涉外人事培养
Foreign-related Talent Cultivation
当下数字经济时代,数据要素的地位日益显著,数据出境需求日益强烈。伴随着我国逐步完善的出境数据监管体系,对于数据可能出境的企业而言,数据出境安全评估已是合规经营的重要内容。
本文将简要梳理我国数据出境安全评估体系,并聚焦申报全流程的实务要点,为企业提供清晰的合规指引。 一、数据出境安全评估的法律框架 《中华人民共和国网络安全法》(以下简称“网络安全法”)《中华人民共和国数据安全法》(以下简称“数据安全法”)和《中华人民共和国个人信息保护法》(以下简称“个人信息保护法”)是我国数据领域的“三驾马车”(以下合称“数据三法”),共同构建了我国数据合规法律体系框架,其中涉及数据出境安全评估的合规要求汇总如下: 除了数据三法之外,我国仍在陆续颁布相关行政规章。为明确数据出境安全评估的实操标准,国家互联网信息办公室于2022年7月7日公布了《数据出境安全评估办法》(2022年9月1日起施行),初步构建起“数据出境安全评估”实务操作的基本方法。同年,《数据出境安全评估申报指南(第一版)》施行。2025年6月27日,《数据出境安全评估申报指南》更新至第三版。 二、数据出境安全评估申报的适用范围和实务操作 (一)数据出境安全评估的适用范围 数据三法对安全评估的适用范围略有不同,其中网络安全法和数据安全法针对的是关键信息基础设施运营者,个人信息保护法针对的是个人信息处理者。 同时,数据安全法第三十一条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。” 据此,网信部门根据上位法的授权作了进一步的规定,在《数据出境安全评估办法》第四条的第(二)款和第(三)款将个人信息保护法第三十八条规定的“处理个人信息达到国家网信部门规定数量”进行了确定,在《数据出境安全评估办法》第四条第(一)款将安全评估适用主体规定为“向境外提供重要数据的数据处理者”,相对于个人信息处理者和关键信息基础设施运营者,形成了“个人信息+重要数据”的统一规制模式。而所谓重要数据,根据《数据出境安全评估办法》第十九条规定,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。 综上,数据出境安全评估的适用范围为: 数据处理者向境外提供重要数据; 关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息; 自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息; 国家网信办规定的其他需要申报数据出境安全评估的情形。 (二)数据出境安全评估的申报材料 关于申报材料,《数据出境安全评估申报指南(第三版)》包含了《数据出境安全评估办法》的内容,其不仅规定得更加详细,且该指南在文后还附上了数据出境安全评估申报材料要求表及部分材料文书的模板,为数据出境安全评估的申报者提供了较为明确的指引,具体如下: (三)数据出境风险自评估报告的要点 数据出境风险自评估报告作为进行数据出境安全评估需要提交的重要文件,亦是目前实务申报中的重点难点。《数据出境安全评估申报指南(第三版)》直接给出了详细的要点模板,对《数据出境安全评估办法》规定进行了详细的展开,故申报者可以直接参照《数据出境安全评估申报指南(第三版)》的模板进行填写。 除此之外还须注意的是,数据出境风险自评估报告所述自评估活动应当在申报前3个月内完成。 (四)数据出境安全评估申报方式及流程 关于数据出境安全评估申报方式及流程,《数据出境安全评估办法》规定较为详细,目前主要采取“省级网信部门完备性查验+国家网信部门评估”的基本模式,笔者将总体流程汇总为图示如下: 小结 随着数字经济发展中数据出境需求的进一步提升,企业需持续关注监管动态,结合自身数据处理场景,精准匹配合规路径、落实全流程合规要求,在保障国家数据安全与个人信息权益的前提下,实现数据要素的合法合规出境,为业务全球化发展筑牢合规基础