跨境數(shù)據(jù)合規(guī) | 以安全促發(fā)展——《數(shù)據(jù)出境安全評估辦法》解讀【走出去智庫】-ESG跨境

走出去智庫觀察

7月7日，國家互聯(lián)網(wǎng)信息辦公室公布《數(shù)據(jù)出境安全評估辦法》（以下簡稱《辦法》），自2022年9月1日起施行。《辦法》旨在落實(shí)網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、個(gè)人信息保護(hù)法的規(guī)定，規(guī)范數(shù)據(jù)出境活動(dòng)，促進(jìn)數(shù)據(jù)跨境安全、自由流動(dòng)，切實(shí)以安全保發(fā)展、以發(fā)展促安全。

走出去智庫(CGGT)特約法律專家、金杜律師事務(wù)所合伙人寧宣鳳指出，《數(shù)據(jù)出境安全評估辦法》的頒布，標(biāo)志著我國距離數(shù)據(jù)安全評估制度的落地有了長足的進(jìn)步，為數(shù)據(jù)處理者開展數(shù)據(jù)出境安全評估提供了確定性的法律依據(jù)。從《數(shù)據(jù)出境安全評估辦法》的落地也能看出國家對于數(shù)據(jù)安全監(jiān)管的決心，“以安全促發(fā)展”將成為數(shù)字經(jīng)濟(jì)發(fā)展的首要指導(dǎo)原則之一。

數(shù)據(jù)出境如何做好安全評估？今天，走出去智庫（CGGT）刊發(fā)金杜律師事務(wù)所寧宣鳳、吳涵、姚敏侶的文章，供關(guān)注跨境數(shù)據(jù)合規(guī)管理的讀者參考。

要 點(diǎn)

CGGT，CHINA GOING GLOBAL THINKTANK

1、《網(wǎng)絡(luò)安全法》的生效，初步確立了以安全評估制度為核心的數(shù)據(jù)跨境的基本規(guī)則；隨著《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律法規(guī)的出臺(tái)，數(shù)據(jù)跨境制度的法律框架逐漸完善，安全評估制度在數(shù)據(jù)跨境制度中的定位也逐漸清晰。

2、與《個(gè)人信息出境安全評估辦法》相比，《數(shù)據(jù)出境安全評估辦法》綜合了的個(gè)人信息處理情況、個(gè)人信息權(quán)利保障以及網(wǎng)絡(luò)運(yùn)營者和接收者的責(zé)任義務(wù)于一體，并補(bǔ)充再跨境條款和爭議解決條款的要求，因而更為簡潔，同時(shí)也更強(qiáng)調(diào)標(biāo)準(zhǔn)合同的可行性、周全性以及可執(zhí)行性。

3、對于明顯不符合或者不屬于需向網(wǎng)信部門等相關(guān)部門申報(bào)數(shù)據(jù)出境安全評估的情形，數(shù)據(jù)出境安全風(fēng)險(xiǎn)自評估可能并非強(qiáng)制性法律義務(wù)，但這并不代表企業(yè)在向境外提供數(shù)據(jù)前無需進(jìn)行任何內(nèi)部自主判斷，因此企業(yè)依然可以通過自評估的方式，對于是否滿足數(shù)據(jù)出境安全評估的要求進(jìn)行自證。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

各國關(guān)于數(shù)據(jù)出境的監(jiān)管要求一直是各國數(shù)據(jù)監(jiān)管的風(fēng)向標(biāo)，不僅體現(xiàn)國家對于數(shù)據(jù)安全的重視程度，也能意會(huì)出國家對于數(shù)據(jù)競爭的態(tài)度以及數(shù)字經(jīng)濟(jì)發(fā)展的思路。例如歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）設(shè)定的個(gè)人數(shù)據(jù)出境的限制，規(guī)定在第三國具備充分保護(hù)水平的前提下可將個(gè)人數(shù)據(jù)向第三國傳輸，而如第三國不具備充分保護(hù)水平的，控制者或處理者只有在提供了適當(dāng)?shù)谋Ｕ洗胧?，并為?shù)據(jù)主體提供了可執(zhí)行的權(quán)利和有效的法律救濟(jì)措施的條件下，才可將個(gè)人數(shù)據(jù)傳輸至第三國。上述內(nèi)容是對于個(gè)人數(shù)據(jù)出境的特殊監(jiān)管要求，也是解決歐盟單一數(shù)字經(jīng)濟(jì)發(fā)展面臨制度障礙的嘗試。

數(shù)據(jù)出境的監(jiān)管對于數(shù)字經(jīng)濟(jì)蓬勃發(fā)展的中國也尤為重要。一方面需要樹立數(shù)據(jù)監(jiān)管的價(jià)值觀，另一方面數(shù)據(jù)出境監(jiān)管的制度設(shè)計(jì)將直接影響跨國企業(yè)以及出海企業(yè)的日常運(yùn)營，更深刻的影響數(shù)字經(jīng)濟(jì)的發(fā)展進(jìn)程。隨著《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》以及《個(gè)人信息保護(hù)法》三大法律的確立，以及相關(guān)法律法規(guī)征求意見稿的出臺(tái)，我國數(shù)據(jù)跨境制度法律框架已經(jīng)完成了基礎(chǔ)性搭建。其中，數(shù)據(jù)出境安全評估制度在我國的數(shù)據(jù)跨境制度中占據(jù)相當(dāng)重要的地位。2022年7月7日，《數(shù)據(jù)出境安全評估辦法》正式頒布，這意味著，我國數(shù)據(jù)出境安全評估制度在效力上，從概念的制度向?qū)嵺`的制度邁出了重要的一步。本文在回顧我國數(shù)據(jù)跨境制度的歷史沿革基礎(chǔ)上，對《數(shù)據(jù)出境安全評估辦法》的自評估方法進(jìn)行操作化的解讀，為企業(yè)等各數(shù)據(jù)處理者提供自評估合規(guī)指引。

01、數(shù)據(jù)跨境制度的規(guī)則導(dǎo)向

而就國內(nèi)而言，《網(wǎng)絡(luò)安全法》的生效，初步確立了以安全評估制度為核心的數(shù)據(jù)跨境的基本規(guī)則；隨著《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律法規(guī)的出臺(tái)，數(shù)據(jù)跨境制度的法律框架逐漸完善，安全評估制度在數(shù)據(jù)跨境制度中的定位也逐漸清晰。在此期間，為有效落地法律層面的制度規(guī)范，國家網(wǎng)信辦等有關(guān)部門、標(biāo)準(zhǔn)制定單位等陸續(xù)發(fā)布了不同層級的數(shù)據(jù)跨境細(xì)則、標(biāo)準(zhǔn)指南等草案文件，明晰了數(shù)據(jù)跨境合規(guī)的監(jiān)管和實(shí)踐方向。

02、我國數(shù)據(jù)跨境安全評估制度的歷史沿革

在國內(nèi)數(shù)據(jù)跨境制度的發(fā)展過程中，數(shù)據(jù)出境安全評估作為數(shù)據(jù)跨境的合規(guī)途徑貫穿始終，并隨著規(guī)則草案的頒布而逐漸細(xì)化。以下我們就數(shù)據(jù)跨境安全評估制度的歷史演總結(jié)如下：

1. 數(shù)據(jù)跨境安全評估制度的開端——以《網(wǎng)絡(luò)安全法》作為標(biāo)志

（1）《網(wǎng)絡(luò)安全法》奠定數(shù)據(jù)跨境安全評估制度基礎(chǔ)

從時(shí)間上看，最開始對數(shù)據(jù)跨境提出安全評估要求的是2017年的《網(wǎng)絡(luò)安全法》（“《網(wǎng)安法》”）。《網(wǎng)安法》第37條對關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者（“CIIO”）提出了在境內(nèi)收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)的本地化要求，確需出境的應(yīng)當(dāng)按照國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估。不過，對于上述條文中對“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者”“重要數(shù)據(jù)”“個(gè)人信息”三個(gè)核心概念均未進(jìn)行界定，同時(shí)并沒有相應(yīng)的國家層面的安全評估規(guī)定，這使得《網(wǎng)安法》的規(guī)定與數(shù)據(jù)跨境安全評估制度實(shí)際落地仍有較大距離。因此于同年，國家網(wǎng)信辦就《個(gè)人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》公開征求意見，國家標(biāo)準(zhǔn)委隨后也就《信息安全技術(shù) 數(shù)據(jù)出境安全評估指南（征求意見稿）》（“《數(shù)據(jù)出境安全評估指南（征求意見稿）》”）公開征求意見。兩文件均不同程度地對《網(wǎng)安法》所奠定的數(shù)據(jù)跨境安全評估框架進(jìn)行了進(jìn)一步的深入和細(xì)化。

（2）階段性征求意見稿明確方向

《個(gè)人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》的貢獻(xiàn)在于確立了數(shù)據(jù)跨境制度之下的安全評估程序的基本流程。該《辦法》對需要進(jìn)行安全評估的情形、安全評估需要重點(diǎn)評估的內(nèi)容、負(fù)責(zé)安全評估的主管部門等方面進(jìn)行了具體的規(guī)定，并確立了以自評估為前置流程，申請?jiān)u估為正式環(huán)節(jié)，重新評估為可持續(xù)性支持的安全評估流程。其中，還值得注意的是安全評估適用范圍的拓展。它將適用主體拓展適用于任何符合第9條條件的網(wǎng)絡(luò)運(yùn)營者，同時(shí)將數(shù)據(jù)類型拓展至具有一定體量的數(shù)據(jù)。而《數(shù)據(jù)出境安全評估指南（征求意見稿）》則是對數(shù)據(jù)跨境、重要數(shù)據(jù)、核心數(shù)據(jù)等基本概念進(jìn)行了界定和列舉，同時(shí)提供了極具可操作性的，以影響程度等級和安全事件可能性等級為判斷維度的安全評估落實(shí)方案。

隨后經(jīng)過大約兩年時(shí)間，《數(shù)據(jù)安全管理辦法（征求意見稿）》以及《個(gè)人信息出境安全評估辦法（征求意見稿）》相繼公開征求意見。《數(shù)據(jù)安全管理辦法（征求意見稿）》納入個(gè)人信息的有關(guān)內(nèi)容，將包括個(gè)人信息在內(nèi)的數(shù)據(jù)的收集、處理使用、安全監(jiān)督管理進(jìn)行了規(guī)定。《數(shù)據(jù)安全管理辦法（征求意見稿）》區(qū)分重要數(shù)據(jù)和個(gè)人信息，涉及重要數(shù)據(jù)跨境的，網(wǎng)絡(luò)運(yùn)營者應(yīng)進(jìn)行評估，并報(bào)經(jīng)同意或批準(zhǔn)；個(gè)人信息則按照其他規(guī)定執(zhí)行。

隨之而來的《個(gè)人信息出境安全評估辦法（征求意見稿）》中，個(gè)人信息的出境限制比數(shù)據(jù)出境更為嚴(yán)格，根據(jù)第3條的規(guī)定，凡涉及個(gè)人信息跨境，均需要進(jìn)行個(gè)人信息出境安全評估申報(bào)?！秱€(gè)人信息出境安全評估辦法（征求意見稿）》可以視為先前《個(gè)人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》的細(xì)化版本，其對申報(bào)材料、安全評估期限、救濟(jì)渠道等內(nèi)容進(jìn)行細(xì)化規(guī)定，并強(qiáng)調(diào)網(wǎng)絡(luò)運(yùn)營者與個(gè)人信息接收者簽訂的合同或者其他有法律效力的文件（統(tǒng)稱合同）中所應(yīng)規(guī)定的，保障個(gè)人信息權(quán)利以及網(wǎng)絡(luò)運(yùn)營者、個(gè)人信息接收者責(zé)任義務(wù)的要求。在該文件中，合同審核成為了安全評估的重點(diǎn)內(nèi)容。

這一階段，數(shù)據(jù)跨境安全評估制度得到了較高程度的討論與細(xì)化，奠定了該制度在數(shù)據(jù)跨境制度中的重要地位。

2. 數(shù)據(jù)跨境安全評估制度的重要更新——以《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》為標(biāo)志

（1）數(shù)據(jù)跨境安全評估制度的適用日益多元化和具體化

隨著《數(shù)據(jù)安全法》（“《數(shù)安法》”）以及《個(gè)人信息保護(hù)法》（“《個(gè)信法》”）相繼出臺(tái)并生效，我國的數(shù)據(jù)跨境制度的基本法律框架得以進(jìn)一步厘清?！稊?shù)安法》第31條在CIIO向境外提供重要數(shù)據(jù)時(shí)延續(xù)了《網(wǎng)安法》的規(guī)定，還為非CIIO的數(shù)據(jù)處理者在向境外提供重要數(shù)據(jù)提供了制度留白。《個(gè)信法》則是在數(shù)據(jù)處理者的基礎(chǔ)上，進(jìn)一步界定了個(gè)人信息處理者，并規(guī)定了“個(gè)人信息跨境提供的規(guī)則”專章來專門針對個(gè)人信息跨境構(gòu)建規(guī)則框架。在《個(gè)信法》下，個(gè)人信息跨境場景下的安全評估制度有了更多的細(xì)化規(guī)定。

適用主體上，《個(gè)信法》繼承了《網(wǎng)安法》和《數(shù)安法》的規(guī)定，將屬于CIIO的個(gè)人信息處理者納入需要安全評估的責(zé)任主體范圍。在此基礎(chǔ)上，《個(gè)信法》第36條和第40條還加入兩個(gè)需要進(jìn)行安全評估的責(zé)任主體，分別是國家機(jī)關(guān)和處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定人數(shù)的個(gè)人信息處理者（下稱“大型個(gè)人信息處理者”）?！秱€(gè)信法》對上述三者提出了個(gè)人信息本地化要求，因需要確需出境的，則需要進(jìn)行安全評估。其中，CIIO作為長期存在的概念，其概念界定、認(rèn)定標(biāo)準(zhǔn)以及認(rèn)定程序在《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》中有了相對明確的規(guī)定。各主體可以根據(jù)該條例的要求，對自身是否可能會(huì)被認(rèn)定為CIIO進(jìn)行自評估，可能會(huì)被認(rèn)定為CIIO的，宜以CIIO的標(biāo)準(zhǔn)開展數(shù)據(jù)跨境合規(guī)工作?？梢钥闯?，在整個(gè)數(shù)據(jù)出境制度體系中，數(shù)據(jù)出境安全評估占據(jù)十分重要的位置。因?yàn)閷τ谔囟ㄖ黧w而言，安全評估并不是《個(gè)信法》第38條第1款所規(guī)定的“選擇性義務(wù)”，而是第36條、第40條所規(guī)定的“強(qiáng)制性義務(wù)”；不是《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》第35條中數(shù)據(jù)出境的“選擇性義務(wù)”；而是第37條所規(guī)定的“強(qiáng)制性義務(wù)”。而同時(shí)，“處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者”尚需進(jìn)一步界定。

（2）后續(xù)規(guī)則草案嘗試制度落地

《網(wǎng)安法》《數(shù)安法》以及《個(gè)信法》三駕馬車的形成，為后來的《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》的制定提供了上位法基礎(chǔ)?！毒W(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》將數(shù)據(jù)跨境統(tǒng)一處理，將個(gè)人信息跨境制度框架擴(kuò)展成為數(shù)據(jù)跨境制度的一般框架，其基本上遵循了《個(gè)信法》的制度架構(gòu)，但同時(shí)對三大法律的規(guī)定進(jìn)行了細(xì)化，形成制度補(bǔ)充。在延續(xù)性地將數(shù)據(jù)出境安全評估作為數(shù)據(jù)出境的一種條件的基礎(chǔ)上，《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》嘗試就數(shù)據(jù)出境安全評估的觸發(fā)條件做進(jìn)一步明確，除CIIO情形外，還包括了出境數(shù)據(jù)中包含重要數(shù)據(jù)、處理一百萬人以上個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息。

現(xiàn)今生效的辦法在統(tǒng)一處理數(shù)據(jù)出境的基礎(chǔ)上，對統(tǒng)一的安全評估制度做了進(jìn)一步更新。其第4條對《個(gè)信法》“處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者”進(jìn)行了補(bǔ)充界定，在“處理個(gè)人信息達(dá)到一百萬人的個(gè)人信息處理者向境外提供個(gè)人信息”的基礎(chǔ)上，補(bǔ)充了“自上年1月1日起累計(jì)向境外提供超過十萬人個(gè)人信息或者一萬人敏感個(gè)人信息”的數(shù)據(jù)處理者的情形，較為顯著地?cái)U(kuò)大了數(shù)據(jù)出境安全評估制度的適用范圍。

在具體的評估流程上，《數(shù)據(jù)出境安全評估辦法》明確了自評估——申請?jiān)u估——重新申報(bào)評估的評估流程框架，并對部分細(xì)節(jié)進(jìn)行了更新。例如，在有效期上，《數(shù)據(jù)出境安全評估辦法》規(guī)定了2年的固定有效期，2年有效期屆滿均需要進(jìn)行安全評估，并且規(guī)定有效期內(nèi)需要重新評估的情形。在評估時(shí)限上，《數(shù)據(jù)出境安全評估辦法》充分考慮到了安全評估工作的復(fù)雜性，例如根據(jù)第10條的要求，國家網(wǎng)信部門受理申報(bào)后，需要根據(jù)申報(bào)情況組織國務(wù)院有關(guān)部門、省級網(wǎng)信部門、專門機(jī)構(gòu)等進(jìn)行安全評估，因而整個(gè)過程需要多部門協(xié)同以及具有較高的專業(yè)性。

在該辦法中，數(shù)據(jù)跨境合同等法律文件仍然是重要的評估內(nèi)容，與《個(gè)人信息出境安全評估辦法》相比，《數(shù)據(jù)出境安全評估辦法》綜合了的個(gè)人信息處理情況、個(gè)人信息權(quán)利保障以及網(wǎng)絡(luò)運(yùn)營者和接收者的責(zé)任義務(wù)于一體，并補(bǔ)充再跨境條款和爭議解決條款的要求，因而更為簡潔，同時(shí)也更強(qiáng)調(diào)標(biāo)準(zhǔn)合同的可行性、周全性以及可執(zhí)行性。

以上可以看出，《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》生效之后這一時(shí)期的跨境制度，立法者逐漸梳理清楚了數(shù)據(jù)和個(gè)人信息之間的關(guān)系，搭建了基本統(tǒng)一的數(shù)據(jù)跨境法律制度框架。這一時(shí)期的個(gè)人信息跨境制度的構(gòu)建拓展了多種允許數(shù)據(jù)跨境的路徑。在眾多路徑中，安全評估仍然是數(shù)據(jù)合法跨境的最為重要的路徑，也是特定數(shù)據(jù)處理者的強(qiáng)制性義務(wù)。同時(shí)，安全評估作為我國特色的數(shù)據(jù)跨境制度，其具體的落實(shí)應(yīng)給予足夠的關(guān)注和重視。而《數(shù)據(jù)出境安全評估辦法》的最終生效，象征著我國數(shù)據(jù)出境安全評估制度的進(jìn)一步落地，為數(shù)據(jù)處理者在開展數(shù)據(jù)安全評估工作提供了確定可操作的法律依據(jù)，因而具有里程碑式的意義。

03、《數(shù)據(jù)出境安全評估辦法》內(nèi)容解讀

1.數(shù)據(jù)出境評估情形與流程

從整體體例來看，《數(shù)據(jù)出境安全評估辦法》對安全評估的程序性規(guī)則和實(shí)體評估內(nèi)容均進(jìn)行了規(guī)定。辦法中所規(guī)定的自評估—申請?jiān)u估—重新評估，以及評估材料、評估時(shí)間、評估通知、評估材料補(bǔ)充更正、評估結(jié)果撤銷均屬于程序性的規(guī)定。這些規(guī)定能夠幫助數(shù)據(jù)處理者定位自己在開展數(shù)據(jù)出境安全評估工作中所處的時(shí)間點(diǎn)位。

2.數(shù)據(jù)出境評估內(nèi)容

上述環(huán)節(jié)中，數(shù)據(jù)處理者的自評估與網(wǎng)信部門等有關(guān)部門安全評估構(gòu)成整個(gè)評估流程中相對關(guān)鍵和重要的內(nèi)容。《數(shù)據(jù)出境安全評估辦法》第5條、第8條及對自評估及安全評估的重點(diǎn)事項(xiàng)進(jìn)行了列舉說明。

值得注意的是，對于數(shù)據(jù)出境安全自評估是否為企業(yè)的強(qiáng)制性法律義務(wù)，在《數(shù)據(jù)出境安全評估辦法》中也給出了相應(yīng)的傾向性回答。我們注意到，《數(shù)據(jù)出境安全評估辦法》正式稿第5條改變了企業(yè)需履行“自評估”的法定條件，將原先征求意見稿中“數(shù)據(jù)處理者在向境外提供數(shù)據(jù)前”改為“數(shù)據(jù)處理者在申報(bào)數(shù)據(jù)出境安全評估前”，因此我們理解，對于明顯不符合或者不屬于需向網(wǎng)信部門等相關(guān)部門申報(bào)數(shù)據(jù)出境安全評估的情形，數(shù)據(jù)出境安全風(fēng)險(xiǎn)自評估可能并非強(qiáng)制性法律義務(wù)，但這并不代表企業(yè)在向境外提供數(shù)據(jù)前無需進(jìn)行任何內(nèi)部自主判斷，因此企業(yè)依然可以通過自評估的方式，對于是否滿足數(shù)據(jù)出境安全評估的要求進(jìn)行自證。此外，《個(gè)人信息保護(hù)法》第55條仍然對企業(yè)向境外提供個(gè)人信息的行為，需履行個(gè)人信息保護(hù)影響評估的法定義務(wù)。

除上述之外，《數(shù)據(jù)出境安全評估辦法》第9條對數(shù)據(jù)跨境法律文件（合同）應(yīng)當(dāng)包含的內(nèi)容也進(jìn)行了說明；法律文件條款的設(shè)置也將構(gòu)成自評估和安全評估的重要組成部分。

數(shù)據(jù)出境法律文件評估

● 數(shù)據(jù)出境的目的、方式和數(shù)據(jù)范圍，境外接收方處理數(shù)據(jù)的用途、方式等；

●?數(shù)據(jù)在境外保存地點(diǎn)、期限，以及達(dá)到保存期限、完成約定目的或者法律文件終止后出境數(shù)據(jù)的處理措施；

●?對于境外接收方將出境數(shù)據(jù)再轉(zhuǎn)移給其他組織、個(gè)人的約束性要求；

●?境外接收方在實(shí)際控制權(quán)或者經(jīng)營范圍發(fā)生實(shí)質(zhì)性變化，或者所在國家、地區(qū)數(shù)據(jù)安全保護(hù)政策法規(guī)和網(wǎng)絡(luò)安全環(huán)境發(fā)生變化以及發(fā)生其他不可抗力情形導(dǎo)致難以保障數(shù)據(jù)安全時(shí)，應(yīng)當(dāng)采取的安全措施；

●?違反法律文件約定的數(shù)據(jù)安全保護(hù)義務(wù)的補(bǔ)救措施、違約責(zé)任和爭議解決方式；

●?出境數(shù)據(jù)遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等風(fēng)險(xiǎn)時(shí)，妥善開展應(yīng)急處置的要求和保障個(gè)人維護(hù)其個(gè)人信息權(quán)益的途徑和方式。

以上可以看出，自評估與安全評估的重點(diǎn)事項(xiàng)在內(nèi)容上有一定重疊，安全評估將重點(diǎn)關(guān)注數(shù)據(jù)出境活動(dòng)對國家安全、公共利益、個(gè)人或組織合法權(quán)益帶來的風(fēng)險(xiǎn)，并將基于此額外考慮境外接收方所在國家或地區(qū)的政策、法律、網(wǎng)絡(luò)安全環(huán)境對出境數(shù)據(jù)安全的影響，以及數(shù)據(jù)出境活動(dòng)及所涉相關(guān)方遵守中國法律、行政法規(guī)、部門規(guī)章情況。

3.企業(yè)開展自評估的維度及要求

正如前文所述，本文認(rèn)為數(shù)據(jù)處理者在正式開展評估工作時(shí)，應(yīng)充分將申請?jiān)u估階段和合同等法律文件條款評估納入到自評估的內(nèi)容中。但鑒于這些評估內(nèi)容在表述上仍較為寬泛，本文在對《數(shù)據(jù)出境安全評估辦法》評估內(nèi)容進(jìn)行總結(jié)的基礎(chǔ)上，進(jìn)一步細(xì)化其顆粒度，爭取為自評估工作提供一個(gè)更為清晰的指引。根據(jù)《數(shù)據(jù)出境安全評估辦法》第5條、第8條和第9條的內(nèi)容，本文認(rèn)為可以從以下幾個(gè)維度分別開展自評估工作：數(shù)據(jù)處理者維度、數(shù)據(jù)接收方維度、數(shù)據(jù)出境風(fēng)險(xiǎn)維度，以及合同約束維度。分別整理如下：

根據(jù)上述整理，本文結(jié)合業(yè)務(wù)實(shí)踐，嘗試提出具有針對性的可落地和可操作性的評估內(nèi)容。并結(jié)合上述的自評估流程，給出完成對應(yīng)評估項(xiàng)的評估階段，厘清各評估維度的流程定位。當(dāng)然，評估內(nèi)容的結(jié)構(gòu)邏輯也可以根據(jù)實(shí)際情況進(jìn)行靈活調(diào)整：

結(jié)語

出境數(shù)據(jù)在第三國的安全保障歷來是國際層面諸多司法轄區(qū)數(shù)據(jù)跨境制度的關(guān)注重點(diǎn)，同時(shí)也隨著法律對經(jīng)濟(jì)的影響而不斷調(diào)整。比如近期，隨著歐盟法院在Schrems II案中因擔(dān)憂歐盟公民個(gè)人數(shù)據(jù)因可能被美國當(dāng)局有關(guān)部門獲取而無法得到有效保障，決定歐美“隱私盾協(xié)議”無效，歐盟對其數(shù)據(jù)跨境制度中個(gè)人數(shù)據(jù)在第三國是否得到有效保障予以了重新審視，并于2021年6月發(fā)布了新版的標(biāo)準(zhǔn)合同條款（SCC）。而此后，歐盟數(shù)據(jù)保護(hù)委員會(huì)（EDPB）發(fā)布了《關(guān)于數(shù)據(jù)跨境轉(zhuǎn)移的補(bǔ)充措施最終建議》（Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data），明確數(shù)據(jù)出境方在適用適當(dāng)保護(hù)措施的情況下進(jìn)行個(gè)人數(shù)據(jù)跨境時(shí)應(yīng)進(jìn)行數(shù)據(jù)跨境影響評估，評估第三國的現(xiàn)行法律和/或慣例中是否有任何內(nèi)容可能影響數(shù)據(jù)出境方所采取的出境工具的適當(dāng)保護(hù)措施的有效性，且須包含對第三國政府機(jī)構(gòu)獲取數(shù)據(jù)能力的評估。這一做法與我國的數(shù)據(jù)出境安全評估制度有異曲同工之處，表明歐盟當(dāng)局通過數(shù)據(jù)出境方的影響評估，以補(bǔ)強(qiáng)論證適當(dāng)保護(hù)措施有效性的監(jiān)管意圖。

《數(shù)據(jù)出境安全評估辦法》的頒布，標(biāo)志著我國距離數(shù)據(jù)安全評估制度的落地有了長足的進(jìn)步，為數(shù)據(jù)處理者開展數(shù)據(jù)出境安全評估提供了確定性的法律依據(jù)。數(shù)據(jù)處理者應(yīng)根據(jù)《數(shù)據(jù)出境安全評估辦法》第5條、第8條和第9條的內(nèi)容，嚴(yán)格按照規(guī)定程序開展工作。其中，自評估對各數(shù)據(jù)處理者的數(shù)據(jù)出境合規(guī)提出了更為細(xì)致且實(shí)際的要求，不僅可以成為數(shù)據(jù)安全評估制度的基礎(chǔ)性、前提性工作，同時(shí)也有助于各數(shù)據(jù)處理者開展日常的數(shù)據(jù)流轉(zhuǎn)梳理，對促進(jìn)數(shù)據(jù)處理者數(shù)據(jù)管理的規(guī)范化、個(gè)人信息權(quán)益保護(hù)有巨大助益。

最后，從《數(shù)據(jù)出境安全評估辦法》的落地我們也能看出國家對于數(shù)據(jù)安全監(jiān)管的決心，“以安全促發(fā)展”將成為數(shù)字經(jīng)濟(jì)發(fā)展的首要指導(dǎo)原則之一。在數(shù)據(jù)安全上升到國家安全的今天，企業(yè)需要理解和體會(huì)國家數(shù)據(jù)監(jiān)管的格局和基礎(chǔ)原則，在原有的國際化發(fā)展的慣性中找到合規(guī)與商業(yè)的平衡點(diǎn)，尋求新型的國際化發(fā)展方向，在安全、合規(guī)的主旋律中奏響數(shù)字經(jīng)濟(jì)的新篇章。

來源：金杜研究院

專家介紹

寧宣鳳

走出去智庫（CGGT）特約法律專家

金杜律師事務(wù)所合伙人

業(yè)務(wù)領(lǐng)域：反壟斷與反不正當(dāng)競爭，以及網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)

在反壟斷領(lǐng)域，寧律師所提供的法律服務(wù)內(nèi)容主要包括經(jīng)營者集中反壟斷申報(bào)、應(yīng)對反壟斷行政調(diào)查、反壟斷法合規(guī)咨詢以及反壟斷訴訟。早在2008年《反壟斷法》實(shí)施之前，寧宣鳳律師就曾積極參與政府起草該項(xiàng)法案的咨詢工作，并在該法頒布后，繼續(xù)積極參與協(xié)助相關(guān)條例、實(shí)施辦法及指南的起草工作。在網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)領(lǐng)域，寧律師曾為多家國內(nèi)外知名企業(yè)提供數(shù)據(jù)合規(guī)盡職調(diào)查、風(fēng)險(xiǎn)評估、合規(guī)體系建設(shè)等法律服務(wù)。作為國內(nèi)最早涉足該類法律實(shí)務(wù)的律師之一，寧律師在為客戶提供網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)法律咨詢服務(wù)方面有著豐富的經(jīng)驗(yàn)。

吳涵

金杜律師事務(wù)所合伙人

合規(guī)業(yè)務(wù)部

業(yè)務(wù)領(lǐng)域：網(wǎng)絡(luò)安全、數(shù)據(jù)合規(guī)與治理

吳律師主要協(xié)助企業(yè)在數(shù)字經(jīng)濟(jì)轉(zhuǎn)型期發(fā)揮數(shù)據(jù)驅(qū)動(dòng)力，實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型、數(shù)據(jù)商業(yè)化及智能化應(yīng)用。具體包括協(xié)助客戶制定修改隱私政策、算法可解釋性聲明，制定跨境數(shù)據(jù)傳輸計(jì)劃，制定數(shù)據(jù)商業(yè)化合規(guī)方案，搭建算法治理體系，梳理企業(yè)數(shù)據(jù)（包括個(gè)人信息保護(hù)）合規(guī)體系，進(jìn)行網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)自查，協(xié)助搭建數(shù)據(jù)融合的商業(yè)及合規(guī)框架，構(gòu)建企業(yè)數(shù)據(jù)資產(chǎn)體系等。吳律師擅長從中國合規(guī)的角度為跨國企業(yè)在中國的分支機(jī)構(gòu)提供網(wǎng)絡(luò)安全、數(shù)據(jù)治理及智能合規(guī)意見。同時(shí)吳涵律師能夠立足中國相關(guān)法律法規(guī)，為中國走出去企業(yè)建立符合歐盟（GDPR）及美國（CCPA）等跨司法轄區(qū)要求的網(wǎng)絡(luò)安全、數(shù)據(jù)合規(guī)及智能化監(jiān)管體系。項(xiàng)目覆蓋金融、保險(xiǎn)、健康醫(yī)療、人工智能、網(wǎng)約車平臺(tái)、航空、消費(fèi)電子、互聯(lián)網(wǎng)廣告、汽車、電商等多個(gè)行業(yè)。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。