跨境数据安全评估怎么做 - 保密网

场景

"网信办让我们做数据出境安全评估，通知拿到了，然后呢？"

这是最近两个月我第三次收到类似的问题。一位金融科技公司的信息安全负责人王总，拿着一沓厚厚的准备材料找到我，说他们公司已经花了两个月整理数据，但说实话——根本不知道自己在整理什么。

这不是个别现象。从《数据出境安全评估办法》正式生效以来，我接触过的首要批、第二批申报的案例中，超过一半的企业在首要次提交后被要求补充材料，原因往往是：材料做得很厚，核心问题没讲清楚。

安全评估到底评什么？

先搞清楚一件事：数据出境安全评估，不是IT审计，不是合规检查表，而是一套以风险为导向的综合评估体系。

网信办要看的是这几个核心问题：

首要，为什么要出境？ 数据出境的目的是什么？是不是业务必须要做这件事？有没有不出境的替代方案？

第二，出的是什么数据？ 数据类型、数量、敏感程度、涉及的群体。如果是一堆无关紧要的数据，评估很快通过；如果是重要数据或大量个人信息，审查就会严格很多。

第三，接收方能保护好数据吗？ 境外接收方的数据处理能力、安全措施、法律环境。这个很关键——如果接收方所在国家/地区的数据保护水平不如国内，就会加重风险。

第四，数据出境后会有什么风险？ 对国家安全的潜在影响、对个人权益的风险、数据泄露的可能性。

申报前的五步准备

首要步：确认是否需要申报

不是所有数据出境都要安全评估。先判断清不清晰？三条标准：

是CIIO（关键信息基础设施运营者）吗？——是，任何数据出境都要评估。

要出境的是重要数据吗？——是，任何重要数据出境都要评估。

是个人信息处理者，要出境个人信息的？——看看数据量：过去两年处理过100万人以上个人信息？或者过去一年拟出境10万人以上普通个人信息、1万人以上敏感个人信息？有一个达到，就得评估。

第二步：成立专项工作组

这不是一个人能搞定的事。至少要拉上四个角色：

业务负责人（说出境目的和必要性）
法务/合规负责人（出法律评估意见）
数据管理负责人（出数据清单和分类分级）
安全技术负责人（出技术保护方案）

第三步：做数据梳理，别偷懒

这是最烦但最重要的步骤。

你得把所有要出境的数据列成清单。包括但不限于：数据名称、类型、字段、涉及用户数量、出境方式（API/邮件/云同步等）、存储位置、传输链路。

很多人在这一步出问题——不是没梳理清楚，是压根没梳理。凭印象说"大概几十万条数据"是不行的。网信办要求的"数据规模"是有证据支撑的，不是拍脑袋。

第四步：开展自评估

正式提交前，先自己做一次评估。自评估报告的内容包括：

数据出境和境外接收方处理数据的目的、范围、方式
数据出境的必要性
涉及的个人信息规模、范围、种类、敏感程度
境外接收方的安全保障能力、责任义务
数据出境后可能面临的风险
拟采取的安全保护措施

自评估不仅是为了填表，更是为了发现自己的问题。有些问题在自评估阶段发现了，你还有时间整改。直接提交的话，被退回的时间成本就高了。

第五步：准备正式申报材料

正式提交材料包括：数据出境安全评估申报书、数据出境风险自评估报告、与境外接收方订立的法律文件、安全保护措施证明文件、其他必要材料。

官方通过"数据出境安全评估申报系统"（https://sjcj.cac.gov.cn）在线提交。线下材料同步准备。

评估的大致流程和时间线

如果你以为申报后就等着拿结果，错了。整个流程大致是这样：

提交后5个工作日内：网信办初步审查，材料齐全受理，不齐全通知补正。
受理后45个工作日内：出评估结果。情况复杂可以延长，较多延长30个工作日。
评估通过后2年内有效：有效期内可以按照申报范围持续出境。到期前续报。

所以，理想情况是3个月左右能拿到结果。但如果中间补材料一次，时间就不好说了。我见过最快的45天过，最慢的改了三次材料、耗时8个月。

评估中的三个高频雷区

雷区一：材料做得很厚，核心问题没说清

很多企业喜欢"材料越多越好"，堆砌了大量无重点的文件。但网信办看的是：你出境的目的是否正当、数据范围是否合理、保护措施是否到位。篇幅长≠质量高。

雷区二：境外接收方的法律文件流于形式

很多企业拿一份模板协议就让接收方签了。不行。法律文件必须实质性地规定：数据出境的目的和范围、双方的数据保护责任、数据泄露通知机制、争议解决方式。缺一条都可能被退回。

雷区三：低估了复查和持续合规的要求

评估通过了不等于一劳永逸。两年有效期内，如果出现以下情况需要重新申报：数据处理目的、方式、范围变化；数据出境类型变化；境外接收方变更；境外接收方所在国家法律变化影响数据安全。这些变化来了你不重新申报，就等于"未批先做"。

常见问题（FAQ）

Q1：我们公司已经在传输数据了，还没做安全评估怎么办？

立即停止数据出境。然后尽快完成评估申报。继续违规划转数据的风险很高，轻则约谈整改，重则罚款甚至暂停业务。不要抱有侥幸心理。

Q2：评估通过后，每次数据传输都要向网信办报备吗？

不需要。评估通过后，在申报的范围内可以持续进行数据出境。但需要建立内部台账，记录每次数据传输的时间、数量、接收方反馈，以备后续监管检查。

Q3：我们是外资企业在中国设立的子公司，数据要传给海外总部，评估有特殊要求吗？

没有特殊豁免，和国内企业一样。外资企业更要注意的是：境外总部所在国/地区的法律可能要求总部访问或获取中国境内的数据。这种"双重压力"下，建议由中国子公司作为运营主体单独申报，明确数据出境的主体责任。

一句话总结

数据出境安全评估不是什么神秘程序，本质上是向监管证明三件事：你确实需要出境、你知道自己在出什么、你保护好数据了。

不要被"申报"两个字吓到。把数据梳理清楚，把评估做扎实，走通一次，以后就顺了。

企密安已协助超过50家企业完成数据出境安全评估申报，最长一次8个月，最短一次45天。需要协助？联系我们帮你跑通流程。

本文由企密安信息安全出品。转载请联系授权，侵权必究。