2022年7月7日，國家互聯網信息辦公室公布《數據出境安全評估辦法》（以下簡稱《評估辦法》），自9月1日起正式施行。此時此刻，距離《中華人民共和國網絡安全法》正式通過已經過去6個年頭。隨著《網絡安全法》第37條的橫空出世，個人信息和重要數據出境安全評估制度就成為了數據安全領域，乃至數字經濟領域長盛不衰的話題。雖然一直是焦點，但從未有定論。在個人信息出境和重要數據出境安全評估統一規定，到分開管理，再到統一規定的過程中，相關的從業專家經歷了多少個無休的周末和不眠的夜晚來學習，此間辛苦，往往在四目相對時，就心有戚戚焉。

所以當《評估辦法》正式公布時，筆者內心是振奮的。確定性總好于不確定性。我國的數據出境管理制度又向著全面落地實施邁出了堅實的一步。接下來，筆者就圍繞《評估辦法》談一些自己的學習體會。

一、對《評估辦法》的體系性認識

《評估辦法》很重要，但如何理解《評估辦法》的地位，它解決什么問題，還需要回歸到《網絡安全法》《數據安全法》《個人信息保護法》構建的我國數據出境管理制度之下，從重要數據和個人信息兩個對象來分別理解。

重要數據原則上境內存儲，因業務需要，確需向境外提供的，應當進行安全評估。《數據安全法》第三十一條規定“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理，適用《中華人民共和國網絡安全法》的規定；其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法，由國家網信部門會同國務院有關部門制定。”結合《網絡安全法》第三十七條及《評估辦法》的規定，針對重要數據出境的情形，我國對關鍵信息基礎設施運營者和其他數據處理者兩類責任主體進行了統一的管理規則設計，通過安全評估是唯一的重要數據出境合規路徑。由此可見，《評估辦法》是重要數據出境合規工作中非常重要的一份規范性法律文件。

個人信息出境存在多重合規路徑，只在觸發特定條件時才需進行安全評估。《個人信息保護法》第三十八條針對一般個人信息處理者，設計了安全評估、個人信息保護認證、標準合同三條個人信息出境合規路徑；第四十條針對關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者（既《評估辦法》第四條規定的數量），規定了個人信息出境應當通過安全評估，但同時設置了例外條款。綜合來看，《評估辦法》是個人信息出境的重要依據之一。此前剛剛征求意見的《個人信息出境標準合同規定（征求意見稿）》也是未來個人信息出境的重要依據。想要做好個人信息出境合規工作，就要求對上述相關規范性法律文件作到全面掌握，根據實際情況選擇適當的合規路徑。

二、不變的評估重點

雖然《評估辦法》幾經修改，但對于出境安全評估工作本身的關注點以及評估重點自始至終都相對穩定，并且目標明確，既通過安全評估發現、識別、預防數據出境后可能對國家安全、公共利益、個人或者組織合法權益帶來的風險。從《評估辦法》2021年10月的征求意見版和最終發布版的第八條對比，可以看出，出境安全評估的重點到后期基本不在變化。

三、更加清晰的流程性管理規則

與去年征求意見的版本相比，正式發布版的《評估辦法》在數據出境安全評估管理工作流程方面進行了優化：

一是明確了省級網信部門和國家網信部門的職責分工。省級網信部門負責接收申報材料并進行完備性查驗，國家網信部門負責組織實施安全評估。這樣的工作安排，一方面解決了工作開展初期省級網信部門安全評估人才短缺的問題，另一方面也解決了如何在全國范圍內統一評估通過標準的問題。

二是新增了復評機制。《評估辦法》第十三條規定的復評機制為申報評估的數據處理者提供了第二次機會。考慮到數據能否合規出境，有時對數據處理者順利開展業務至關重要，因此多提供一條救濟途徑，有其正當性和必要性。

三是進一步完善了申報流程。配合職責分工的變化，《評估辦法》對申報、處理流程及相應的時限進行了內容優化和位置調整，更便于理解。

四、值得繼續觀察的實施細節

《評估辦法》在9月1日正式施行之后，筆者認為以下評估工作細節值得繼續關注：

省級網信部門受理申報材料的具體規則，例如，數據處理者可以選擇向哪個或哪些省級網信部門報送材料，申報材料以什么方式報送等。

國家網信部門如何組織安全評估，例如，安全評估是以書面還是其他形式開展，數據處理者能否進行陳述和申辯，復評工作如何開展以及是否也有時限等。

五、對數據處理者的建議

對數據處理者而言，需要把握好接下來的2個月時間和6個月的整改窗口期，做好數據出境合規工作準備。首先需要準確理解數據出境、重要數據等關鍵概念，特別是要持續關注涉及本行業、本領域的重要數據目錄制定工作進展。其次，對企業內部涉及數據出境的業務、場景做到心中有數，“摸清家底兒”始終是數據安全的基礎性工作。再次，盡快建立內部數據出境風險自評估制度，明確責任部門和參與部門、啟動和實施流程、監督問責機制等。