数据出境安全评估实操指南

数据出境安全评估实操指南

一、这件事是怎么来的

2022年9月，《数据出境安全评估办法》正式施行。从那以后，凡是在境内运营中收集和产生的重要数据和个人信息，要向境外提供，就得先过安全评估这一关。很多企业的法务和IT负责人从那个时候开始，就多了一个让人头疼的课题。

到了2023年，国家互联网信息办公室又发布了《促进和规范数据跨境流动规定》，对一些场景做了豁免和调整。政策在变，但企业要面对的核心问题没有变：我到底要不要申报？如果要，怎么做？

二、先判断你需不需要申报

很多企业一上来就想找模板、填表格，这是走反了。第一步应该是判断：我的业务场景是否触发申报条件。

根据现行规定，以下情况需要申报数据出境安全评估：

一是数据处理者向境外提供重要数据。什么是重要数据？这需要对照行业主管部门发布的目录来判断。比如金融、汽车、医疗、能源等行业，都有各自的重要数据识别标准。如果你们行业还没有出目录，可以参照国家标准的思路，结合业务实际来判断。

二是关键信息基础设施运营者向境外提供个人信息。只要你是CIIO，哪怕只传一条个人信息，也要申报。

三是处理100万人以上个人信息的处理者，向境外提供个人信息。这个门槛是累计的，不是某个系统的用户数，而是企业整体处理的个人信息量。

四是自上年1月1日起，累计向境外提供10万人以上个人信息，或者1万人以上敏感个人信息。

如果以上都不满足，可能只需要通过标准合同或者认证来合规，不需要走安全评估。但要注意一个常见的误解：不是"数据量小就没事"，而是要看数据性质和场景。

三、自评估怎么做

如果确定需要申报，接下来就是自评估。这是整个流程中最耗时、也最容易出问题的一环。

自评估报告要回答几个核心问题：数据出境的目的是什么？涉及哪些数据？数据量有多大？接收方是谁？接收方的数据保护能力如何？数据出境后怎么保障安全？

这里有一个很多企业会踩的坑：把自评估做成了一张"填空题"。法务填法律条款，IT填技术措施，各填各的，最后拼在一起。这样出来的自评估报告经不起审查。好的自评估应该是跨部门协作的结果，法务、信息安全、业务部门、数据管理团队、合规审计，缺一不可。

举个例子：某跨境电商企业，需要把订单数据传给海外仓库管理系统。看起来只是传一些订单信息，但仔细一梳理发现，订单里包含了收货人姓名、电话、地址，还涉及支付信息，这是典型的个人信息出境。如果再深入一层，某些品类的订单数据可能涉及出口管制物项的物流信息，这就触碰到了重要数据的边界。

这样的场景，不是填一张表就能说清楚的。需要画数据流图，标注数据字段，分析每个字段的出境必要性，逐一评估风险。

四、申报材料准备

自评估报告完成后，就可以准备正式申报了。需要提交的材料包括：

申报书：写明企业基本情况、数据出境场景描述、数据量等。

自评估报告：刚才做的那份。

数据处理者承诺书：承诺材料真实、合规。

接收方数据处理协议：和境外接收方签的协议，要包含数据保护条款。

其他相关材料：根据审核部门要求补充。

这里提醒一点：申报书中的"数据出境场景"描述要清晰、完整。不要写得太笼统，比如"为了业务运营需要传输数据"，这样会被要求反复补正。要具体到哪个业务系统、哪些数据字段、通过什么方式传输、接收方怎么使用这些数据。

五、申报后的流程和时间线

材料提交后，省级网信部门会进行初步受理，符合条件的上报国家网信办。国家网信办受理后，一般在45个工作日内给出结论。情况复杂的可以延长，但会告知延期原因。

申报过程中可能会被要求补充材料，这是正常的，不用紧张。补正的问题越具体，说明审查越有针对性，反而说明方向对了。

六、企业在实操中容易忽略的几个问题

第一个是数据盘点。很多企业一开始说不清自己到底有哪些数据出境。根源在于数据资产底数不清。建议先做一次全面的数据资产盘点，把每个业务系统的数据字段、存储位置、流转路径都理清楚。这事儿虽然费力，但绕不过去。

第二个是境外接收方的管理。有些人认为签了协议就完事了。实际上需要持续关注接收方的数据保护能力和实际执行情况。如果接收方所在国家或地区的数据保护法律环境发生变化，需要重新评估风险。

第三个是存量数据出境的处理。新规施行前已经在出境的存量业务，需要在规定的过渡期内完成申报。不要抱着"以前没事以后也不会有事"的心态，监管是往前看的。

第四个是变更管理。企业业务是动态变化的，数据出境场景也会变。如果数据出境的目的、方式、数据范围发生了重大变化，需要重新申报。建议把数据出境合规纳入企业的变更管理流程，作为一个常规节点来跑。

七、写在最后

数据出境安全评估不是一个一次性的合规动作。政策在演进，业务在变化，监管技术在升级，这些都意味着企业需要把数据出境合规当作一项持续的工作来做。

如果现在你的企业还没有启动数据出境合规工作，可以先把数据资产盘一遍，看看有没有出境的场景。如果有，对照上面的流程判断一下是否需要申报。别等监管问上门来才动手，那时候就非常被动了。

每一步都不容易，但每一步也都有方法可循。关键在于搞清楚现状、踏踏实实做自评估、和跨部门的同事一起把事情理清楚。数据出境合规不是法务一个部门的任务，它需要整个企业的协同。