《数据出境安全评估办法》框架与操作性解读

《网络安全法》

第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

《数据安全法》

第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。

《个人信息保护法》

第三十六条 国家机关处理的个人信息应当在中华人民共和国境内存储；确需向境外提供的，应当进行安全评估。安全评估可以要求有关部门提供支持与协助。

第三十八条 个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：

（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；

（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；

（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

（四）法律、行政法规或者国家网信部门规定的其他条件。

中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。

个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

材料

个人解读

申报书

具体内容暂未在《办法》中明确，可能包含数据处理者、数据接收方、出境数据的基本情况、数据出境业务场景描述、数据出境安全措施等。

数据出境风险自评估报告

体现《办法》第三条中“风险自评估与安全评估相结合”的评估原则。自评估属于企业自查手段，应由该企业数据安全负责人、数据安全人员、个人信息保护人员、业务人员、法务人员等数据出境安全相关人员组建评估团队开展相关工作；同时，也可以聘请外部第三方机构加入评估团队，从专业实践经验和第三方视角，客观分析可能存在的影响。

数据处理者与境外接收方拟订立的法律文件

《办法》第九条中进行了详细描述。

安全评估工作需要的其他材料

配合网信部门工作所需的其他材料、过程文档、证明材料等。

数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；

数据出境的目的、范围、方式等的合法性、正当性、必要性；

合法性：首要关注点，即出境行为的合法合规情况。

正当性：目的和手段两个角度。目的为提供服务、开展业务还是损害他人权益，手段是否合理，不应存在欺诈、强迫出境等，应得到数据主体知晓。

必要性：出境数据与业务服务、技术需要、贸易等有直接关联，并采取所必需的最低频率、最少数量等。

出境数据的规模、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；

出境数据的规模、范围、种类、敏感程度，出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险；

数据量、类型、敏感程度对风险的影响。针对于个人信息出境，在开展自评估时，可参考GB∕T 39335-2020《信息安全技术 个人信息安全影响评估指南》的相关内容进行风险判断。

境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全；

境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响；境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求；

实际操作中，数据提供方的安全保障能力（管理和技术措施等）也应进行考察，以及接收方的管理水平能否与提供方保持一致性。

数据安全保护政策法规、网络安全环境建议自评估时也进行评估，利于通过安全评估。

接收方地区数据安全、隐私保护相关法律的完善程度，尤其是政府、执法部门行使职权调取和收集数据的相关法律程序、约束规则是否完善有效，防止数据滥用。

通讯、存储、供应链安全等相关要素是否对数据造成威胁。

数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险，个人信息权益维护的渠道是否通畅等；

数据安全和个人信息权益是否能够得到充分有效保障；

数据再转移会增加风险，其相关安全要求、管控风险措施是否完善有效。综合考虑接收方的安全能力、数据面临的安全威胁、数据存储位置及期限、流转路径、访问权限等，分析数据出境后风险是否可控。

个人维权方面，是否有个人维权渠道，如有效的投诉渠道，以及相应的诉讼、仲裁、行政等措施。

与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等（以下统称法律文件）是否充分约定了数据安全保护责任义务；

数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务；

法律文件的完备程度是重点评估对象，具有重要的约束力，是保障数据主体权益、防控风险的有效措施。

有效的弥补数据流向数据保护水平较低国家或地区，固化双方保护责任义务。

将国内法律法规等相关要求通过合同形式施加到境外接收方，拉齐不同保护水平的差异。

——

遵守中国法律、行政法规、部门规章情况；

守法情况是数据出境的底线。

其他可能影响数据出境安全的事项。

国家网信部门认为需要评估的其他事项。

根据实际情况判断。

《网络安全法》第66条

《数据安全法》第46条

《个人信息保护法》第66条

关键信息基础设施的运营者违反本法第三十七条规定，在境外存储网络数据，或者向境外提供网络数据的，由有关主管部门责令改正，给予警告，没收违法所得，处五万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

违反本法第三十一条规定，向境外提供重要数据的，由有关主管部门责令改正，给予警告，可以并处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；情节严重的，处一百万元以上一千万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。

违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。