《法人》特約撰稿 周治成

莊燕君

方達律師事務所合規團隊合伙人，中國人民公安大學企業合規與社會治理研究院研究員，北京律師協會智庫刑事合規專家組成員

新 聞

2022年7月7日，國家互聯網信息辦公室(下稱“國家網信辦”)出臺 《數據出境安全評估辦法》 (下稱“評估辦法”)，于9月1日起正式施行。評估辦法規定了數據出境安全評估的范圍、條件和程序，為數據出境安全評估工作提供了具體指引。2022年8月31日，國家網信辦發布了其編制的《數據出境安全評估申報指南(第一版)》，為企業申報提供更為具體的指引。

解 讀

評估辦法明確了個人信息與重要數據出境安全評估的適用范圍、重點評估內容、評估流程與期限，以及不進行事前評估的法律后果等實質性內容。在申報流程方面，評估辦法要求提請國家網信辦評估申報前，作為境內出境方的數據處理者應進行自評估，并形成自評估報告一并提交。

鑒于數據跨境活動既影響個人信息權益，也與國家安全和公共利益息息相關，數據跨境制度建設已經被世界上許多國家高度重視。從我國數據跨境管理制度的沿革來看，不少敏感或關鍵行業，如健康醫療、地理測繪等，其監管規則中早已納入數據出境管理規則，早在網絡安全法第三十七條中，國家就擬制了針對個人信息和重要數據跨境傳輸活動的基本規則。隨著近年來數據安全法、個人信息保護法的頒行，以及境外數據跨境流動的監管態勢日益趨嚴，我國數據跨境制度框架也得以進一步完善，評估辦法正是落實數據保護三大基本法有關數據出境安全評估機制的重要舉措。

評估辦法規定，本辦法施行前已經開展的數據出境活動，不符合本辦法規定的，應當自本辦法施行之日起6個月內完成整改?？紤]到評估辦法留給境內數據出境方的整改過渡期限將至，監管部門是否會在過渡期結束后集中開展執法活動尚不明確，建議企業：(1)盡早梳理內部跨境業務場景，對涉敏感、風險高的業務數據出境場景開展優先整改，同時盡快落地數據分級分類管理，結合業務實際情況對數據出境的必要性予以自查;(2)創建評估所需的工具清單(包括但不限于對境內出境方的要求和對境外接收方的要求)，參考《個人信息出境標準合同規定(征求意見稿)》等規定中對于境內出境方及境外接收方的要求，制定內部的自評估流程，及早開展自評估工作;(3)根據安全評估的不同結果準備不同的操作預案，并密切關注業內申報案例，尋找本地化替代方案以盡量避免出境風險。

(責編 惠寧寧)