《数据出境安全评估办法（征求意见稿）》要点简述

2021年10月29日，国家互联网信息办公室发布《数据出境安全评估办法（征求意见稿）》（以下简称“《评估办法草案》”），并向社会公开征求意见至2021年11月28日。

《评估办法草案》分别规定了“安全评估”与“风险自评估”的相关要求，前者是指按要求向监管机关申报的评估，后者是数据处理者自行开展的内部评估。适用的对象既包括关键信息基础设施的运营者，也包括处理个人信息和重要数据的一般处理者。

《评估办法草案》的要点如下：

一、安全评估要求

1、触发申报的五种具体情形

根据《评估办法草案》，数据处理者向境外提供数据，在如下情形中应当申报数据出境安全评估：（1）关键信息基础设施的运营者收集和产生的个人信息和重要数据；（2）出境数据中包含重要数据；（3）处理个人信息达到一百万人的个人信息处理者向境外提供个人信息；（4）累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息；（5）国家网信部门规定的其他情形。其中第（3）项和第（4）项是《个人信息保护法》（以下简称“《个保法》”）出台后首次明确涉及个人信息出境安全评估的标准。

数据出境评估结果有效期为二年。在有效期内如有重大变更（例如境外接收方处理数据的用途、方式发生变化），应当重新申报评估。

2、重点评估的七大事项

《评估办法草案》规定了安全评估重点评估数据出境活动的七大事项：

(1) 合法、正当、必要原则。数据出境的目的、范围、方式等的合法性、正当性、必要性。

(2) 境外接收方的数据保护水平。境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响；境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规规定和强制性国家标准的要求。

(3) 总体风险。出境数据的数量、范围、种类、敏感程度，出境中和出境后泄露、篡改、丢失、破坏、转移或者被非法获取、非法利用等风险。

(4) 数据安全和个人信息权益保障。数据安全和个人信息权益是否能够得到充分有效保障。

(5) 数据出境相关合同。数据处理者与境外接收方订立的合同中是否充分约定了数据安全保护责任义务。

(6) 法律遵守情况。遵守中国法律、行政法规、部门规章情况。

(7) 其他事项。国家网信部门认为需要评估的其他事项。

3、主管机关

数据处理者应当通过所在地省级网信部门向国家网信部门申报安全评估。国家网信部门受理申报后，组织行业主管部门、国务院有关部门、省级网信部门、专门机构等进行安全评估。

4、申报材料和流程

申报数据出境安全评估，应当提交申报书、数据出境风险自评估报告、数据处理者与境外接收方拟订立的合同或者其他具有法律效力的文件等，以及安全评估工作需要的其他材料。

国家网信部门自出具书面受理通知书之日起45个工作日内完成安全评估；情况复杂或者需要补充材料的，可以适当延长，但一般不超过60个工作日。评估结果以书面形式通知数据处理者。

二、自评估要求

无论数据处理者的数据出境活动是否触发安全评估申报的要求，其在向境外提供数据前均应事先开展数据出境风险自评估。自评估的重点评估事项与安全评估要求相对类似，包括：（1）数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；（2）出境带来的总体风险；（3）数据转移风险；（4）境外接收方的责任义务；（5）出境后续风险；（6）与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务。

三、其他重点要求

《评估办法草案》要求数据处理者与境外接收方订立的合同应充分约定数据安全保护责任义务，并明确列举了合同所应包括的主要内容。目前尚不清楚《个保法》第38条项下的“国家网信部门制定的标准合同” 是否即对应该条款关于合同内容的规定。

四、我们的观察

随着《个保法》的落地实施，《个保法》中涉及到的关于数据出境的条款将成为企业合规的重要内容之一。《评估办法草案》为企业的数据出境合规工作的开展提出了进一步明确的要求。建议企业结合《评估办法草案》的要求进一步考虑《个保法》的合规安排。