数据出境安全评估办法征求意见：风险自评估与安全评估相结合，强调境外数据接收方责任

原标题：数据出境安全评估办法征求意见：风险自评估与安全评估相结合，强调境外数据接收方责任

21世纪经济报道 记者张雅婷 郭美婷 广州报道10月29日，国家互联网信息办公室公布《数据出境安全评估办法（征求意见稿）》（以下简称《征求意见稿》）。

在《个人信息保护法》和《数据安全法》等出台后，《征求意见稿》对数据出境安全评估重新进行的明确和梳理，提出“风险自评估与安全评估相结合”，在国家网信部门对跨境数据进行评估之前，多加一道企业“自评估”的闸门。

《征求意见稿》一方面强调境外数据接收方遵循中国各项法律法规，另一方面赋予了数据跨境企业更多的合规责任，同时对执行数据安全风险评估工作的相关部门提出更高要求。

保障跨境数据安全的法律法规正逐步落实。《征求意见稿》出台当日，国家市场监督管理总局发布《互联网平台落实主体责任指南（征求意见稿）》，要求超大型平台经营者应当建立健全数据安全审查与内控机制。

风险自评估与安全评估相结合

今年8月20日，《个人信息保护法》正式通过，企业的信息安全风险备受关注。

数据跨境的流动由于具有不可逆的特性，安全问题事关国家安全，与个人、公共利益休戚相关。《网络安全法》《数据安全法》和即将施行的《个人信息保护法》都明确了重要数据和个人信息出境应当通过国家网信部门组织的安全评估。

《征求意见稿》提出“风险自评估与安全评估相结合”，也即除网信部门的评估外，还要求数据处理者在向境外提供数据前，应事先开展数据出境风险自评估。

浙江垦丁律师事务所W&W国际法律团队创始人王捷告诉21世纪经济报道记者，“自评估”最早可见于2017年网信办发布的《个人信息和重要数据出境安全评估办法（征求意见稿）》第七条规定的“网络运营者应在数据出境前，自行组织对数据出境进行安全评估，并对评估结果负责”。同时，2017年《信息安全技术数据出境安全评估指南（征求意见稿）》、2019年《数据安全管理办法（征求意见稿）》也对数据出境安全自评估有相应的规定。

“对比2017年和2019年的办法而言，本次《征求意见稿》是在《个人信息保护法》的背景下制定的，其适用的对象为‘在境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息’。”王捷说。

北京清律律师事务所首席合伙人熊定中也指出，《征求意见稿》在《个人信息保护法》和《数据安全法》出台后，对数据出境安全评估重新明确和梳理，也为更好地落实上述法律中的相关条款。

《征求意见稿》规定，企业自评估的重点评估的事项包括：数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；出境数据的数量、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险；境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全；数据出境和再转移后泄露、毁损、篡改、滥用等的风险，个人维护个人信息权益的渠道是否通畅等；以及与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务。

北京师范大学网络法治国际中心执行主任吴沈括表示，由于企业对自身的情况及境外接收方的情况更为清楚，该举措能够促进境内企业更谨慎地对待数据出境，并作出预先的风险判断。

“风险自评估制度经常适用于金融领域中，对于数据跨境的风险自评估机制，则是指从事数据跨境流动业务的主体，主动根据规范要求进行风险评测得出初步论断。”中国政法大学网络法学研究所副所长商希雪认为，企业对数据安全风险的来源、预防与处理的判断更为熟悉与清晰，因此将跨境数据提供者的风险自评估作为网信部门安全评估的前提性程序，为网信部门提供了参考，也便于网信部门根据自评估报告有针对性地组织与开展数据安全评估工作。

风险自评估也意味着，企业应对评估报告的结果承担责任。熊定中表示，一旦发现问题，评估人或评估报告签字人可能将面临事后追责。

强调境外数据接收方责任

完成数据出境风险自评估报告仅是企业数据跨境传输的一小步，在申报网信办的相关评估工作前，企业还需提供与境外接收方拟订立的合同或者其他具有法律效力的文件等（以下统称合同），并要求合同中，明确数据的境外接收方的责任和义务。

合同应涉内容在《征求意见稿》中进行了规定，但具体细节尚未明确。据王捷了解，相关立法部门正在起草对应的合同范本。她建议合同的拟定应结合业务情况进行起草，以便满足法律的基准要求。

《征求意见稿》要求，合同必须包含限制境外接收方将出境数据再转移的约束条款、难以保障数据安全时应当采取的安全措施，以及违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款等。

这一规定也体现在网信办的重点评估事项之一中：“境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响；境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规规定和强制性国家标准的要求。”

“这对境外数据接收方的合规要求提出了更多细化的规则，包括承担数据安全责任义务的主观意愿，以及组织管理能力、技术安全能力等客观水平，同时强调其遵循中国法律的义务。这意味着在跨国企业全球一体化的信息组织管理系统中，需要针对中国法进行专门调整。”吴沈括指出，此举能够推动境内数据处理者通过协议、合同等方式，确保和强化境外数据接收方遵循中国法律法规的各项要求，实现中国法的域外适用。

《征求意见稿》还明确了评估的流程、时间，对评估后的持续监管做了明确的规定，兼顾数据出境的全生命周期的管理。

例如，国家网信部门应自出具书面受理通知书之日起45个工作日内完成数据出境安全评估；可视情况复杂或者需要补充材料适当延长，但一般不超过60个工作日。同时，规定数据出境评估结果的有效期为二年，若有效期内出现数据处理方式的变化等，还应重新申报评估。

亮点也可能是难点。熊定中认为，45个工作日的时限可能是巨大挑战，尤其在北京、上海、深圳等发达城市，数据评估量都极大。

企业数据跨境合规要求更高

由于数据跨境需要符合多国或多法域的数据合规监管，对于企业而言，《征求意见稿》对数据出境企业提出了更高的合规要求。

“企业在某些无感的跨境传输时需要更小心，很容易触碰雷区。如使用某些国际知名软件，服务器在境外，员工可能电脑屏幕上轻点鼠标，数据就出境。”一位任职于国际品牌的法务人员提到，企业需在更加细化的程度上去评估自身的个人信息处理流程，将出境的要求嵌入全生命周期管理流程。

《征求意见稿》出台当日，国家市场监督管理总局发布《互联网平台落实主体责任指南（征求意见稿）》，要求超大型平台经营者应当建立健全数据安全审查与内控机制，对涉及用户个人信息的处理、数据跨境流动，涉及国家和社会公共利益的数据开发行为，必须严格依法依规进行，确保数据安全。

王捷表示，在现有的《个人信息保护法》及相关与数据保护的法律法规大背景下，我国要求个人信息与数据在境内存储为原则，企业需要先考量数据出境的必要性，在确有必要出境的情况下，要进行内部数据合规评估，以确认是否可以满足法定的出境条件。

在安全风险评估工作方面，有关部门如何平衡数据安全与数据流动之间的利益冲突，也成为现实难题。

“政府在安全评估中把握现实执行的标准和尺度尤为重要，除了考量技术层面的措施要求，还需要对软性环境做出客观判断。”商希雪表示，对于后者，一方面考验评估负责机构对数据跨境产业的业务了解程度，另一方面考验评估负责机构对国外的制度现状、产业状况、政策导向的熟悉程度。

商希雪建议，在数据安全风险评估工作中，可适当吸纳第三方专业机构介入提供辅助工作，尽可能综合考量多方的安全因素。同时，数据跨境流动深度影响贸易、创新和经济进步，鉴于数字产业的实时变动性，为提高安全评估的工作效率，执行机构可通过模型设计及应用、操作平台建设、申请流程简化等举措，逐渐探索出一套数据跨境安全评估的线上操作流程，以便于企业高效落实数据跨境安全的合规工作。

（作者：张雅婷,郭美婷 编辑：包芳鸣）