1. 个人信息与重要数据出境的监管模式从合到分，从分到合

《评估办法》全名“《数据出境安全评估办法》”，顾名思义，即对包括“个人信息”和“重要数据”在内的数据出境安全评估进行规定。《评估办法》没有分别就个人信息和重要数据的出境制订规则，而是采用合并规定，统一监管的模式。从立法进程来看，个人信息与重要数据出境的监管模式经历了从合到分，从分到合的变化。早期，《网络安全法》、《个人信息和重要数据出境安全评估办法（征求意见稿）》和国家标准《信息安全技术 数据出境安全评估指南（草案）》均对个人信息和重要数据的跨境传输进行合并规定。但随后《个人信息出境安全评估办法（征求意见稿）》、《数据安全法》以及《个人信息保护法》则选择单独规定个人信息或重要数据的出境规则。而近期发布的《数据出境安全评估办法（征求意见稿）》和《网络数据安全管理条例（征求意见稿）》又重新回归了个人信息和重要数据出境的统一监管模式。直至《评估办法》于昨日（7月7日）发布，最终确立了统一监管模式，整合了《网络安全法》、《数据安全法》及《个人信息保护法》中关于数据出境安全评估的要求。

统一监管模式的确立，意味着个人信息和重要数据的出境评估问题将采用一套制度和标准。对于企业而言，将减轻因个人信息和重要数据分别立法、单独监管可能增加的合规负担。

2. 评估主体从关键信息基础设施运营者扩大到特定数据处理者

《评估办法》第二条规定，“数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估，适用本办法。法律、行政法规另有规定的，依照其规定。”根据《评估办法》的规定，数据出境安全评估的评估主体为出境重要数据和达到一定条件的个人信息的“数据处理者”。在已生效的《网络安全法》、《数据安全法》及《个人信息保护法》中，均只明确“关键信息基础设施运营者”（以下简称“CIIO”）向境外提供个人信息和重要数据需进行安全评估。但是，一方面此前陆续发布并公开征求意见的数据出境相关规则均将安全评估的评估主体范围扩大到CIIO外的其他网络运营者；另一方面，一些特定行业的管理规定已突破了数据出境安全评估仅适用于CIIO的规定，例如《汽车数据安全管理若干规定（试行）》规定，重要数据出境需经安全评估。

因此，本次《评估办法》顺应了安全评估适用范围扩大的趋势，并摒弃了前两稿中使用的“网络运营者”表述，转而使用“数据处理者”这一表述。该变化的原因可能是前两稿分别于2017年和2019年发布，当时的上位法《网络安全法》中采用了“网络运营者”的概念，从而前两稿也与其保持一致。而2021年陆续颁布的《数据安全法》《个人信息保护法》使用了“数据处理者”和“个人信息处理者”的表达。《评估办法》描述数据出境规则，使用“数据处理者”的概念则更加准确。

关于什么是“数据处理者”，《评估办法》未进行定义。参考《网络数据安全管理条例（征求意见稿）》中对“数据处理者”的定义，数据处理者是指“在数据处理活动中自主决定处理目的和处理方式的个人和组织。”因此，在数据委托处理引起的数据出境场景下（如企业使用部署在境外服务器上的SaaS系统进行员工报销管理），尽管受委托方（SaaS服务提供商）实际实施了数据出境活动（数据存储于境外服务器），但由于无法决定处理目的和处理方式，数据出境安全评估的主体将不包括该受委托方，而是使用该服务的企业。

3. 自评估与主管部门评估相结合

《评估办法》第三条规定，“数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合，防范数据出境安全风险，保障数据依法有序自由流动。”相比较于此前《个人信息出境安全评估办法（征求意见稿）》中要求所有个人信息出境均经过主管部门安全评估的“一刀切”模式，采用风险自评估与主管部门评估相结合的评估模式更合理，更具可操作性。

《评估办法》第五条规定，“数据处理者在申报数据出境安全评估前，应当开展数据出境风险自评估”。该条明确了数据出境风险自评估作为申报数据出境安全评估的前置流程。在之前《评估办法》的征求意见稿中，关于数据出境风险自评估适用范围的规定为“数据处理者在向境外提供数据前，应事先开展数据出境风险自评估”。对此，不少观点认为，应理解为数据出境风险自评估适用于所有的数据出境场景，不论是否涉及个人信息和重要数据的出境，只要存在数据出境，数据处理者都应开展数据出境风险自评估。但这种将数据出境风险自评估扩大适用的观点明显与《评估办法》第二条所规定的该办法适用范围（针对数据处理者向境外提供重要数据和个人信息）以及历次征求意见稿中聚焦个人信息和重要数据的监管态度不符。而本次《评估办法》不仅对于自评估的适用进行了明确规定，而且限于“数据处理者申报数据出境安全评估”的情形。也就是说，只有在触发主管部门评估的情况下，数据处理者才有自评估的义务。尽管如此，自评估对于企业了解数据出境安全及合规风险仍有重要意义。

4. 主管部门评估的触发条件

数据出境在什么情况下需申报主管部门评估，成为数据出境规则的核心问题。此前公布的数据出境规则围绕数据出境安全评估触发条件这一问题，进行了多次尝试。本次《评估办法》整合、呼应了《网络安全法》、《数据安全法》和《个人信息保护法》中的相关规则，从数据类型、主体类型、数据规模等角度最终确立了四项触发条件，以下就将逐一对这四项条件进行简要分析。

(1) 数据处理者向境外提供重要数据；

该条件基于出境数据的类型，呼应了《数据安全法》中对于重要数据加强保护的要求。根据《数据安全法》的规定，各地区、各部门应当确定本地区、本部门以及相关行业、领域的重要数据具体目录。因此，重要数据的识别规则和各行业、领域的重要数据目录亟待发布。

(2) 关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；

该条件前半部分从主体类型出发，来源于《网络安全法》第三十七条关于CIIO向境外提供个人信息和重要数据需经安全评估的要求。

后半部分基于处理数据的规模，即当个人信息处理者“处理个人信息达100万人”时，不论出境的数据量多少，数据处理者均需要申报数据出境安全评估。

关于“100万人”的门槛设定，容易联想到《网络安全审查办法》中对掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须申报网络安全审查的规定。因此，网络平台运营者赴国外上市，可能同时触发网络安全审查和数据出境安全评估。

(3) 自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；

与上一条考虑处理数据的规模不同，该条则是基于出境数据的规模，当出境个人信息或敏感个人信息达到一定规模时，数据处理者需申报数据出境安全评估；而未达到规定数量时，则无需申报。

“10万人以上个人信息”和“1万人以上敏感个人信息”的门槛设置回应了《个人信息保护法》第四十条中关于“处理个人信息达到国家网信部门规定数量的个人信息处理者”出境个人信息应当通过国家网信部门组织的安全评估的要求。

需注意的是，该条件采用了累计计算的方法。即使单次数据出境未满足该条件，但如多次数据出境活动的数据量合计满足该条件，即需要申报安全评估。但该条也设置了累计计算的期限，即“自上年1月1日起”。因此，对于一些数据出境具有规律性且出境规模不大的企业来说，例如跨国企业普遍存在的因使用服务器在境外的办公、HR、邮件等系统引起的个人信息出境问题，如果传输出境的个人信息数量在最长2年的期限内处于《评估办法》所规定的门槛之下，则不需申报安全评估。

(4) 国家网信部门规定的其他需要申报数据出境安全评估的情形。

该条虽是兜底，但也有限制。数据出境安全评估与网络安全审查不同，网信办不能主动发起，而是依申请的行为。对于《评估办法》未提及的情形，除非国家网信部门制定规则，否则网信部门不能基于个案要求开展评估，该兜底条款必须具有规范性而不具有个案干预性质。

5. 安全评估的评估重点

《评估办法》的第五条和第八条分别列举了数据出境风险自评估和主管部门评估的评估重点，具体如下：

注：风险自评估与主管部门评估的评估重点中的主要差异以红色标注。

6. 安全评估流程

《评估办法》第七、十二、十三条描述了主管部门评估的流程。具体而言，主管部门评估可分为：受理 – 评估 – 复评 三个阶段。

(1) 受理

省级网信部门应当自收到申报材料之日起5个工作日内完成完备性查验。申报材料齐全的，将申报材料报送国家网信部门；申报材料不齐全的，应当退回数据处理者并一次性告知需要补充的材料。

国家网信部门应当自收到申报材料之日起7个工作日内，确定是否受理并书面通知数据处理者。

(2) 评估

国家网信部门应当自向数据处理者发出书面受理通知书之日起45个工作日内完成数据出境安全评估；情况复杂或者需要补充、更正材料的，可以适当延长并告知数据处理者预计延长的时间。

评估结果应当书面通知数据处理者。

(3) 复评

数据处理者对评估结果有异议的，可以在收到评估结果15个工作日内向国家网信部门申请复评，复评结果为最终结论。

根据《评估办法》第十四条的规定，数据出境安全评估的结果有效期为自评估结果出具之日起2年。如在有效期内出现出境数据的目的、方式、范围、种类变化等影响出境数据安全的情形，则数据处理者应当重新申报评估。有效期届满，需要继续开展数据出境活动的，数据处理者应当在有效期届满60个工作日前重新申报评估。

7. 签署数据出境合同的要求

《评估办法》第六条规定：“申报数据出境安全评估，应当提交以下材料：……（三）数据处理者与境外接收方拟订立的法律文件（根据《评估办法》第五条，与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等，统称法律文件）。 ”第九条规定：“数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务，至少包括以下内容：……”因此，除风险自评估和申报安全评估外，《评估办法》还要求数据处理者与境外接收方订立数据出境相关合同或者其他具有法律效力的文件，并对该等法律文件的内容提出要求，需包括数据出境的目的、方式和数据范围，境外接收方处理数据的用途、方式等内容。

《评估办法》采用了“法律文件”这一表述，意味着数据处理者与境外接收方可签订除合同形式以外的其他文件，如承诺函。关于数据出境合同的签署，应注意与《个人信息保护法》中个人信息跨境提供规则的衔接问题。根据《个人信息保护法》第三十八条的规定，“按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务”作为向境外提供个人信息的前提条件之一，与数据出境安全评估、个人信息保护认证等并列。因此，在出境个人信息时，如依据《评估办法》未触发数据出境安全评估，则数据处理者可根据《个人信息保护法》选择进行个人信息保护认证或与境外接收方订立标准合同。但如根据《评估办法》触发了数据出境安全评估，则数据处理者除申报数据出境安全评估外，还需与境外接收方订立数据跨境合同或其他具有法律效力的文件，且文件中应包含《评估办法》所规定的内容。

在《评估办法》颁布前，国家网信办于2022年6月30日发布《个人信息出境标准合同规定（征求意见稿）》，并附有《个人信息出境标准合同》模板。关于数据出境合同的内容，《个人信息出境标准合同规定（征求意见稿）》与《评估办法》分别规定如下：

注：对于个人信息出境标准合同与《评估办法》所规定的数据处理者与境外接收方订立的法律文件两者内容要求的差异以红色标注。

根据《评估办法》第二十条的规定，该办法将自2022年9月1日起施行。在该办法施行前已经开展的数据出境活动，不符合该办法规定的，应当自该办法施行之日起6个月内完成整改。因此，《评估办法》已经为企业设置了明确的合规期限，对于存在数据出境的企业而言，应摒弃《评估办法》落地前的观望态度，及早采取应对措施。

1. 判断是否触发出境评估

实践中，数据出境往往与企业的内部管理、业务经营密切相关，可能出现于企业的财务、人力资源管理、客户服务等多个业务流程中。而根据《评估办法》，出境数据的类型、数据量和出境主体将决定是否会触发数据出境风险自评估以及数据出境安全评估流程。因此，企业的首要任务是梳理数据类型、企业属性（是否构成CIIO）、是否构成出境、出境数据量及数据规模等，判断是否触发出境评估。

2. 研判能否通过评估

在初步判断可能触发评估的情况下，应研判能否通过评估，包括但不限于对数据出境本身的合法性、正当性和必要性的分析判断。对数据出境的分析预判对企业而言具有较高的要求。以数据出境的合法性为例，除需注意散见于各专门法规中不能出境或出境需经主管部门单独审批的数据（例如，人类遗传资源信息出境需经科技部审批），出境活动还可能涉及电信监管问题（例如，使用VPN进行数据出境活动，以及将境内访问流量路由至境外引起的数据跨境传输）。此外，在个人信息出境场景中，《个人信息保护法》所要求的单独同意是否已经实现以及如何实现的问题也成为企业风险自评估中的难点。对于非常规情形引起的数据出境，如因参与境外诉讼而需向境外法庭提交证据，则情况将更加复杂。

3. 判断是否触发其他流程

在数据出境安全评估落地前，《个人信息保护法》及《网络安全审查办法》已构建了个人信息保护影响评估制度和网络安全审查制度。根据《个人信息保护法》第五十五条，企业出境个人信息应事先进行个人信息保护影响评估。此外，根据《网络安全审查办法》第二条，企业的数据出境活动影响或者可能影响国家安全的，应按照该办法进行网络安全审查。因此，对于企业的一项数据出境活动而言，可能会同时触发包括数据出境安全评估、个人信息保护影响评估以及网络安全审查三项程序。这三项审批流程虽然存在联系，但因出发点不同，各自的评估/审查重点亦存在差别。