从规则到实操，数据出境安全评估如何落地

2022-10-12

编者按：

自2016年《网络安全法》首次提出数据出境安全评估的要求后，历时五年《数据出境安全评估办法》于今年9月1日正式实施，同时8月31 号国家网信办出台第一版申报指南，为我国数据出境提供了可操作、可落实的规制指引。

关于新规的落地细则及企业的申报要点，仍是实务中跨国企业和出海企业的数据合规难点。

本文从数据出境安全评估操作实务角度出发，围绕安全评估的适用情形、工作流程和材料准备展开探讨，并对照企业各业务领域与应用场景进行分析，以期为企业开展数据出境安全评估工作提供参考和借鉴。

一、数据出境安全评估三大疑难点

（一）数据出境情形之“出境”

滴滴出行平台在美国上市之后，我国修订了《网络安全审查办法》，将网络安全审查的范围扩大到了掌握超过100万条用户个人信心的网络平台运营者赴国外上市。海外上市是否属于数据出境？数据出境安全评估与网络安全审查二者之间的关系是什么？国内掌握大体量个人信息的公司在国外上市是否属于数据出境？

对于上述问题，实际存在着两种观点。

第一个观点，赴海外上市做网络安全审查不属于数据出境。因为《网络安全法》、《数据安全法》、《个人信息保护法》都没有明确地规定海外上市属于出数据出境。而且这三大法只提到数据出境时需要安全评估，而没有说上市也需要安全评估。

第二个观点，赴海外上市做网络安全审查属于数据出境。因为网络安全审查的重点评估对象里提到核心数据、重要数据，大量的个人信息如果存在被窃取、泄露等非法利用、非法出境的风险，则是网络安全审查的重点评估对象。

同时上市可能会产生境外政府控制、恶意利用国内的关键信息、基础设施核心数据、重要数据，大量个人信息的风险。

其实上述两种观点都有一定的道理，通过区分数据出境的广义和狭义的概念就可以将这两种观点在逻辑上结合起来。

广义上的数据出境包括：

1.海外上市。《网络安全审查办法》第7条，“掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。”

2.境外司法/执法机构调取。《数据安全法》第36条明确规定，“非经我国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于我国境内的数据。”

3.境外收集。《个人信息保护法》第3条2款，“在中华人民共和国境外处理中华人米共和国境内自然人个人信息的活动，有下列情形之一的，适用本法：（一）以向境内自然人提供产品或者服务为目的；（二）分析、评估境内自然人的行为；（三）法律、行政法规规定的其他情形。”

4.境外总部或者运营中心、研发中心。《网络数据安全管理条例（征求意见稿）》第13条，“大型互联网平台运营者在境外设立总部或者运营中心、研发中心，应当向国家网信部门和主管部门报告。”

狭义上的数据出境指：“向境外提供”

《网络安全法》第37条，“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。”

《个人信息保护法》第28条，“个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一……”

《数据出境安全评估办法》第2条，“数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估，适用本办法。”

不论是广义还是狭义的数据出境，都有一个共同的特点，因为数据关系国家安全、社会公共利益、个人权益，而数据只要出境就不受我们国家法律管辖，所以国家安全、公共利益、个人利益会面临威胁且很难有救济手段或者补救措施。因此数据出境属于高风险的数据处理行为。

（二）数据出境情形之“向境外提供”

在业务中遇到的“向境外提供”常见场景：

1.境内A给境外B。这是最传统、最直接的向境外提供场景。

2.境外B访问境内A。境内 A 的信息没有主动提供到境外，但是A给境外的 B访问国内云盘的权利。国家网信办在记者会上明确此种情形属于向境外提供。

3.境内A将数据传输至境外自己控制的服务器。从理论上看，在这一场景中没有明确的境外接收方，境外服务器的运营商既没有控制权，也没有访问权，所以就不属于数据跨境。但是《数据出境安全评估申报指南》明确规定，数据处理者将境内运营和收集产生的数据传输存储至境外属于数据出境。

4.境内A带电脑去境外。此种场景，数据只是物理上出境，但还在A的控制范围内。

5.境内A给境内B，但路由至境外。

6.境外数据过境中国。

对于后三种情况，监管部门暂时还没有明确是否属于“向境外提供”。

需要提醒的是，境内 A 把数据传给境内B的外资企业不属于向境外提供，因为数据并没有跨境，境内B虽然是外资企业，但它是中国法人，属于中国法管辖，所以风险还是可控的。

（三）数据出境之“安全评估”

《数据出境安全评估办法》第4条规定，数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：

1.数据处理者向境外提供重要数据。

2.关键信息基础设施运营者向境外提供个人信息。

3.处理100万人以上个人信息的数据处理者向境外提供个人信息。

4.年累计向境外提供10万个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息。

5.国家网信部门规定的其他需要申报数据出境安全评估的情形。

第2、3种情况，只关注主体条件而不关注数量条件。第4种情况，更关注客体数量条件。

企业在申报时如何判定数据是否是重要数据、敏感个人信息？如何判断数量？从实务的角度可提供的建议有：

（1）不同行业中重要数据的具体呈现的会有所不同。企业一般对自己行业比较了解，多多少少都能对自己企业处理哪些数据比较敏感有一个初步判断。企业还可找行业主管部门咨询，或者找外部的中介机构给出分析意见。

（2）认定关键信息基础设施运营者可以参考《关键信息基础设施安全保护条例》。

（3）认定敏感个人信息可以参考国家标准。传统的国家标准IGB/T 35273-2020可以参考。

关于数量标准，以企业整体为准，而不单看业务线。而有多个关联公司的集团公司，关联公司之间数据共享，则对数据总额的认定就需要进行案情评估。

① 如果公司因为共享其他关联公司的数据而超过评估门槛就需要做安全评估。

② 如果关联公司之间有签署协议，或者公司内部章程明确约定关联公司之间数据不共享，是独立的法人、独立的运营数据，那理论上监管部门不会以整个集团的总额来计算，而是以独立的公司来计算。

二、数据出境安全评估的工作流程

（一）企业安全评估申报的具体工作流程

如果企业判断需要做安全评估，第二步就需要做申报准备，其中包括准备自评估报告。当准备完所有资料之后，就需要向省级网信部门提交资料。省级网信部门需要在5个工作日内完成完备性审查，之后又交到国家网信部门决定是否受理。

如果不受理，就看看是否可以进行标准合同认证，如果连标准合同认证都不需要做的话，可能压根不是个人信息。

如果受理，国家网信部门进行安全评估的时间最长能达到45个工作日。安全评估通过之后就可以出境了。如果未通过，终止出境。企业有权利申请复评，复评通过也可出境。

对于已经过安全评估、已出境的数据还有三种情况需要进行再评估：

第一种情况，评估两年到期需要再评估。

第二种情况，没达到两年，如果发生重大变化，比如目的变更，或者是接收方改变，也需要再评估。

第三种情况，出境的活动与实质不相符也需要再评估。

（二）安全评估申报流程中需要注意的问题

第一，省级网信部门进行完备性审查主要审查材料的齐全和是否具备申报指南中的一些条款要求。剩下资料当中实质内部审查，则交给国家网信部门。

第二，企业的自评估报告需要申报之前三个月以内完成。

第三，材料比较完整的情况需遵循上述流程图中规定的具体时间。但如果情况比较复杂，最后适用于45个工作日，因材料缺失被退回补全的，网信部门有权适当延长评估时间。

第四，材料上交后可以跟省级网信部门时常沟通审查进度问题或资料问题。

第五，对于符合安全评估申报标准但未申报的企业，会面临严重的行政处罚。（有的企业会认为如果不进行申报，监管部门也不一定会发现，但是《数据出境安全评估办法》第16条规定，“任何组织和个人发现数据处理者违反本办法向境外提供数据的，可以向省级以上网信部门举报。”这也意味着企业的竞争对手有可能去举报。所以在公开、透明的市场经济环境下，仍会面临很大风险。）

三、数据出境安全评估的申报材料

（一）安全评估申报材料的颗粒度要求

数据处境安全评估旨在控制数据出境后的风险，换句话说，它希望确保境外接收方能够提供同等水平的数据保护。理解了安全评估底层逻辑后，在申报时能让审查部门了解到整个出境场景、数据类型、保护措施就可以了。在时间允许的情况下，介绍的颗粒度要稍微细一些，以免进一步补充资料。

（二）安全申报材料需要包括哪些文件

《数据出境安全评估办法》第6条规定，申报数据出境安全评估，应当提交以下材料：

1.申报书。申报书包括承诺书、申报表

2.数据出境风险自评估报告。

自评估报告不是个人信息的安全影响评估报告，但如果企业做了 PIA，在个人信息场出境的场景下，可以在自评报告当中大量借鉴。

3.数据处理者与境外接收方拟订立的法律文件。

法律文件不是标准合同，因为这里的法律文件，它不一定非是合同，也可以是公司的内部章程。但是标准合同里的很多条款实际上跟评估办法当中要求的法律文件很类似。所以我们在做法律文件的时候，建议大家参考国内出的标准合同意见稿中的条款。

标准合同还面临合同签完但最后安全评估没通过，境外买家诉违约。其实可以有两种做法：

（1）签合同时生效，安全评估结果作为合同解除条件，如果安全评估没通过合同自动解除。

（2）签署时合同成立，但是附条件生效。

4.安全评估工作需要的其他材料

其他证明材料支撑前面的三个文件，比如企业拿到了网络或数据安全的认证，或者是专业机构做的评估认证，都可以拿出来作为其他材料提供。

（三）监管部门在审核材料过程中是如何落实真实性、完整性、准确性、有效性要求

1.真实性

《数据出境安全评估申报指南（第一版）》有一个具体的要求，“数据处理者对提交材料的真实性负责，提交虚假材料的，按照评估不通过处理，并依法追究相应法律责任。”《数据出境安全评估办法》中有“故意”，而《指南》中删去了“故意”，体现了网信部门对于提供材料的真实性提高了要求。

2.完整性

《指南》中没有规定什么叫完整性，但是在实务当中，整个申报的准备过程时间长、工作量大，所以企业尽量一次性提供完整的材料，以免被要求补充材料，耽误时间，可能会对企业业务的开展造成影响。

3.准确性

企业在填报申报书时，要核对法律名称，数据处理者信息，接收方信息，企业代码与章等是否一致。如果准确性有问题，可能通不过省级网信部门的完备性审查。

4.有效性

（1）自评估的报告有效性不能太长，不能超过3个月

（2）在申报过程中，申报的实质内容不能发生重大变化

（3）注意授权委托书的有效期问题，留足充分的时间，以防补交材料后委托书失效

（4）注意涉外法律文件的签字或盖章时间是否明确、有效

写在最后

数据跨境活动是全球的监管难点、热点，国际社会上也不断出台各种监管规定，特别是规定关于数据跨境流动的制度，包括中国最近签署的RCEP协定（《区域全面经济伙伴关系协定》）也有关于数据跨境流动的条款。但是以安全评估进行监管的方式不多见，但是标准合同却是比较常见的手段。

本文作者：  

声明：

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。