2022年7月7日，国家网信办发布《数据出境安全评估办法》【国家互联网信息办公室令第11号，实施日期为2022年9月1日，简称“办法”】，以上规章系目前针对企业数据出境最为明确的规制要求。在9月1日生效前，国家网信办亦发布《数据出境安全评估申报指南（第一版）2022年，简称“指南”》，为企业数据出境安全评估申报提供指导。近期，有客户陆续向就数据出境安全评估申报提出法律咨询。

笔者认为，对于企业而言，首要问题是适格性识别及评估，即：1、判断是否适用数据出境安全评估？2、数据出境安全评估申报的注意事项？

本期，我们结合相关规范的适用解读，一起来聊聊这两个问题。

判断是否适用数据出境安全评估，企业可从主体法律识别-数据出境法律识别-出境数据评估适用法律识别三个步骤依次展开：1.1 主体法律识别：判断是否属于适用主体？根据《办法》第2条，其适用主体为“数据处理者”。结合《办法》第4条，以及《数据安全法》第31条：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定”，以及2021年9月1日生效实施的《关键信息基础设施安全保护条例》（简称“关保条例”）可知，《办法》此处“数据处理者”事实上包括：表1：数据出境适用主体表格

《关保条例》的解读可参阅：数据法课堂11 I 特别加餐-关保新规出台，CIIO的合规清单请查收，对于CII的认定，可参考《关键信息基础设施识别指南》来执行。

根据《数据安全法》第3条，“数据”是指任何以电子或者其他方式对信息的记录，“数据处理”，包括数据的收集、存储、使用、加工、传输、提供、公开等。因此，区别于GDPR项下数据控制者及数据处理者的区分，我国法律项下的“数据处理者”是一个更广泛的概念，既包括控制（共同控制），也包括处理及受托处理的主体。

1.2 数据出境法律识别：判断是否属于数据出境以及本地化存储要求？

《办法》第2条规定：数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估，适用本办法。法律、行政法规另有规定的，依照其规定。因此，判断”数据出境“是重要关键点。

《指南》对数据出境活动进一步界定如下：

（1）数据处理者将在境内运营中收集和产生的数据传输、存储至境外；
（2）数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；
（3）国家网信办规定的其他数据出境行为。

实践中，数据出境的形式包括：电子邮件、FTP、跨境搭建的VPN、API等传输信道，或是通过U盘、移动硬盘、甚至装载数据的便携笔记本等

须特别注意，此处的“出境“，根据《出境入境管理法》第89条规定：出境，是指由中国内地前往其他国家或者地区，由中国内地前往香港特别行政区、澳门特别行政区，由中国大陆前往台湾地区”，即考虑到香港、澳门和台湾属于不同司法管辖区域，向其提供数据，亦属于数据出境行为。

除判断数据出境外，数据处理者还要关注我国关于数据本地化存储的相关数据类型，上述数据构成数据出境的禁止或强监管，包括：

表2：法定本地化存储的数据表格

由此可见，我国对于本地化存储的数据类型，主要涉及金融、医疗健康、交通运输等，除此之外，证券工作底稿、石油资料等都有相应的法律法规限制出境。

1.3 评估适用法律识别：判断是否属于应当评估情形？《办法》第2条规定本法的适用范围为“数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的行为”，同时第4条规定了应当通过省级网信部门向国家网信部门申报数据出境安全评估的法定情形，包括：①数据处理者向境外提供重要数据；②关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；③自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；④国家网信部门规定的其他需要申报数据出境安全评估的情形。可见：数据出境安全评估监管的数据类型重点是重要数据和个人信息，其中重要数据不限数量，而个人信息涉及数量要求（并根据一般个人信息和敏感个人信息有区分）。

1.3.1 重要数据的识别适用《办法》第19条对重要数据的界定是“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”，与《数据安全法》第21条关于分类分级和重要数据的初步界定而言，突出强调经济运行、社会稳定，以及公共健康和安全。根据《数据安全法》规定，重要数据系法律授权地区及行业制订重要数据具体目录。目前对”重要数据“有细化规定的，如：《汽车数据安全管理若干规定（试行）》对重要数据的界定，包括（1）军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据；（2）车辆流量、物流等反映经济运行情况的数据；（3）汽车充电网的运行数据；（4）包含人脸信息、车牌信息等的车外视频、图像数据；（5）涉及个人信息主体超过10万人的个人信息；（6）国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。须特别注意，在汽车数据的监管中，对重要数据和个人信息存在交叉认定。即涉及个人信息主体超过10万人，即使未达到《办法》100万人，但因其在汽车数据监管中属于重要数据，亦需展开数据出境安全评估。

除此之外，在很多行业主管部门未出台重要数据目录之间，结合数据安全监管的趋势，可参考以下标准：
（1）《信息安全技术 数据出境安全评估指南（征求意见稿）》（2017年8月25日）附录A（规范性附录） 重要数据识别指南；
（2）《信息安全技术 重要数据识别指南（征求意见稿）》（注，该指南涉及多次修订，目前2022年1月7日修订时作了大幅调整）

我们认为，在重要数据的认定上，企业可参照以下步骤展开：
（1）核查所在行业本地化存储规定（如《表2：法定本地化存储的数据表格》，一般视为重要数据）
（2）核查所在行业重要数据的界定或目录（如前述汽车数据，但相关规定较少）
（3）参照重要数据的前述标准（虽为征求意见稿，但对监管层认定有重大影响，尤其是标准列举之项目）
（4）向当地行业主管部门征求意见
（5）参照《办法》第19条：“可能危害国家安全、经济运行、社会稳定、公共健康和安全等”的原则进行企业自主界定。

1.3.2 个人信息的识别适用《办法》第4条涉及数据出境安全评估的个人信息处理者，包括四类：
（1）CIIO向境外提供个人信息
（2）处理100万人以上个人信息的数据处理者向境外提供个人信息
（3）自2021年1月1日起累计向境外提供10万人个人信息
（4）自2021年1月1日起累计向境外提供1万人敏感个人信息须注意，前述第（1）（2）项系主体界定，与向境外提供的个人信息数量无关，第（3）（4）项与向境外提供的个人信息数量有关，自2021年1月1日起累计计算。

如何识别个人信息？如何识别个人信息？

根据《个人信息保护法》第4条的界定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。目前，我国对于个人信息的法律定义存在泛化的趋势，从目前司法和监管的实践来看，对个人信息的识别依赖于“关联性”、“可识别性”的判断。如何识别个人敏感信息？可参照《信息安全技术 个人信息安全规范GB/T 35273-2020》附录B“个人敏感信息判定”进行确定，纳入个人信息保护的重点管理。如何累计计算个人信息？需要企业对涉及个人信息进行数据管理，通过系统技术等方式对涉及境外提供个人信息的情况进行统计，统计起算自2021年1月1日，可收集当时出境的数据处理记录、个人信息保护影响评估报告等资料。

针对国家网信办亦发布《数据出境安全评估申报指南（第一版）2022年，简称“指南”》，对于拟展开数据出境安全评估申报的企业，有以下重点注意事项：

（1）国家网信办与省级网信办的职责界面：省级网信办只进行完备性查验，我们理解“完备性查询”是仅对申报材料是否符合《指南》第三条要求形式完备的审查，包括：填写是否完整、盖章签字是否齐全、自评估报告要素是否完备等。

（2）自评估报告是申报的关键内容，可参照《指南》所附模板展开，除数据出境的客观情况个，涉及法律层面的自评估需重点评估事项如下：

表3：数据出境自评估合规重点表格

《数据出境安全评估办法》第20条规定：“本办法自2022年9月1日起施行。本办法施行前已经开展的数据出境活动，不符合本办法规定的，应当自本办法施行之日起6个月内完成整改”。

若企业经初步评估未达到前述要求的，建议在申报安全评估的同时，同步为整改进行准备，包括：主动与监管主管部门沟通、全面盘点企业内部数据跨境业务场景、梳理境外接收方所在国数据合规要求、与境外接收方作合同协商修订准备等。