摘要：随着安全评估、标准合同、以及信安标委的《个人信息跨境处理活动安全认证规范》等办法相继出台，数据跨境流程更清晰、更具实操性。

据财新网消息，经过数年酝酿，《数据出境安全评估办法》落地。7月7日，国家网信办公告，《数据出

境安全评估办法》（下称《办法》）已经审议通过，将自2022年9月1日起施行。

安全评估是数据出境的合规方法之一，用于传输量较大、关键敏感的数据出境合规。

此前，国家网信办就数据出境安全评估公开征求了三次意见。2017年4月，国家网信办曾根据《网络安全法》出台《个人信息和重要数据出境安全评估办法（征求意见稿）》，但该办法一直没有更新正式版；2019年6月，国家网信办再就《个人信息出境安全评估办法（征求意见稿）》公开征求意见，一方面借鉴了欧盟《通用数据保护条例》（GDPR）等已经落地实施的法案，另一方面听取产业界意见，将评估范围收窄至个人信息；2021年10月，国家网信办终于推出了最接近于《办法》的《数据出境安全评估办法（征求意见稿）》。

多位数据合规专家向财新指出，较2021年10月发布的征求意见稿，《数据出境安全评估办法》最终版本的改动较小，在细节上让时间表和流程更加清晰，让操作更加便利。

根据《办法》，需申报数据出境安全评估的情形包括数据处理者向境外提供重要数据；关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；国家网信部门规定的其他需要申报数据出境安全评估的情形。

中伦律师事务所合伙人陈际红向财新指出，较征求意见稿，最终版本加入了“自上年1月1日起”的限定，这就意味着累计传输信息的时限是两年内，而不是无限期的，毕竟无限期的累计，数据总归会达到“10万人个人信息或者1万人敏感个人信息”的界限。按两年的时限计算，这减轻了跨境数据量不太大的中小企业的合规负担。

《办法》对重要数据进行了定义，即一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。

上海交通大学数据法律研究中心执行主任何渊向财新分析，对重要数据的定义可以看出，《数据出境安全评估办法》监管的不仅仅是个人信息，还包括了国家安全相关的重要和敏感数据。对于数据量不大、不涉及关键敏感信息的个人数据传输者，他们可以选择订立数据出境的标准合同，以达到数据出境合规。

标准合同是数据出境的另一种合规路径。6月30日，国家互联网信息办公室推出《个人信息出境标准合同规定（征求意见稿）》（下称《规定》），适合“轻量”、非敏感个人数据出 境。据《规定》，个人信息出境标准合同的适用者包括：非关键信息基础设施运营者；处理个 人信息不满100万人的；自上年1月1日起累计向境外提供未达到10万人个人信息的；自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。

据《办法》，在申报安全评估之前，数据处理者需按规定的项目开展数据出境风险自评 估。做完自评估后，申报数据出境安全评估时，数据处理者应当提交申报书、数据出境风险自评估报告、数据处理者与境外接收方拟订立的法律文件、以及安全评估工作需要的其他材料。

值得注意的是，与征求意见稿不同，《办法》要求数据处理者向地省级网信部申报，而不是直接向国家网信部门申报。《办法》规定，省级网信部门应当自收到申报材料之日起5个工作日内完成完备性查验。申报材料齐全的，将申报材料报送国家网信部门。申报材料不齐全的，应当退回数据处理者并一次性告知需要补充的材料。国家网信部门应当自收到申报材料之日起7个工作日内，确定是否受理并书面通知数据处理者。

何渊表示，上述流程更加具有可操作性——地方上完成形式的审查，中央的网信办完成实质的审查，减轻了中央网信办的行政负担。《办法》规定，评估结果发出后，数据处理者对评估结果有异议的，可以在收到评估结果15个工作日内向国家网信部门申请复评，复评结果为最终结论。

陈际红向财新指出，复评的选项也是征求意见稿中没有的，增加了救济的渠道。何渊则指出，最终结论发出后，不能提起复议或起诉。