2022年7月7日，《数据出境安全评估办法》（以下简称《办法》）公布，并将于2022年9月1日起正式施行。《办法》共包含二十条，规定了数据出境安全评估的适用情形、评估事项、程序等，为数据出境安全评估工作提供了具体指引。《办法》是落实《网络安全法》、《数据安全法》、《个人信息保护法》有关数据出境规定的重要举措，其出台有助于进一步规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动。

企业作为数据出境活动的主要实施者，其跨境贸易、跨境服务、跨境管理活动中，或多或少都会涉及到数据出境。特别是对于跨国公司而言，其总部与分支机构之间、不同国家的分支机构相互之间，数据交互都处于常态化。随着《办法》的通过与施行，数据出境过程中的合规管理，将成为企业一项重要的合规管理内容。本文，对于数据出境合规管理的若干重要问题进行分析，希望可以帮助企业建立、优化围绕数据出境的合规管理制度。

一、数据出境场景梳理

根据《办法》第四条的规定，满足如下任一情形的，即应通过所在地省级网信部门向国家网信部门申报数据出境安全评估：

一是数据处理者向境外提供重要数据；

二是关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；

三是自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；

四是国家网信部门规定的其他需要申报数据出境安全评估的情形。

上述规定，虽然规定了应该申请数据出境评估的四种情形，但由于企业的经营活动是动态的，且有一定的复杂性。因此，对于数据出境评估情形的判断，应从出境场景的梳理开始。

笔者认为，常见的数据出境场景主要包括：

1、基于信息系统融合而导致数据直接存储至境外服务器

对于部分总部在中国以外的跨国公司而言，将服务器设置在总部所在国，并通过全球一体化的信息系统，实现统一的跨境信息化管理、数据统一存储、统一调用和分析，是跨国公司将为常见的IT管理架构。按照数据出境的基本判断规则，这一场景下，数据甚至不经过境内的存储，而直接被传输至境外。此种场景，在非特许经营的行业中，较为常见。

2、境内信息系统按照一定规则将数据传输至境外系统

部分跨国企业，虽然在境内设置了独立的服务器和信息系统，但此类信息系统与境外总部的系统之间按照一定的规则可以相互传输和调用数据。其中，包括业务数据的传输和管理数据的传输。此种设置方式，在金融等特许经营行业中较为常见。因为按照金融行业的监管规则，网络安全和信息安全通常会作为行业主管部门核发许可证和进行开业验收的前提。

3、邮件外发方式将数据传输至境外

不同于通过信息系统接口实现的自动传输，邮件外发也是数据出境的常见场景。特别是对于管理过程中的数据，以及线下业务活动中的数据，邮件外发是较为常见的方式。并且，由于邮件系统与公司的数据库系统是相互独立的两套系统，如何将不同场景和系统下的数据出境统一管理，对于企业而言，也是需要考虑的问题。

4、境外访问境内数据的场景

部分情况下，数据存储在境内，并未发生数据直接传输至境外的情况。但是，境外总部出于管理需要，能够对境内服务器存储的数据实施访问或者调用，也被视为数据出境。在国家互联网信息办公室有关负责人就《数据出境安全评估办法》答记者问中，明确了《办法》所称“数据出境活动”主要包括：

一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外；

二是数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以访问或者调用。因此，访问场景也被视为数据出境。

在境外对境内数据实施访问的场景下，如何确定数据出境数量，也是数据出境管理中需要考虑的问题。

笔者认为，在遵照执行《办法》的过程中，企业应首先进行出境场景的梳理，并结合本行业的业务流程、出境业务环节等因素，整理出业务中可能涉及的出境数据种类、目的、方式、数量等要素，从而为数据出境管理体系奠定基础。

二、数据出境的适用条件梳理

在梳理了数据出境的场景后，对于企业适用何种出境规则，适用何种条件？则是企业进行合规架构搭建的另一个重要问题。

《办法》第四条，结合《个人信息保护法》第三十八条、《数据安全法》第三十一条、《网络安全法》第三十七条之规定，可以看出，我国对于数据出境有四个层级的制度设置，其原则存在差异。

首先：对于关键信息基础设施运营者的重要数据和个人信息，采取的是“不出境为普遍原则，出境为特殊情况”。即，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。

其次：对于重要数据处理，采取的是“不出境为普遍原则，出境为特殊情况”。即，重要数据出境，应进行数据出境安全评估。

再次：对于个人信息处理者处理的个人信息数据，采取的是“出境管理为普遍原则，出境评估为特殊情况”。即一般情况下，通过专业机构的个人信息保护认证，以及按照国家网信部门制定的标准合同与境外接收方订立合同即可出境，达到一定数量标准，则应通过网信部门的安全评估。

最后：对于不符合上述三项条件的一般数据，一般不干预，但如果符合国家网信部门规定的其他需要申报数据出境安全评估的情形时，按照规定申请评估。

上述出境管理的分类及适用条件区分，如下表所示：

从上述条件的梳理可以看出，对于个人信息出境的规则最为复杂。《个人信息保护法》规定了四种条件：

（1）通过国家网信部门组织的安全评估；

（2）通过专业机构的个人信息保护认证；

（3）按照国家网信部门制定的标准合同与境外接收方订立合同，明确双方权利义务；

（4）法律、 行政法规或者国家网信部门规定的其他条件。

其中，对于《办法》第四条规定情形之外的个人信息，企业可以选择采用个人信息保护认证的方式，或者采用与境外接收方签订标准合同的方式实现个人信息数据出境。

笔者认为，适用条件的梳理，是企业判断自身适用何种出境规则的基础。企业应从《网络安全法》、《数据安全法》、《个人信息保护法》的角度，综合评判自身的法律属性，从而判定适用数据出境的条件。

三、与出境管理相匹配的数据分类分级体系建设

数据分级分类保护制度，是我国《数据安全法》确定的一项制度。立法的本意在于通过对数据进行分级分类，达到数据保护与数据利用之间的平衡。

笔者认为，数据分类分级体系是一项数据治理与合规管理的基础制度，在数据出境管理语境下，数据分类分级体系具有如下的作用：

其一、通过分级分类保护制度，区分出重要数据、一般数据和个人信息数据、敏感个人信息数据。从而为数据出境的场景划分、适用规则的判断打好基础。但是，除了按照常规的数据分类分级管理原则实施分类分级外，还应在分类分级体系中考虑到数据出境管理的特殊要求。

其二、通过分级分类保护制度，可以确定境外接收方的数据安全管理义务及安全管理措施的匹配性。比如，在《办法》第八条规定，“数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务；”而对于如何判定是否充分约定了数据安全保护责任义务？应从国内法的规定寻找依据，即，首先应判定出境数据的分类分级状况，然后根据国内法规与本企业已经采取的合规技术措施，对境外接收方进行法律文件的约束。约定境外接收方采用诸如加密存储、去标识化存储等安全措施，以及采用严格的访问控制策略，对不同类别和级别的数据实施保护。

因此，笔者认为，“是否充分约定了数据安全保护责任义务”？并非是一个抽象的判断标准，而是应该基于国内法的要求和技术标准去进行判断。

四、动态的数据治理体系建设

1、计数与监测体系的建立

与分类分级更为关注区分重要数据、一般数据、个人信息数据及敏感个人信息数据不同的是，计数与监测体系主要关注处理个人信息和敏感个人信息涉及的人数。

按照《办法》第四条规定，涉及个人信息出境问题，如果处理个人信息所涉的人数达到一定数量标准，则应当进行数据出境安全评估。这一规定包含如下数据管理的意义：

其一、余额总量控制原则。

即在某个时间点，处理个人信息数据涉及的人数余额超过100万人。余额的计数方法并不包含历史上曾经处理过，但是已经被删除或者匿名化处理后的个人信息。举例说明，如果某企业历史上累计处理过的个人信息所涉及的人数超过100万，但其同时处理的个人信息人数未超过100万人，则并不适用出境安全评估。

其二、累计数量控制原则。

与余额总量控制不同的是，累积计数指的是在某个时间段内，累计向境外提供10万人个人信息或者1万人敏感个人信息。即，在上一年度1月1日至评估基准日，如果累计数量达到上述标准，则应申报数据出境安全评估。

其三、累计数动态调整监测原则。

由于适用累计向境外提供10万人个人信息或者1万人敏感个人信息的标准时，起始的时间点是上一年度的1月1日，因此，本年度一旦届满并进入下一年度，意味着累计数量的起算时间也将向后推延一年。而上一年度的出境个人信息数量也将不再纳入累计数量，从而让企业的累计数量突然减少，从而获得了新的“额度”。

上述余额总量控制、累计数量控制、数据动态调整，都关系到企业的重大利益，因而需要建立系统化的监测体系予以监测。

笔者认为，针对上述的数量监测需求，企业可在建立体系的同时，引入市场上成熟的监测软件或订制开发相应的软件，从而保持监测的准确性。

2、出境数量与数据战略的匹配

正是因为存在上述的余额总量控制、累计数量控制、数据动态调整问题，对企业而言，数据治理体系和数据战略中，应将出境安全评估作为重要内容予以考虑。

处理100万人以上个人信息的个人信息处理者，如果需要实施个人信息出境，应该申请数据出境安全评估。对于企业而言，可以综合考虑，现有的存量数据是否都是必要的，如果这些个人信息数据对于企业而言商业价值有限，是否可以通过匿名化或者删除的方式降低数据个人信息的数量？

对于累计向境外提供10万人个人信息或者1万人敏感个人信息的标准，企业则可以考虑在两个年份中如何合理规划每年的个人信息出境数量，减少不必要的个人信息出境。

五、常态化的管控体系

根据《办法》第五条、第六条、第七条、第十条、第十一条、第十二条、第十三条、第十四条、第十七条，涉及数据出境评估主要环节包括：事前自评估、申报评估、结果复评、重新评估、终止出境。

按照上述规定，企业的数据出境管理是一个持续管控的过程，应在内部构建常态化的管控体系。

1、关于自评估与个人信息保护影响评估的衔接

从合理规划企业的合规措施与成本角度看，个人信息的出境自评估，需要考虑与个人信息保护影响评估的衔接问题。

《个人信息保护法》第五十五条规定：有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：

（一）处理敏感个人信息；

（二）利用个人信息进行自动化决策；

（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；

（四）向境外提供个人信息；

（五）其他对个人权益有重大影响的个人信息处理活动。

《个人信息保护法》所规定的个人信息保护影响评估的触发条件也包含“向境外提供个人信息”，这与数据出境安全评估的触发条件有一定的重合。

笔者认为，个人信息保护影响评估与数据出境评估的差异主要包括：其一、影响评估适用于所有的数据出境活动，而出境安全评估仅适用于达到一定人数的个人信息处理者的出境活动。其次，影响评估关注的内容比出境安全评估少。

同时，影响评估作为一种更为基础性的制度安排，其中部分内容也可以为数据出境安全评估提供一定的支撑。比如，影响评估的内容包括：个人信息的处理目的、处理方式等是否合法、正当、必要；对个人权益的影响及安全风险；所采取的保护措施是否合法、有效并与风险程度相适应。而这些内容，在进行出境自评估过程中，也可以有一定程度的借鉴。[1]

2、重新评估的监测与申报

按照《办法》规定，数据出境安全评估结果的有效期（2年）届满或者在有效期内出现需要重新评估情形的，包括向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的，或者延长个人信息和重要数据境外保存期限的；境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的情形，数据处理者应当在有效期届满60个工作日前或者相关情形发生时（数据出境前）重新申报数据出境安全评估。

这一规定，对于企业的常态化数据出境管控体系提出了要求。企业不仅要按照规定申报数据出境安全评估，还需要建立内部的监测体系。对于评估所涉事项发生的变化能够及时发现，并及时重新申请出境安全评估。

六、如何应对整改期

值得一提的是，《办法》明确在施行前已经开展的数据出境活动，不符合《办法》规定的，应当自《办法》施行之日起6个月内完成整改。对于整改期，有如下两种情况：

1、未达到应申报数据出境安全评估条件的情形

在《办法》施行之前已经进行数据出境活动，如未达到应当进行数据出境安全评估申报情形的，且自评估后不存在给国家安全、公共利益、个人或者组织合法权益带来的风险，可以不用中断。

2、不符合《办法》规定的情形

如果构成了应进行数据出境安全评估的情形或有其他违反《办法》的情形，则应停止数据出境活动，并应当在2023年2月底之前完成整改。如未完成整改，将面临相应的法律责任。此外，对于《办法》施行后才开展的满足申报情形的数据出境活动，应当按照《办法》规定事先完成安全评估。

3、整改路径

对于是否能够继续出境或者进行整改，应以相关事实的排查为基础。笔者认为，是否整改，以及如何整改，可以按照如下建议路径实施：

（1）出境数据自查

自查的主要内容包括：出境数据中是否涉及重要数据；公司处理的个人信息是否达到100万人的个人信息并实施了个人信息出境；公司自2021年1月1日起至自查基准日累计出境的个人信息是否达到10万人；公司自2021年1月1日起至自查基准日累计出境的敏感个人信息是否达到1万人。

（2）如果达到了上述标准，则应立即启动数据出境自评估，并按照规定在整改期届满之前申报数据出境安全评估。如果在2023年2月底之前能够通过安全评估，则可以继续实施数据出境。如果未能完成，则应停止数据出境，直至安全评估通过。

（3）对于公司自2021年1月1日起至自查基准日，累计出境的个人信息达到10万人或累计出境的敏感个人信息达到1万人的情形，如果在2023年2月28日的时点，通过扣减2021年1月1日至2021年12月31日的人数，可以让累计出境个人信息降低至应申报数据出境安全审查的人数限额以下，则人数降低后的出境不违反《办法》的规定。

笔者认为，《办法》对于个人信息出境采取的累计数量管理办法，实际上是对个人信息出境采取了相对宽容的态度。通过动态的时间递进管理，使得企业可以根据业务需要，在一定的限制范围内持续实施个人信息出境。

上述管理方式，一方面是监管给与的出境便利措施；另一方面，也对企业的数据治理和数据合规体系提出了更为精细化的管理要求。

企业不仅仅应熟悉法规，还应结合自身的业务属性、业务场景、数据类型、数据出境数量、业务数据战略等方面的要求，合理规划数据出境的治理体系。

来源：锦天城律师事务所。作者：吴卫明，锦天城律师事务所 高级合伙人，wuweiming@allbrightlaw.com