备受关注的中国《数据出境安全评估办法》（以下简称“《办法》”）已经于2022年9月1日起生效，而就在生效前夕中国国家网信办又公布了与《办法》配套使用的《数据出境安全评估申报指南（第一版）》（以下简称“指南”），至此，《网络安全法》、《数据安全法》、《个人信息保护法》中均有提及的“安全评估”终于从纸上程序落实到了实处。是否需要进行数据出境安全评估以及如何开展也成了许多涉及数据出境场景的公司，尤其是驻华跨国企业的重要合规课题。

本文将从《办法》的适用范围、安全评估流程、所需提交材料介绍以及企业合规建议角度对《办法》及申报指南进行简要解读。

一、适用范围

《办法》中规定的数据出境场景包括哪些呢?根据《办法》第2条及指南第一条，数据出境包括两类情形，一种是主动出境，即数据处理者在日常运营中收集和产生的数据传输、存储至境外，实践中常见的场景是境内主体通过软件包括电子邮件、FTP、跨境搭建的VPN、API等传输信道以及硬件包括U盘、移动硬盘、甚至装载数据的便携笔记本等向境外主体提供数据，或者境内主体使用海外服务器时产生的数据上传或存储；另外一种是被动出境，即数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出，实践中常见的场景是境外主体通过访问境内主体部署于境内的公开网页、服务器、数据库或信息系统等获取数据。相比于主动出境的情形，数据被动出境的情形更容易被企业忽略。

什么样的情况下需要进行申报安全评估呢？根据《办法》第四条，当符合以下四个条件之一时，便需依照《办法》的规定，进行申报：

（1）向境外提供重要数据；
（2）关键信息基础设施运营者和处理100万人以上个人信息的处理者向境外提供个人信息；
（3）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；
（4）网信部门规定的需要进行申报的情形。

然而，目前现行有效的法律法规、国家标准以及指南中并没有对《办法》中未释明的部分（比如哪些属于重要数据、个人信息数量的计算标准等）作进一步的细化和解释，现阶段企业还是需要参考已发布的相关信息安全技术国家标准的征求意见稿进行判断，这同时也为企业在短时间进行数据合规的内部排查带来了不小的挑战。

二、申报安全评估

若企业经梳理，落入了《办法》的适用范围，应该依照怎样的流程开展数据安全评估工作呢？

《办法》明确了安全评估的具体流程，首先是应进行自评估，自评估结束形成自评估报告后并齐备其他所需材料提交所在地省级网信部门，省级网信部门在收到材料后5个工作日内进行形式审查并决定是否报送国家网信部门进行审查。国家网信部门在收到后7个工作日内确定是否受理，并在发出受理通知后45个工作日完成安全评估并告知申请人结果。整个申报流程最短需57个工作日。若出现补充、更正材料的，该周期将会进一步延长。

明白了申报流程，那么需要进行申报的企业应准备哪些材料呢？

《办法》第六条规定了提交安全评估所需提交的材料，而指南则进一步细化并提供了相应模板。从提交的申报材料来看，主要有申报人身份信息材料、经办人授权委托书、申报表、与数据接收方签订的数据出境相关合同或其他法律文件、自评估报告以及其他证明材料。值得一提的是，申报表中要求数据处理者提供自身基本信息、法定代表人、数据安全负责人和管理机构信息、经办人信息、数据出境的业务、目的、方式、链路、出境数据情况、境外接收方信息及接收方数据安全责任人和管理机构信息，且要求数据处理者对于遵守中国法律、行政法规、部门规章情况进行说明。

本次发布的指南也附带了自评估报告的模板，模板中要求数据处理者对自身的基本情况、出境数据情况、数据安全保障能力等进行说明和评估。且对境外接收方的基本情况和数据安全保障能力进行评估。同时，还应当对评估发现的问题和风险隐患采取了怎样的整改措施及达到了什么样的整改效果进行说明。

需要特别注意的是，安全评估并非一劳永逸，评估结果自通过之日起两年内有效，若企业在两年后仍有数据出境活动的，则应当在评估结果期满之前60个工作日重新申报安全评估。由此看来，定期数据安全评估将成为有数据跨境传输需求的企业的常态化数据合规工作之一。同时《办法》给予了尚未进行安全评估的企业6个月的整改期限，要求落入适用范围的企业在《办法》生效之日起6个月内完成整改。

三、企业合规建议

数据出境已成为企业经营过程中需要重点关注的合规风险，企业的数据出境合规必须做到全面有效地识别出境数据，持续控制和监管数据出境路径和出境接口，建立数据出境的管理体系和制度，从而实现企业全面和常态化数据出境合规管理。因此，根据上述内容介绍，我们建议企业可以从以下方面尽快开展数据合规管理工作：

1.指南中发布的申报表中，要求明确数据处理者及境外接收方的数据安全负责人和管理机构信息。为了更加有序高效的开展数据出境安全评估工作，建议尚未设立数据安全负责人和机构的公司，应当尽快指定，并明确工作职责、工作规程等。对于落入《办法》适用范围的企业，因安全评估需要定期进行，所以建议设置常设岗位。

2.由于《办法》给予企业的整改期限仅有6个月，且申报周期也较长，对于存在数据出境场景的企业，建议尽快开展内部梳理，估算整体出境数据规模，尽早决定是否申报安全评估。而且因提交材料中涉及到境外接收者的很多信息，在企业内部梳理同时，也应当并行开展跟境外接收方的沟通及基础资料准备工作，避免造成因沟通不畅而产生过多的时间和精力。

3.本次指南提供的模板中，数据处理者需要说明自身的“数据安全管理能力，包括管理组织体系和制度建设情况，全流程管理、分类分级、应急处置、风险评估、个人信息权益保护等制度及落实情况”。对于此前未系统开展过数据合规工作的企业，应尽快制定符合前述要求的数据安全管理框架及各项数据合规规章制度，既为了满足法律法规的要求，也能够促进数据合规工作的有效顺利开展。《办法》不过短短20条，指南也只有寥寥几页，但是其中却涉及了纷繁复杂的数据合规工作，给企业的合规工作带了巨大的挑战。数字化时代，我们不可能也不应该逆流而行，而应顺应时代要求，切实重视数据合规工作，并予以落实。

分享页面