shù)據(jù)經(jīng)由中華人民共和國中轉(zhuǎn)，未經(jīng)任何變動或加工處理的情形不屬于數(shù)據(jù)出境下列情形屬于“數(shù)據(jù)出境”的范圍：52019年：個人信息出境安全評估辦法（征求意見稿）2019年6月13日頒布關(guān)鍵信息《個人信息出境安全評估辦法（征求意見稿）》影響深遠個人信息出境安全評估辦法（征求意見稿）2019年評估辦法給出定義個人敏感信息，是指一旦被泄露、竊取、篡改、非法使用可能危害個人信息主體人身、財產(chǎn)安全，或?qū)е聜€人信息主體名譽、身心健康受到損害等的個人信息。個人信息保護法定義敏感個人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）2021年：數(shù)據(jù)出境安全評估辦法（征求意見稿）數(shù)據(jù)出境安全評估辦法（征求意見稿）中華人民共和國個人信息保護法2021年11月1日施行2021年10月29日頒布 2021年11月14日頒布（征求意見稿）不能作為司法解釋，但可以洞察文件精神，對于企業(yè)經(jīng)營、組織管理來說，可以把工作做到前頭，避免“臨時抱佛腳”。2021年評估辦法完整度更高，邏輯縝密。從監(jiān)管抓手，到企業(yè)應(yīng)對，操作性更強。中華人民共和國數(shù)據(jù)安全法2021年9月1日施行6數(shù)據(jù)出境安全評估辦法（征求意見稿）總結(jié)構(gòu)數(shù)據(jù)出境安全評估辦法（征求意見稿）1.立法目的 2.適用范圍 3.安全評估原則4.觸發(fā)安全評估情形6.數(shù)據(jù)出境安全評估申報材料7.受理時間期限與結(jié)果反饋5.風(fēng)險自評估重點事項8.安全評估重點事項10.安全評估相關(guān)部門11.受理后完成安全評估時間13.評估材料提交注意事項12.有效期及重新申報情形715.投訴舉報機制 16.不符合要求的處理規(guī)定 17.違規(guī)法律責(zé)任 18.

施行時間9.與境外訂立合同的責(zé)任義務(wù)14.評估機構(gòu)和人員保密責(zé)任立法依據(jù)：《數(shù)據(jù)出境安全評估辦法（征求意見稿）》是網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、個人信息保護法延伸第一條

為了規(guī)范數(shù)據(jù)出境活動，保護個人信息權(quán)益，維護國家安全和社會公共利益，促進數(shù)據(jù)跨境安全、自由流動，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護法》等法律法規(guī)，制定本辦法。*

第十七條

違反本辦法規(guī)定的，依照《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護法》等法律法規(guī)的規(guī)定處理；構(gòu)成犯罪的，依法追究刑事責(zé)任?！睹艽a法》2020年1月1日起施行，提出數(shù)據(jù)保護技術(shù)手段《國家安全法》2015年7月1日通過并實施維護國家總體安全的基本法律跨境敏感個人信息兒童個人信息權(quán)利響應(yīng)《數(shù)據(jù)安全法》2021年9月1日正式施行提升國家數(shù)據(jù)安全保障能力核心數(shù)據(jù)嚴格管理數(shù)據(jù)交易中介配合調(diào)取數(shù)據(jù)分級分類重要數(shù)據(jù)風(fēng)險評估特殊類型數(shù)據(jù)汽車數(shù)據(jù)健康醫(yī)療數(shù)據(jù)測繪數(shù)據(jù)……數(shù)據(jù)本地化與跨境網(wǎng)絡(luò)安全審查和供應(yīng)鏈安全《網(wǎng)絡(luò)安全法》2017年6月1日起施行規(guī)定網(wǎng)絡(luò)安全治理道路網(wǎng)絡(luò)運行安全等級保護安全風(fēng)險處置網(wǎng)絡(luò)實名制網(wǎng)絡(luò)產(chǎn)品/服務(wù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)信息安全內(nèi)容控制憲法相關(guān)法經(jīng)濟法《個人信息保護法》2021年11月1日正式施行加速個人信息法制化進程經(jīng)濟法經(jīng)濟法行政法82021年的“評估辦法”立法依據(jù)充分，與“五法”相互呼應(yīng)。監(jiān)管范圍：重要數(shù)據(jù)和個人信息出境第二條

數(shù)據(jù)處理者向境外提供在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)和依法應(yīng)當(dāng)進行安全評估的個人信息，應(yīng)當(dāng)按照本辦法的規(guī)定進行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。屬地原則網(wǎng)絡(luò)運營者數(shù)據(jù)處理者境內(nèi)運營中收集和產(chǎn)生的境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)，應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要，確需向境外提供的{重要數(shù)據(jù)}和{依法應(yīng)當(dāng)進行安全評估的個人信息}收集的個人信息前版新版910辦法主旨：事前評估和持續(xù)監(jiān)督、風(fēng)險自評估與安全評估第三條

數(shù)據(jù)出境安全評估堅持事前評估和持續(xù)監(jiān)督相結(jié)合、風(fēng)險自評估與安全評估相結(jié)合，防范數(shù)據(jù)出境安全風(fēng)險，保障數(shù)據(jù)依法有序自由流動。不通過組織評估通過（出境前）網(wǎng)信部門會組織安全評估（出境后）網(wǎng)信部門會持續(xù)監(jiān)督①

撤銷評估結(jié)果，終止數(shù)據(jù)出境活動②

進行整改，重新申報評估風(fēng)險自評估第五條安全評估第八條：第十六條

國家網(wǎng)信部門發(fā)現(xiàn)已經(jīng)通過評估的數(shù)據(jù)出境活動在實際處理過程中不再符合數(shù)據(jù)出境安全管理要求的，應(yīng)當(dāng)撤銷評估結(jié)果并書面通知數(shù)據(jù)處理者，數(shù)據(jù)處理者應(yīng)當(dāng)終止數(shù)據(jù)出境活動。需要繼續(xù)開展數(shù)據(jù)出境活動的，數(shù)據(jù)處理者應(yīng)當(dāng)按照要求進行整改，并在整改完成后重新申報評估。：第十五條

任何組織和個人發(fā)現(xiàn)數(shù)據(jù)處理者未按照本辦法規(guī)定進行評估向境外提供數(shù)據(jù)的，可以向省級以上網(wǎng)信部門投訴、舉報。投訴舉報[2]安全事件執(zhí)法檢查數(shù)據(jù)出境管理持續(xù)監(jiān)督[1]02

十問之應(yīng)知必會1101

回顧數(shù)據(jù)出境法律法規(guī)《數(shù)據(jù)出境安全評估辦法（征求意見稿）》第四條數(shù)據(jù)處理者向境外提供數(shù)據(jù)，符合以下情形之一的，應(yīng)當(dāng)通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估。1.

關(guān)鍵信息基礎(chǔ)設(shè)施的運營者收集和產(chǎn)生的個人信息和重要數(shù)據(jù)；2.

出境數(shù)據(jù)中包含重要數(shù)據(jù)；3.

處理個人信息達到一百萬人的個人信息處理者向境外提供個人信息；4.

累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息；5.

國家網(wǎng)信部門規(guī)定的其他需要申報數(shù)據(jù)出境安全評估的情形。一問：什么情況會觸發(fā)“安全評估”？排除企業(yè)運營數(shù)據(jù)對應(yīng)《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》第三十七條數(shù)據(jù)處理者向境外提供在中華人民共和國境內(nèi)收集和產(chǎn)生的數(shù)據(jù)，屬于以下情形的，應(yīng)當(dāng)通過國家網(wǎng)信部門組織的數(shù)據(jù)出境安全評估：出境數(shù)據(jù)中包含重要數(shù)據(jù)；關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理一百萬人以上個人信息的數(shù)數(shù)量據(jù)疊處加理主者體向境外提供個人信息；國家網(wǎng)信部門規(guī)定的其它情形。法律、行政法規(guī)和國家網(wǎng)信部門規(guī)定可以不進行安全評估的，從其規(guī)定。主體維度 排除企業(yè)運營數(shù)據(jù)類別維度數(shù)量疊加主體數(shù)量疊加主體12是否屬于關(guān)基運營者？關(guān)鍵信息基礎(chǔ)設(shè)施定義關(guān)鍵信息基礎(chǔ)設(shè)施認定重要參考13反映戰(zhàn)略儲備情況支撐支撐

重點

與統(tǒng)

反映

涉及工業(yè)

行業(yè)、

計相

人口

健康生產(chǎn)領(lǐng)域關(guān)情況

醫(yī)療運行涉及食品藥品情況涉及

涉及

涉及

涉及地理

水利

地震

氣象信息

情況

情況

情況涉及環(huán)保監(jiān)測情況涉及海洋環(huán)境監(jiān)測情況涉及涉及涉及涉及出口特殊重大國家管制知識發(fā)明科技物項產(chǎn)權(quán)發(fā)現(xiàn)計劃涉及網(wǎng)絡(luò)安全，可被網(wǎng)絡(luò)攻擊者或惡涉及

意競爭者物理

利用，以攻擊網(wǎng)絡(luò)安全

系統(tǒng)或通過網(wǎng)絡(luò)發(fā)起攻擊的數(shù)

據(jù)屬于重要數(shù)據(jù)與經(jīng)濟運與人口與與自然資源與科學(xué)技與安全保護與應(yīng)用服與政務(wù)活行相關(guān)健康相關(guān)與環(huán)境相關(guān)術(shù)相關(guān)相關(guān)務(wù)相關(guān)動相關(guān)國家用戶用戶

機關(guān)委托使用

產(chǎn)生數(shù)據(jù)數(shù)據(jù)

的數(shù)據(jù)公民企業(yè)上報數(shù)據(jù)其他其他一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的非國家秘密信息，屬于重要數(shù)據(jù)是否處理了重要數(shù)據(jù)？國標(biāo)

重要數(shù)據(jù)識別指南工信部：強化車聯(lián)網(wǎng)數(shù)據(jù)出境安全管理14（十六）強化數(shù)據(jù)出境安全管理。智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)、車聯(lián)網(wǎng)服務(wù)平臺運營企業(yè)需向境外提供在中華人民共和國境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)的，應(yīng)當(dāng)依法依規(guī)進行數(shù)據(jù)出境安全評估并向所在?。▍^(qū)、市）通信管理局、工業(yè)和信息化主管部門報備。各?。▍^(qū)、市）通信管理局會同工業(yè)和信息化主管部門做好數(shù)據(jù)出境備案、安全評估等工作。15如何理解個人信息處理百萬量級？處理個人信息達到百萬人大城市（城區(qū)常住人口100至500萬的城市）截止到2019年底，中國主要的大城市包括太原、烏魯木齊、廈門、合肥、哈爾濱、大連、昆明、長春、長沙、蘇州、呼和浩特、寧波、南寧、福州、南昌、?？?、蘭州、貴陽、石家莊、銀川、西寧。據(jù)報道：2019年6月，百萬量級以上的小程序數(shù)量已達

883個，同比暴增一倍，而月活用戶超過500萬的小程序數(shù)量也增長到了1

8

0

個，

同比增長35.3%。關(guān)于個人信息和敏感個人信息？十萬人以上個人信息一萬人以上敏感個人信息第二十八條

敏感個人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。*

引用自《個人信息保護法》姓名身份證號電話疾病就診日期地址緊急聯(lián)系人指紋藥物劉**14***********37135*********炎*月*日**省**市馬**8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92**霉素**林16表A.1

/

B.1引自：GB/T

35273

信息安全技術(shù)

個人信息安全規(guī)范去標(biāo)識化后個人信息要不要申報？“安全評估”與《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》中的“安全審查”有何區(qū)別？2021年7月發(fā)布的《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》擴大了現(xiàn)行《網(wǎng)絡(luò)安全審查辦法》的適用范圍，將數(shù)據(jù)處理活動納入網(wǎng)絡(luò)安全審查范圍，并將“核心數(shù)據(jù)、重要數(shù)據(jù)或大量個人信息被竊取、泄露、毀損以及非法利用或出境的風(fēng)險”列入主要考慮因素之中。網(wǎng)絡(luò)安全審查與數(shù)據(jù)出境安全評估的區(qū)別為：171、制度的落腳點和目的《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》第二條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，數(shù)據(jù)處理者開展數(shù)據(jù)處理活動，影響或可能影響國家安全的，應(yīng)當(dāng)按照本辦法進行網(wǎng)絡(luò)安全審查。而《評估辦法》第二條指出，

網(wǎng)絡(luò)運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)，應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照本辦法進行安全評估。2、審查/評估的內(nèi)容數(shù)據(jù)出境安全評估主要圍繞數(shù)據(jù)出境風(fēng)險展開，而數(shù)據(jù)出境風(fēng)險只是網(wǎng)絡(luò)安全審查的部分內(nèi)容。3、監(jiān)管部門網(wǎng)絡(luò)安全審查是由中央網(wǎng)絡(luò)安全和信息化委員會領(lǐng)導(dǎo)，特別設(shè)立網(wǎng)絡(luò)安全審查辦公室；而數(shù)據(jù)出境安全評估由國家網(wǎng)信部門主導(dǎo)，并未設(shè)置常設(shè)機構(gòu)。18二問：安全評估流程？第五條第七條第六條第八條第十條第八條第九條第十三條第十六條第十五條第十一條第十二條第十四條負責(zé)數(shù)據(jù)出境安全評估的部門有哪些？國家網(wǎng)信部門負責(zé)數(shù)據(jù)出境的安全評估。國家網(wǎng)信部門受理數(shù)據(jù)出境安全評估申報的，將組織行業(yè)主管部門、國務(wù)院有關(guān)部門（例如公安部門）、省級網(wǎng)信部門、專門機構(gòu)等進行安全評估。涉及重要數(shù)據(jù)出境的，國家網(wǎng)信部門將征求相關(guān)行業(yè)主管部門意見。國家網(wǎng)信部門國家網(wǎng)信部門行業(yè)主管部門行業(yè)主管部門國務(wù)院有關(guān)部門（例如公安部門）國務(wù)院有關(guān)部門（例如公安部門）省級網(wǎng)信部門省級網(wǎng)信部門專門機構(gòu)專門機構(gòu)19三問：安全評估如何申報？條款關(guān)鍵詞解讀（一）申報書；（二）數(shù)據(jù)出境風(fēng)險自評估報告；（三）數(shù)據(jù)處理者與境外接收方擬訂立的合同或者其他具有法律效力的文件等（以下統(tǒng)稱合同）；（四）安全評估工作需要的其他材料。申報書統(tǒng)一模板自評估報告提前實施，提前準(zhǔn)備[1]合同法律聲明：本合同會提交***，審核其他材料網(wǎng)信部門管理材料；過程文檔或其它佐證20[1]：第七條

國家網(wǎng)信部門自收到申報材料之日起七個工作日內(nèi)，確定是否受理評估并以書面通知形式反饋受理結(jié)果。第六條

申報數(shù)據(jù)出境安全評估，應(yīng)當(dāng)提交以下材料：四問：自評估報告內(nèi)容？第五條

數(shù)據(jù)處理者在向境外提供數(shù)據(jù)前，應(yīng)事先開展數(shù)據(jù)出境風(fēng)險自評估，重點評估以下事項：條款關(guān)鍵詞解讀（一）數(shù)據(jù)出境及境外接收方處理數(shù)據(jù)的目的、范圍、方式等的合法性、正當(dāng)性、必要性；目的、范圍、方式業(yè)務(wù)使命…（二）出境數(shù)據(jù)的數(shù)量、范圍、種類、敏感程度，數(shù)據(jù)出境可能對國家安全、公共利益、個人或者組織合法權(quán)益帶來的風(fēng)險；數(shù)量、范圍、種類、敏感程度、風(fēng)險風(fēng)險分析…（三）數(shù)據(jù)處理者在數(shù)據(jù)轉(zhuǎn)移環(huán)節(jié)的管理和技術(shù)措施、能力等能否防范數(shù)據(jù)泄露、毀損等風(fēng)險；管理和技術(shù)手段管理：組織、人員、制度、流程…技術(shù)：加密、去標(biāo)識化、數(shù)字水印…（四）境外接收方承諾承擔(dān)的責(zé)任義務(wù)，以及履行責(zé)任義務(wù)的管理和技術(shù)措施、能力等能否保障出境數(shù)據(jù)的安全；接收方承諾、管理和技術(shù)合同，罰則，技術(shù)條件…（五）數(shù)據(jù)出境和再轉(zhuǎn)移后泄露、毀損、篡改、濫用等的風(fēng)險，個人維護個人信息權(quán)益的渠道是否通暢等；個人信息權(quán)益維護通道投訴渠道，安全保證金…（六）與境外接收方訂立的數(shù)據(jù)出境相關(guān)合同是否充分約定了數(shù)據(jù)安全保護責(zé)任義務(wù)。爭議解決條款合同條款細則2122對應(yīng)《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》第三十九條數(shù)據(jù)處理者向境外提供數(shù)據(jù)應(yīng)當(dāng)履行以下義務(wù)：（三）采取合同等有效措施監(jiān)督數(shù)據(jù)接收方按照雙方約定的目的、范圍、方式使用數(shù)據(jù)，履行數(shù)據(jù)安全保護義務(wù)，保證數(shù)據(jù)安全；五問：合同要求有哪些？第九條

數(shù)據(jù)處理者與境外接收方訂立的合同充分約定數(shù)據(jù)安全保護責(zé)任義務(wù)，應(yīng)當(dāng)包括但不限于以下內(nèi)容：條款關(guān)鍵詞解讀（一）數(shù)據(jù)出境的目的、方式和數(shù)據(jù)范圍，境外接收方處理數(shù)據(jù)的用途、方式等；目的、范圍、方式合同關(guān)鍵項（二）數(shù)據(jù)在境外保存地點、期限，以及達到保存期限、完成約定目的或者合同終止后出境數(shù)據(jù)的處理措施；保存地點、期限（三）限制境外接收方將出境數(shù)據(jù)再轉(zhuǎn)移給其他組織、個人的約束條款；出境數(shù)據(jù)再轉(zhuǎn)移（四）境外接收方在實際控制權(quán)或者經(jīng)營范圍發(fā)生實質(zhì)性變化，或者所在國家、地區(qū)法律環(huán)境發(fā)生變化導(dǎo)致難以保障數(shù)據(jù)安全時，應(yīng)當(dāng)采取的安全措施；接收方側(cè)變化后，安全措施（五）違反數(shù)據(jù)安全保護義務(wù)的違約責(zé)任和具有約束力且可執(zhí)行的爭議解決條款；爭議解決條款（六）發(fā)生數(shù)據(jù)泄露等風(fēng)險時，妥善開展應(yīng)急處置，并保障個人維護個人信息權(quán)益的通暢渠道。個人信息權(quán)益維護通道*

第十四條

參與安全評估工作的相關(guān)機構(gòu)和人員對在履行職責(zé)中知悉的國家秘密、個人隱私、個人信息、商業(yè)秘密、保密商務(wù)信息等數(shù)據(jù)應(yīng)當(dāng)依法予以保密，不得泄露或者非法向他人提供。六問：安全評估內(nèi)容與關(guān)注要點？條款關(guān)鍵詞解讀（一）數(shù)據(jù)出境的目的、范圍、方式等的合法性、正當(dāng)性、必要性；合理性查報告、合同（二）境外接收方所在國家或者地區(qū)的數(shù)據(jù)安全保護政策法規(guī)及網(wǎng)絡(luò)安全環(huán)境對出境數(shù)據(jù)安全的影響；境外接收方的數(shù)據(jù)保護水平是否達到中華人民共和國法律、行政法規(guī)規(guī)定和強制性國家標(biāo)準(zhǔn)的要求；評估數(shù)據(jù)接收方的環(huán)境接收地審核（三）出境數(shù)據(jù)的數(shù)量、范圍、種類、敏感程度，出境中和出境后泄露、篡改、丟失、破壞、轉(zhuǎn)移或者被非法獲取、非法利用等風(fēng)險；風(fēng)險分析是否完備查報告（四）數(shù)據(jù)安全和個人信息權(quán)益是否能夠得到充分有效保障；個人權(quán)益保障查報告、合同（五）違反數(shù)據(jù)安全保護義務(wù)的違約責(zé)任和具有約束力且可執(zhí)行的爭議解決條款；爭議解決條款查合同（六）遵守中國法律、行政法規(guī)、部門規(guī)章情況；關(guān)聯(lián)法規(guī)審核查其它材料（七）國家網(wǎng)信部門認為需要評估的其他事項。關(guān)聯(lián)法規(guī)審核查其它材料第十條

國家網(wǎng)信部門受理申報后，組織行業(yè)主管部門、國務(wù)院有關(guān)部門、省級網(wǎng)信部門、專門機構(gòu)等進行安全評估。涉及重要數(shù)據(jù)出境的，國家網(wǎng)信部門征求相關(guān)行業(yè)主管部門意見。第八條

數(shù)據(jù)出境安全評估重點評估數(shù)據(jù)出境活動可能對國家安全、公共利益、個人或者組織合法權(quán)益帶來的風(fēng)險，主要包括以下事項：對應(yīng)《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》第四十條境外提供個人信息和重要數(shù)據(jù)的數(shù)據(jù)處理者，應(yīng)當(dāng)在每年1月31日前編制數(shù)據(jù)出境安全報告，向設(shè)區(qū)的市級網(wǎng)信部門報告上一年度以下數(shù)據(jù)出境情況：（一）全部數(shù)據(jù)接收方名稱、聯(lián)系方式；（二）出境數(shù)據(jù)的類型、數(shù)量及目的；（三）數(shù)據(jù)在境外的存放地點、存儲期限、使用范圍和方式；（四）涉及向境外提供數(shù)據(jù)的用戶投訴及處理情況；（五）發(fā)生的數(shù)據(jù)安全事件及其處置情況；（六）數(shù)據(jù)出境后再轉(zhuǎn)移的情況；（七）國家網(wǎng)信部門明確向境外提供數(shù)據(jù)需要報告的其他事項。2324七問：安全評估時長？第七條

國家網(wǎng)信部門自收到申報材料之日起七個工作日內(nèi)，確定是否受理評估并以書面通知形式反饋受理結(jié)果。第十一條

國家網(wǎng)信部門自出具書面受理通知書之日起四十五個工作日內(nèi)完成數(shù)據(jù)出境安全評估；情況復(fù)雜或者需要補充材料的，可以適當(dāng)延長，但一般不超過六十個工作日。評估結(jié)果以書面形式通知數(shù)據(jù)處理者。第十三條

數(shù)據(jù)處理者應(yīng)當(dāng)按照本辦法的規(guī)定提交評估材料，材料不齊全或者不符合要求的，應(yīng)當(dāng)及時補充或者更正，拒不補充或者更正的，國家網(wǎng)信部門可以終止安全評估；數(shù)據(jù)處理者對所提交材料的真實性負責(zé)，故意提交虛假材料的，按照評估不通過處理。向境外提供個人信息和重要數(shù)據(jù)的數(shù)據(jù)處理者設(shè)區(qū)的市級網(wǎng)信部門編制數(shù)據(jù)安全評估報告每年1月31日前報送22個工作日7個工作日60個工作日通知通過整改不受理準(zhǔn)備受理評估《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》《數(shù)據(jù)出境安全評估辦法（征求意見稿）》八問：安全評估有效期？第十二條

數(shù)據(jù)出境評估結(jié)果有效期二年。在有效期內(nèi)出現(xiàn)以下情形之一的，數(shù)據(jù)處理者應(yīng)當(dāng)重新申報評估：（一）向境外提供數(shù)據(jù)的目的、方式、范圍、類型和境外接收方處理數(shù)據(jù)的用途、方式發(fā)生變化，或者延長個人信息和重要數(shù)據(jù)境外保存期限的；（二）境外接收方所在國家或者地區(qū)法律環(huán)境發(fā)生變化，數(shù)據(jù)處理者或者境外接收方實際控制權(quán)發(fā)生變化，數(shù)據(jù)處理者與境外接收方合同變更等可能影響出境數(shù)據(jù)安全的；（三）出現(xiàn)影響出境數(shù)據(jù)安全的其他情形。有效期屆滿，需要繼續(xù)開展原數(shù)據(jù)出境活動的，數(shù)據(jù)處理者應(yīng)當(dāng)在有效期屆滿六十個工作日前重新申報評估。未按本條規(guī)定重新申報評估的，應(yīng)當(dāng)停止數(shù)據(jù)出境活動。25數(shù)據(jù)出境管理要變成組織或公司數(shù)據(jù)安全中重要工作，常態(tài)性工作九問：和我的企業(yè)有關(guān)嗎？關(guān)鍵信息基礎(chǔ)設(shè)施運營者重要數(shù)據(jù)一百萬人十萬人以上一萬人以上26通信、信息服務(wù)、能源、交通、水利、金融…跨國業(yè)務(wù)與合作跨國貿(mào)易跨國結(jié)算國際物流國際航班……與經(jīng)濟運行相關(guān)、與人口與健康相關(guān)、與自然資源與環(huán)境相關(guān)、

與科學(xué)技術(shù)相關(guān)、與安全保護相關(guān)、與應(yīng)用服務(wù)相關(guān)、與政務(wù)活動相關(guān)

…跨國業(yè)務(wù)與合作國際聯(lián)合醫(yī)療聯(lián)合科學(xué)實驗室多國公司……處理個人信息達到一百萬人的個人信息處理者向境外提供個人信息；跨國業(yè)務(wù)與合作某地級市“智慧城市APP”，提供境外商品代購服務(wù)母嬰用品APP，外包境外精準(zhǔn)營銷分析公司，提供數(shù)據(jù)分析……累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息；跨國業(yè)務(wù)與合作跨境旅游留學(xué)務(wù)工在線外語培訓(xùn)職業(yè)資質(zhì)認證……在企業(yè)有跨國業(yè)務(wù)或跨國合作前提下，需要深入分析，審核業(yè)務(wù)中數(shù)據(jù)流轉(zhuǎn)，確認是否有重要數(shù)據(jù)和需要保護的個人信息跨境流轉(zhuǎn)。27未經(jīng)安全評估即進行數(shù)據(jù)出境活動的，會受到什么處罰？《數(shù)據(jù)出境安全評估辦法（征求意見稿）》第十七條違反本辦法規(guī)定的，依照《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護法》等法律法規(guī)的規(guī)定處理；構(gòu)成犯罪的，依法追究刑事責(zé)任?！毒W(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征）》第六十四、六十五、六十六條第六十四條數(shù)據(jù)處理者違反第三十五條、第三十六條、第三十七條、第三十九條第一款、第四十條、第四十二條的規(guī)定，由有關(guān)部門責(zé)令改正，給予警告，暫停數(shù)據(jù)出境，可以并處十萬元以上一百萬元以下罰款，對直接負責(zé)的主管人員和其他直接責(zé)任人員可以處一萬元以上十萬元以下罰款；情節(jié)嚴重的，處一百萬元以上一千萬元以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照，對直接負責(zé)的主管人員和其他直接責(zé)任人員處十萬元以上一百萬元以下罰款。第六十五條違反本條例第三十九條第二款的規(guī)定，未經(jīng)主管機關(guān)批準(zhǔn)向外國司法或者執(zhí)法機構(gòu)提供數(shù)據(jù)的，由有關(guān)主管部門給予警告，可以并處十萬元以上一百萬元以下罰款，對直接負責(zé)的主管人員和其他直接責(zé)任人員可以處一萬元以上十萬元以下罰款；造成嚴重后果的，處一百萬元以上五百萬元以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照，對直接負責(zé)的主管人員和其他直接責(zé)任人員處五萬元以上五十萬元以下罰款。第六十六條個人和組織違反第四十一條的規(guī)定，由有關(guān)主管部門責(zé)令改正，給予警告、沒收違法所得；拒不改正的，處違法所得一倍以上十倍以下的罰款，沒有違法所得的，對直接負責(zé)的主管人員和其他直接負責(zé)人員，處五萬元以上五十萬元以下罰款；情節(jié)嚴重的，由有關(guān)主管部門依照相關(guān)法律、行政法規(guī)的規(guī)定，責(zé)令其暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照；構(gòu)成犯罪的，依照相關(guān)法律、行政法規(guī)的規(guī)定處罰?！稊?shù)據(jù)安全法》第四十六條違反本法第三十一條規(guī)定，向境外提供重要數(shù)據(jù)的，由有關(guān)主管部門責(zé)令改正，給予警告，可以并處十萬元以上一百萬元以下罰款，對直接負責(zé)的主管人員和其他直接責(zé)任人員可以處一萬元以上十萬元以下罰款；情節(jié)嚴重的，處一百萬元以上一千萬元以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照，對直接負責(zé)的主管人員和其他直接責(zé)任人員處十萬元以上一百萬元以下罰款?！毒W(wǎng)絡(luò)安全法》第六十六條關(guān)鍵信息基礎(chǔ)設(shè)施的運營者違反本法第三十七條規(guī)定，在境外存儲網(wǎng)絡(luò)數(shù)據(jù)，或者向境外提供網(wǎng)絡(luò)數(shù)據(jù)的，由有關(guān)主管部門責(zé)令改正，給予警告，沒收違法所得，處五萬元以上五十萬元以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照；對直接負責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款。違反本法規(guī)定處理個人信息，或者處理個人信息未履行本法規(guī)定的個人信息保護義務(wù)的，由履行個人信息保護職責(zé)的部門責(zé)令改正，給予警告，沒收違法所得，對違法處理個人信息的應(yīng)用程序，責(zé)令暫?；蛘呓K止提供服務(wù)；拒不改正的，并處一百萬元以下罰款；對直接負責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款。有前款規(guī)定的違法行為，情節(jié)嚴重的，由省級以上履行個人信息保護職責(zé)的部門責(zé)令改正，沒收違法所得，并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、通報有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營業(yè)執(zhí)照；對直接負責(zé)的主管人員和其他直接責(zé)任人員處十萬元以上一百萬元以下罰款，并可以決定禁止其在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級管理人員和個人信息保護負責(zé)人?！秱€人信息保護法》第六十六條我的企業(yè)怎么干？馬上就干！28①

較多的業(yè)務(wù)（跨國）本身需要提供身份認證、數(shù)據(jù)交換等，考慮到安全評估時長與周期，馬上著手是“上上策”結(jié)合上一頁，要好好評估，是否有數(shù)據(jù)跨境且屬于《數(shù)據(jù)出境安全評估辦法（征求意見稿）》監(jiān)管范圍。②

注意“評估辦法”

不是60分萬歲?！霸u估方法”的本質(zhì)是：指導(dǎo)企業(yè)完善數(shù)據(jù)出境合規(guī)，最終保護個人信息權(quán)益，維護國家安全和社會公共利益，這是法律紅線！對于企業(yè)，實際要做的比法律紅線更好?、?/p>

自證安全（無責(zé)）和惡意訴訟。數(shù)據(jù)動態(tài)流轉(zhuǎn)特性，和數(shù)字經(jīng)濟時代數(shù)據(jù)資產(chǎn)特性，企業(yè)必然需要經(jīng)營和運營重要數(shù)據(jù)和個人信息，而且要求企業(yè)充分做好事前自評估安全性，要做到自證安全，事后做到可證無責(zé)。同時，在數(shù)據(jù)跨進成為常態(tài)情況下，企業(yè)考慮到不法分子惡意利用法律法規(guī)發(fā)起惡意訴訟。④

數(shù)據(jù)出境如其它網(wǎng)絡(luò)安全、數(shù)據(jù)安全工作理念一致，務(wù)必把握兩個重要原則：“應(yīng)盡職責(zé)”、“應(yīng)盡關(guān)注”。我的企業(yè)怎么干—管理角度三定：定人、定崗、定責(zé)29本身管理、技術(shù)、運營的數(shù)據(jù)安全手段很多，但作為經(jīng)營者、數(shù)據(jù)（個人信息）處理者，應(yīng)當(dāng)捫心自問，做到心中有數(shù)。我的企業(yè)怎么干—技術(shù)角度核心手段：加