国家网信办2022年7月发布的《数据出境安全评估办法》（简称“《评估办法》”）于10月正式实施，从《评估办法》发布以来，不少企业对其业务模式是否涉及数据出境、出境自评估及申报安全评估如何操作等产生疑问。11月1日广东省互联网信息办公室正式开通数据出境安全评估申报通道，接收广东省数据处理者提交的申报材料，由于企业自评估是第一步，故本文从实际操作的角度来讲述企业如何开展数据出境自评估工作，供相关企业的参考。

一、先判断是否涉及数据出境

企业开展自评估的前提是自身业务开展过程中的数据有出境情况，如无，则无需向网信部门申报安全评估，更无需开展自评估。企业可根据以下3点判断业务数据是否涉及出境。

1.是否跨越不同的司法管辖区？

首先，数据并非实体物品，故数据出境并非物理上跨越国家边境，而是从一国司法管辖区域转移到另一国司法管辖区域，其背后是法律制度和保护水平的差异。在该标准下，香港、澳门、台湾地区与我国大陆地区司法制度不同，如数据接收方在香港、澳门、台湾地区，也构成数据出境，本文中“我国”特指我国大陆地区，下同。

同理，即便在我国境内，如数据接收方在外国驻华使领馆，也属于数据出境。

2.是否在我国境内运营中收集和产生的数据？

并非所有从我国境内出境的数据都受到限制，《评估办法》限制的是“向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息”。显然，“运营”含义很广，《评估办法》又没有进一步解释，具体该如何理解？

2017年《信息安全技术 数据出境安全评估指南（征求意见稿）》（简称“《出境评估指南意见稿》”）规定的“境内运营”是指在我国境内开展业务，提供产品或服务的活动。结合《个人信息保护法》第3条，“境内运营”可理解为：（1）有注册的运营实体在境内开展业务；（2）没有注册实体，但在我国境内开展业务，提供产品或服务的活动，如以人民币作为结算货币；向中国境内配送物流等；（3）在我国境内处理在我国境内产生的重要数据和自然人的个人信息。

也就是说，在境内未经任何处理，或进行过处理但不在我国境内收集和产生的数据，不受《评估办法》的限制，如数据仅经由我国中转，而未经任何变动或加工处理的，虽跨越不同的司法管辖区，但不视为数据出境。此外，向境外提供已被依法公开披露的数据也不属于数据出境。

3.是否向境外“提供”？

在满足上述两个判断标准的情况下，从行为角度看，还要关注是否对外“提供”，如何理解“提供”？

国家网信办2022年8月31日发布的《数据出境安全评估申报指南（第一版）》中的“数据出境”是指：（1）数据处理者将在境内运营中收集和产生的数据传输、存储至境外；（2）数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出。

从上述规定来看，“提供”需要扩大解释范围，包括主动向境外提供，也包括被动传输。

同时需要注意，国家网信办上述的列举无法涵盖实践中所有“提供”的情形。实际上，认定为“向境外提供”，需要把握一个原则，只要企业的数据能够被境外获取，无论通过何种途径，都可能构成对外提供。

二、看是否触发安全自评估

如果经过初步判断符合我国法律语境下的数据出境，也并非全部企业都需要申报出境安全评估，只有在满足下列情形之一，企业才触发《评估办法》项下的安全自评估，具体根据以下3点进行判断。

1.看出境数据类型

首先，根据《评估办法》，如果出境的是重要数据，严格来说，此类数据出境⼀律均需申报政府安全评估，自评估更不用提。

出境数据是否包含重要数据？如何判断什么是重要数据？

《评估办法》指出“重要数据”是指“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。”

而《信息安全技术 重要数据识别指南(2022.1)征求意见稿》指出“重要数据”不包括国家秘密和个人信息，但基于海量个人信息形成的统计数据、衍生数据，有可能属于重要数据。

从上述规定来看，除关键信息基础设施运营者企业以外，具体到每个行业的企业业务中数据是否属于重要数据，没有明确规定，企业要具体结合相关标准在具体业务场景下具体评估，可参考2017年《出境评估指南意见稿》和《重要数据识别指南征求意见稿》中具体列举行业和重要数据识别的标准。

2.看主体类型

关键基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供数据，需进行申报评估；

关键信息基础设施运营者出境任何数据均需申报评估，但100万人以上个人信息的主体向境外提供一条个人信息是否需要申报安全评估？从规定来看，确实需要，但一律适用的话，对于出境风险很低的场景，如跨国集团内部人力资源管理的需要涉及个别员工信息跨境都要申报安全评估，则企业合规成本会很高。

3.看出境数据量

根据《评估办法》，自上一年起累计处理10万人个人信息或1万人敏感个人信息的数据处理者出境时需要申报安全评估。

综上，只要满足以上任何一个情况，都要申报安全评估，同时，结合《个人信息保护法》第40条，《评估办法》澄清了数据本地存储义务主体范围，即除关键信息基础运营者外，处理100万人个人信息和上一年起累计处理10万人个人信息或1万人敏感个人信息的数据处理者规定将数据储存在我国境内。

三、成立自评估小组

承前述，若企业评估自身可能触发安全自评估的情况下，需要开展自评估工作。具体执行时，建议企业成立自评估工作组，一般来说，企业自评估工作组需要至少三个层面人员：

第一，决策层。主要由企业高管和企业数据安全负责人组成，负责发起和动员自评估项目，并为自评估项目提供资源支持和自评估项目有关的采购、整改等决策。

第二，经办团队层。主要由企业法务部门、外部律师、数据安全部门和IT部门负责人组成，负责具体开展和实施自评估项目。

第三，辅助配合层。由具体场景下的业务部门和运维等部门等人员负责配合经办团队层进行自评估项目。

四、识别数据出境场景和梳理出境数据类型

成立工作组之后，首先需着手梳理因业务需要数据出境的场景和所涉及的数据类型，这里的出境场景不仅指企业对外业务场景，还包括内部因业务及其他事项而涉及的出境场景，均需要全面核查。

案例一：很多跨国企业日常办公使用的软件系统、数据库的服务器或云端均部署在境外总公司。如前述，这种情况下，一旦境内员工使用该系统产生的数据就是直接存储在境外服务器，那企业所有在系统内操作形成的数据都构成出境，在此情况下，企业需要进一步核查哪些数据构成需要申报评估。

案例二：一家专门提供运动健身服务的跨国企业开发健身软件，为用户提供运动辅助及相关监测等服务，其主要收集和处理用户运动相关数据，包括但不限于心率、睡眠信息、步数、运动数据、体重、BMI等信息。软件信息系统使用境内云服务商的服务器，此种情况下，业务线的用户数据并未构成出境，但跨国企业中国子公司内部工作使用的OA系统服务器位于海外总公司，使用该系统的部分数据构成出境。

因此，企业需要根据自身情况对可能构成的出境场景和数据类型进行核查。

梳理完数据出境场景和数据类型之后，企业需分别从合规管理、数据安全管理和数据安全技术三个方面的现状进行调查梳理。具体为：

（1）合规管理现状：需要梳理国内数据出境法律法规要求，境外接收方、中转方数据保护法律法规水平，各方签订的数据处理协议、数据出境标准合同等。

（2）数据安全管理现状：数据安全管理组织机构、数据安全管理制度、数据安全应急机制、数据安全负责人、个人信息保护负责人等。

（3）数据安全技术现状：收集、存储、传输、共享、删除、销毁等数据全生命周期管理中所采用的技术措施，如数据去标识化、匿名化技术措施等。

五、自评估要点

企业完成识别数据出境场景和梳理数据出境类型并对现状有了充分了解和调查后，对出境数据进行分析评估，整理形成自评估报告初稿。根据《评估办法》第5条规定，自评估主要涉及4点内容。

1.数据出境的合法性、正当性、必要性分析

这是数据出境合法基础，不满足合法、正当和必要原则的数据不得出境，具体来说，出境企业需检视数据出境目的、范围、方式是否合法、正当、必要。合法性体现包括：是否属于法律法规禁止，是否属于国家网信部门、公安机关和安全部门等认为不能出境；正当性体现包括：数据来源、权利来源是否具有合法基础；必要性体现包括：数据出境场景和所涉数据类型的业务功能是否为履行合同或内部开展业务所必须，是否最小必要等。

2.数据出境类型、规模和范围分析

具体表现为对数据主体、数据量、数据类型、收集方式、处理频率、出境方式等方面进行分析，其中个人信息重点关注是否涉及个人敏感信息，具体可参见《个人信息安全规范》附录B。对于个人信息之外的数据，重点识别是否重要数据，参见《重要数据识别指南》。

在此基础上分别对数据出境可能带来损害国家安全、公共利益、个人或者组织合法权益等的风险进行分析。

3.出境方和境外接收方承诺和安全保障能力分析

重点关注境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、水平能力等是否保障出境数据的安全；与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等是否充分约定了数据安全保护责任义务。

可以细分为分别对数据出境合同条款（数据主体权益保障和维权渠道、争议解决、罚则等）、境内外方主体资格（组织形式、资质证明、股权、控制权和境外主管部门基本情况）、境内外两方管理制度保障能力（安全制度、管理人员、审计机制、应急处置）、境内外两方技术手段保障能力（数据安全事件预防、软硬件、网络和运维服务商等）等内容进行分析。

4.出境风险管理措施

评估数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险，个人信息权益维护的渠道是否通畅等，具体可以结合境外接收方所在国家法律和政治环境、接收方是否发生数据安全事件、接收方的经营情况、数据主体投诉渠道等综合因素分析。

六、形成风险评估报告并整改

完成前述每一项自评估分析后，在满足数据出境合法、正当和必要的大前提下，根据数据出境方和接收方的法律文件（如根据法律法规等更新数据处理协议、隐私政策和重新签署相关文件）、管理能力（根据法律法规等补充优化组织和管理机制）、技术能力（根据法律法规和实践需要优化技术措施）评估结果出现的风险点，进行快速整改并将风险降至最低。完成整改后，需再次更新风险自评估报告，最后形成可以用于向网信部门申报安全评估的自评估报告。

律师简介

苏耀云  专职律师

执业证号：14401201710401320

专注领域：涉互联网纠纷争议解决、隐私和个人信息保护、数据安全与合规、政府监管合规等

广东省社会组织总会法工委互联网专业组委员，荣获2020年度广州市律师协会业务成果奖、理论成果奖，曾经或正在为华南地区多家互联网新型平台企业提供诉讼、咨询和合规专项法律服务，包括广州某运动科技平台公司合规调查和整改专项法律服务、深圳某数据服务公司商业模式合规整改项目、广州某医药集团公司网络销售平台合规专项法律服务等。

*声明：本站对所有原创、转载、分享的内容、陈述、观点判断均保持中立，推送文章仅供读者参考。本站发布的文章、图片等版权归作者享有，如需转载原创文章，或因部分转载作品、图片的作者来源标记有误或涉及侵权，请通过留言方式联系本站运营者。谢谢！