数据出境安全评估流程

数据出境安全评估办法为重要数据和个人信息的跨境流动设定了安全评估的前置条件，企业在启动数据出境活动前必须完成数据分类分级、自评估和正式评估三个阶段，未通过评估的数据不得向境外提供。

数据出境安全评估办法——跨境数据传输的合规路径

在全球化经营的背景下，企业将数据传输出境已经成为常态。无论是跨国公司的内部数据共享，还是企业使用境外的云服务，都涉及数据出境的问题。数据出境安全评估办法于2022年9月1日正式施行，为重要数据和个人信息的出境活动设定了明确的安全评估规则。本文详细解读数据出境安全评估的适用情形、评估流程和合规要点。

一、数据出境的法定情形

数据出境安全评估办法第四条明确列举了应当申报安全评估的四种情形。数据处理者向境外提供重要数据，无论数据量大小，都必须申报安全评估。关键信息基础设施运营者向境外提供个人信息，也必须申报安全评估。处理一百万人以上个人信息的数据处理者向境外提供个人信息，同样需要申报安全评估。自上年一月一日起累计向境外提供十万人以上个人信息或者一万人以上敏感个人信息的数据处理者，也需要申报安全评估。这四种情形覆盖了绝大多数需要将个人信息传输出境的企业场景。

不需要申报安全评估的情形包括：个人非商业目的的跨境信息传递、不属于重要数据和个人信息的一般商业数据跨境传输，以及法律法规另有规定的其他情形。

二、出境数据的分类分级

数据出境安全评估的第一项基础工作是数据的分类分级。企业应当对准备出境的全部数据进行梳理和分类，明确哪些数据属于重要数据、哪些属于个人信息、哪些属于一般商业数据。重要数据的识别应当以国家相关行业和领域的重要数据目录为依据，个人信息按照个人信息保护法的分类标准进行归类。数据分类分级完成后，企业应当编制数据出境清单，列明出境的每类数据的内容范围、数据量、出境目的和接收方等基本信息。

三、自评估阶段

在正式申报安全评估前，企业应当先完成数据出境自评估。自评估是数据出境安全评估的前置环节，由企业自行组织或者委托第三方机构实施。自评估的内容包括数据出境的目的和必要性评估，分析数据出境是否为了实现业务目的所必需。数据出境的安全风险，评估数据在传输和境外存储过程中面临的泄露、篡改和非法访问等安全风险。境外接收方的数据保护能力，评估境外接收方的数据安全保护水平是否达到中国法律要求的标准。

自评估完成后，企业应当形成自评估报告，作为正式安全评估申报的附件材料。自评估报告应当真实、全面、准确地反映数据出境的安全风险状况。

四、正式安全评估

自评估完成后，企业通过省级网信部门向国家网信部门提交安全评估申报。申报材料包括申报书、数据出境风险自评估报告、数据处理者与境外接收方拟订立的法律文件、数据出境安全保护措施承诺书等。国家网信部门收到申报后，在七个工作日内决定是否受理。受理后，国家网信部门组织行业主管部门和专家进行安全评估，评估周期一般为四十五个工作日，情况复杂的可以延长。

评估结果分为通过和不通过两种。通过安全评估的，企业可以在有效期内按照申报的内容和范围向境外提供数据。评估结果有效期为二年，期满后需要继续从事数据出境活动的，应当在有效期届满前六十个工作日内重新申报评估。不通过安全评估的，企业不得向境外提供申报的数据。

五、境外接收方的义务

数据出境安全评估不仅规范境内的数据处理者，也对境外的数据接收方提出了要求。境外接收方应当按照与数据处理者签订的法律文件约定使用数据，不得超出约定的目的和范围使用数据。境外接收方应当采取必要的技术和管理措施，确保接收的数据安全。如果境外接收方所在国家和地区的法律规定与中国的数据保护要求存在冲突，数据处理者应当在法律文件中约定优先适用中国法律。

六、法律风险与合规建议

未通过安全评估或者未依法申报安全评估，擅自向境外提供数据的，将面临行政处罚。根据个人信息保护法和数据安全法的规定，违法向境外提供个人信息的，可以处以一百万元以下的罚款，情节严重的处以五千万元以下或者上一年度营业额百分之五以下的罚款。企业法定代表人、主要负责人和直接责任人员还将面临个人处罚。

建议从事数据出境活动的企业建立数据出境合规管理机制。包括设立数据保护官，统筹负责数据出境合规工作；建立数据出境台账，记录每次数据出境的详细情况；定期对数据出境活动进行合规审计，发现问题及时整改。对于暂时无法通过安全评估的数据出境活动，企业应当调整业务方案，将数据留在境内处理。

七、常见问题解答

问：数据出境安全评估的通过率如何？ 答：数据出境安全评估的通过率取决于企业准备材料的完整性和数据保护措施的充分性。目前已经通过评估的案例中，企业普遍在自评估、法律文件签署和安全保护措施方面做了充分准备。建议企业在正式申报前咨询专业机构。

问：通过安全评估后，企业可以无限期向境外提供数据吗？ 答：不可以。安全评估结果的有效期为二年。评估结果通过后企业还应当按照申报的内容和范围使用数据，不得擅自扩大出境数据的范围。有效期满后需要继续出境的，应当重新申报评估。

问：企业使用境外云服务是否一定涉及数据出境？ 答：企业使用境外云服务，如果云服务商将数据存储在境外，或者云服务商的运维人员可以远程访问存储在境内的数据，都可能构成数据出境行为。企业应当在使用境外云服务前，对数据出境情况进行评估。

北京企密安信息安全技术有限公司提供数据出境安全评估咨询服务，协助企业完成数据分类分级、自评估申报和安全保护方案设计。如需专业帮助，请致电010-63711822或发送邮件至jess@baomiwang.com。