重要数据出境及个人信息出境是企业跨境运营的常见场景，无论是因为贸易、投资、业务合作而可能产生的跨境数据交互，还是跨国公司内部管控需要而差生的跨境数据交互和个人信息转移，都是维系正常经贸投资活动的基础。我国《网络安全法》、《数据安全法》、《个人信息保护法》确立了重要数据和个人信息出境的安全评估制度，但是对于安全评估流程、评估具体要求并未明确规定。如果申请、如何实施安全评估，一直是困扰企业的重要问题。

2021年10月29日，国家互联网信息办公室（以下简称“网信办”）发布《数据出境安全评估办法（征求意见稿）》（以下简称“本次征求意见稿”）并公开征求意见。

在《网络安全法》（2016年11月7日发布；2017年6月1日生效）第一次规定了数据跨境的安全评估要求后，网信办分别于2017年4月11日和2019年6月13日发布《个人信息和重要数据出境安全评估办法（征求意见稿）》及《个人信息出境安全评估办法（征求意见稿）》（以下统称“旧征求意见稿”）。但由于《数据安全法》和《个人信息保护法》尚未颁布及生效，正式推出数据出境安全评估制度体系的条件并不成熟。

随着《数据安全法》和《个人信息保护法》相继出台，法律依据逐步明晰，社会对于企业数据跨境问题的关注度也是达到了前所未有的高度。在这一立法基础与背景下，征求意见稿的及时推出，有利于规范数据出境活动，其内容值得存在数据跨境场景的企业给予重视，以便提前做好准备。

相比于旧征求意见稿，本次征求意见稿在“规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益”的基础上增加了“促进数据跨境安全、自由流动”的目标（本次征求意见稿第一条）。

这一表述与《数据安全法》第一条相比（为了规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益，制定本法），也存在一定的差异。

本次征求意见稿对于“促进数据跨境安全、自由流动”的规定，体现了国家对于“风险防范”和“开发利用”的同等重视，但“安全”仍然是“自由”的前提。

经历了旧征求意见稿从“个人信息和重要数据出境”合并立法，到“个人信息出境”与“重要数据出境”分别立法的变化后，本次征求意见稿采用了对“个人信息与重要数据出境”合并立法的方式（本次征求意见稿第二条）。整合了《网络安全法》《数据安全法》《个人信息保护法》对于出境安全评估的要求，对于数据出境制度的统一适用打下了基础。

1、需要安全评估的情形

本次征求意见稿规定的应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估的情形一共五种（本次征求意见稿第四条），除第五种兜底条款外，分别从主体和数据种类来确定，区分主体是否是关键信息基础设施的运营者，数据是否包含重要数据，以及从个人信息角度判断处理的个人信息是否达到一百万人或者累计向境外提供的个人信息是否超过十万人/敏感个人信息是否超过一万人。各情形具体是：

（一）关键信息基础设施[1]的运营者收集和产生的个人信息和重要数据；

（二）出境数据中包含重要数据[2]；

（三）处理个人信息达到一百万人的个人信息处理者向境外提供个人信息；

（四）累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息；

（五）国家网信部门规定的其他需要申报数据出境安全评估的情形。

2、个人信息数量标准的法律意义

（1）一百万人的个人信息问题

上述规定中的第三种情形可以理解为《个人信息保护法》提及的“处理个人信息达到国家网信部门规定数量的个人信息处理者”。一百万人的个人信息，可能会成为个人信息处理活动对国家安全影响判断的重要标准。如2021年7月10日发布的《网络安全审查（修订版征求意见稿）》，即规定处理个人信息达到一百万人的个人信息处理者国外上市，必须通过网络安全审查，其中提到的审查关注项包括“核心数据、重要数据或大量个人信息被非法利用或出境的风险”。

（2）累计提供超过十万人以上个人信息的问题

上述规定中的第四种情形采用的是“累计数量”的表述，这一表述在《个人信息保护法》中没有直接对应的条款。按照《个人信息保护法》第三十八条的规定，对于普通的个人信息处理者，可以在安全评估、个人信息保护认证、签订标准合同中选择其中一种出境方式。“累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息”的规定可以理解是《个人信息保护法》第三十八条所规定得“法律、行政法规或者国家网信部门规定的其他条件”。此外，上述情形未单独区分国家机关向境外提供个人信息的情形。

关于“累计向境外提供超过十万人以上个人信息”这一表述的缘由，笔者认为可能存在对于个人信息与重要数据“竞合”的考虑。

需要注意的是，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部于2021年8月16日发布了《汽车数据安全管理若干规定（试行）》，该规定已经于2021年10月1日生效。该规定中，对于“重要数据”的界定，即包括“涉及个人信息主体超过10万人的个人信息”。由此可见，监管部门认为，十万人的个人信息，本身具有重要数据的属性。对于累计向境外提供超过十万人以上个人信息，除了个人信息出境的考虑外，也有重要数据出境管控的内在逻辑。

（3）出境安全评估情形的法条对比

另附根据《网络安全法》《数据安全法》《个人信息保护法》的规定，对于应当进行安全评估的情形归纳：

表 不同法律中关于数据跨境安全评估的要求对比

本次征求意见稿也吸收了旧征求意见稿中关于自评估的要求。在本次征求意见稿中，自评估是所有涉及向境外提供数据的数据处理者应当履行的义务（本次征求意见稿第五条）。且数据出境安全评估中应当提交的材料也包括数据出境风险自评估报告。本次征求意见稿明确的材料除自评估报告外还包括申报书、数据处理者与境外接收方拟订立的合同或者其他具有法律效力的文件、安全评估工作需要的其他材料（本次征求意见稿第六条）。

自评估的要求与安全评估有对应关系，梳理如下：

通过上述对应关系的梳理可以看出除了数据处理者本身的管理、技术措施、能力外，自评估的重点同时也是安全评估的重点。此外，安全评估会从更宏观的领域评估合法合规性以及境外国家或者地区的数据安全保护政策、法规及网络安全环境对出境数据安全的影响。

针对在评估材料中提及的数据处理者与境外接收方拟订立的合同，本次征求意见稿对其应当包括的内容，也做出了要求（本次征求意见稿第九条），这些要求应当作为合同的必备条款，也与自评估、安全评估的要求相关联，可以作为评估重点事项的基础依据，具体如下：

（一）数据出境的目的、方式和数据范围，境外接收方处理数据的用途、方式等；

（二）数据在境外保存地点、期限，以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施；

（三）限制境外接收方将出境数据再转移给其他组织、个人的约束条款；

（四）境外接收方在实际控制权或者经营范围发生实质性变化，或者所在国家、地区法律环境发生变化导致难以保障数据安全时，应当采取的安全措施；

（五）违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款；

（六）发生数据泄露等风险时，妥善开展应急处置，并保障个人维护个人信息权益的通畅渠道。

对于数据出境签订的合同，需要注意的是与《个人信息保护法》第三十八条的衔接问题。《个人信息保护法》第三十八条规定个人信息出境可以通过签订网信部门制定的标准合同实现数据出境目的。

三十八条规定的签订合同情形，针对的是不需要进行数据出境安全评估的个人信息处理者，通过签订合同，给与个人信息处理者在个人信息出境方面更大的自由度。这里所说的标准合同，与本次征求意见稿第九条对于合同内容的指引应属于不同概念。

根据本次征求意见稿第四条至第十一条的规定，笔者将完整的安全评估工作流程梳理如下：

图 数据出境安全评估流程图

数据出境评估结果有效期二年。有效期内发生特定情形应当重新申报评估，有效期届满，需要继续开展原数据出境活动的，数据处理者应当在有效期届满六十个工作日前重新申报评估。未重新申报评估的，应当停止数据出境活动（本次征求意见稿第十二条）。

未履行数据出境安全评估义务的，需要适用《网络安全法》《数据安全法》《个人信息保护法》的规定（本次征求意见稿第十七条），相关法律责任梳理如下（刑事责任需要结合《刑法》判断，下表未包含）：

本次征求意见稿是对《网络安全法》、《数据安全法》、《个人信息保护法》中关于数据出境制度的细化，将不同类型数据跨境的安全评估要求进行了整合，为自评估和安全评估工作的开展确定了方向。企业与其他主体应密切关注本次征求意见的后续修订或颁布，以便合理规划自身的数据出境活动。