Day-161-数据出境安全评估办法

# Day 175: 数据出境安全评估办法

> 合规与治理系列第 9 天 | 预计阅读时间：45 分钟 | 难度：★★★★★

---

## 清单 目录

1. [数据出境概述](#数据出境概述)
2. [出境场景与方式](#出境场景与方式)
3. [安全评估触发条件](#安全评估触发条件)
4. [评估申报流程](#评估申报流程)
5. [评估重点内容](#评估重点内容)
6. [标准合同备案](#标准合同备案)
7. [保护认证](#保护认证)
8. [合规义务](#合规义务)
9. [监管要求](#监管要求)
10. [法律责任](#法律责任)
11. [实施案例分析](#实施案例分析)
12. [总结与思考](#总结与思考)
13. [参考资料](#参考资料)

---

## 数据出境概述

### 立法背景

《数据出境安全评估办法》于 2022 年 7 月 7 日由国家互联网信息办公室发布，自 2022 年 9 月 1 日起施行。该办法是落实《数据安全法》《个人信息保护法》的重要配套法规，规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益。

**立法目的**：

```
1. 规范数据出境活动
   ✓ 明确出境规则
   ✓ 规范出境流程
   ✓ 保障出境安全

2. 保护个人信息权益
   ✓ 防止个人信息滥用
   ✓ 保障个人权利
   ✓ 维护用户信任

3. 维护国家安全
   ✓ 防止重要数据流失
   ✓ 防范数据安全风险
   ✓ 保障国家利益

4. 促进数据有序流动
   ✓ 支持数字经济
   ✓ 促进国际合作
   ✓ 平衡安全与发展
```

**法律体系**：

```
数据出境法律框架：

┌─────────────────────────────────────────────────────┐
│            数据出境法律框架                         │
├─────────────────────────────────────────────────────┤
│                                                     │
│  上位法：                                           │
│  ├── 《网络安全法》第 37 条                        │
│  ├── 《数据安全法》第 31 条                        │
│  └── 《个人信息保护法》第 38-43 条                 │
│                                                     │
│  配套法规：                                         │
│  ├── 《数据出境安全评估办法》                      │
│  ├── 《个人信息出境标准合同办法》                  │
│  └── 《个人信息保护认证实施规则》                  │
│                                                     │
│  部门规章：                                         │
│  ├── 《汽车数据安全管理若干规定》                  │
│  ├── 《网络数据安全管理条例》                      │
│  └── 各行业数据管理规定                            │
│                                                     │
│  国家标准：                                         │
│  ├── GB/T 35273 个人信息安全规范                   │
│  ├── 数据出境安全评估指南                          │
│  └── 相关行业数据标准                              │
│                                                     │
└─────────────────────────────────────────────────────┘
```

### 数据出境定义

```
数据出境定义：

数据处理者将在中华人民共和国境内运营中
收集和产生的数据传输、存储至境外，
或者被境外的机构、组织、个人访问或者使用。

具体情形：

1. 数据传输至境外
   ✓ 向境外接收方传输数据
   ✓ 通过物理介质携带出境
   ✓ 通过电子方式传输出境

2. 数据存储至境外
   ✓ 在境外服务器存储
   ✓ 使用境外云服务
   ✓ 境外备份

3. 境外访问使用
   ✓ 境外机构访问境内数据
   ✓ 境外组织使用境内数据
   ✓ 境外个人访问使用境内数据

注意：
- 不包括出境旅游、留学等个人行为
- 不包括国际贸易、学术交流等必要活动
- 但需符合相关法律法规
```

---

## 出境场景与方式

### 常见出境场景

```
数据出境常见场景：

1. 跨国公司内部数据传输
   ✓ 集团内部管理
   ✓ 财务数据汇总
   ✓ 人力资源数据
   ✓ 客户数据共享

2. 跨境业务合作
   ✓ 跨境电商
   ✓ 跨境支付
   ✓ 跨境物流
   ✓ 跨境服务

3. 境外上市融资
   ✓ 财务数据披露
   ✓ 业务数据披露
   ✓ 审计需求

4. 国际科研合作
   ✓ 科研数据共享
   ✓ 联合研究
   ✓ 学术交流

5. 境外云服务
   ✓ 使用境外云存储
   ✓ 使用境外云处理
   ✓ 使用境外 SaaS 服务

6. 外包服务
   ✓ 境外数据处理外包
   ✓ 境外客服服务
   ✓ 境外技术支持
```

### 出境方式

```
数据出境方式分类：

1. 主动传输
   ✓ 数据处理者主动向境外传输
   ✓ 合同约定传输
   ✓ 业务需要传输

2. 被动访问
   ✓ 境外方访问境内系统
   ✓ 远程运维访问
   ✓ 技术支持访问

3. 物理携带
   ✓ 存储介质携带
   ✓ 设备携带
   ✓ 文件携带

4. 网络传输
   ✓ 互联网传输
   ✓ 专线传输
   ✓ 卫星传输

5. 云服务
   ✓ 公有云
   ✓ 私有云
   ✓ 混合云
```

---

## 安全评估触发条件

### 必须申报评估情形

```
《数据出境安全评估办法》第四条规定，
有下列情形之一的，应当申报数据出境安全评估：

1. 重要数据出境
   ✓ 数据处理者向境外提供重要数据
   ✓ 无论数据量大小
   ✓ 必须申报评估

2. CIIO 出境
   ✓ 关键信息基础设施运营者
   ✓ 向境外提供个人信息
   ✓ 必须申报评估

3. 大量个人信息出境
   ✓ 处理 100 万人以上个人信息
   ✓ 向境外提供个人信息
   ✓ 必须申报评估

4. 累计出境达到门槛
   ✓ 自上年 1 月 1 日起累计
   ✓ 向境外提供 10 万人个人信息
   ✓ 或 1 万人敏感个人信息
   ✓ 必须申报评估

5. 其他情形
   ✓ 国家网信部门规定
   ✓ 需要申报评估的其他情形
```

### 判断流程

```
数据出境评估判断流程：

┌─────────────────────────────────────────────────────┐
│          数据出境评估判断流程                       │
├─────────────────────────────────────────────────────┤
│                                                     │
│  步骤 1：是否涉及数据出境？                        │
│  ├── 是 → 继续                                    │
│  └── 否 → 不适用                                  │
│                                                     │
│  步骤 2：是否重要数据？                            │
│  ├── 是 → 必须申报评估                            │
│  └── 否 → 继续                                    │
│                                                     │
│  步骤 3：是否 CIIO？                               │
│  ├── 是 → 必须申报评估                            │
│  └── 否 → 继续                                    │
│                                                     │
│  步骤 4：处理个人信息是否 100 万以上？              │
│  ├── 是 → 必须申报评估                            │
│  └── 否 → 继续                                    │
│                                                     │
│  步骤 5：累计出境是否达门槛？                      │
│  ├── 10 万人以上 → 必须申报评估                   │
│  ├── 1 万人敏感信息 → 必须申报评估                │
│  └── 否 → 可选择其他方式                          │
│                                                     │
│  其他方式：                                         │
│  ├── 标准合同备案                                 │
│  └── 保护认证                                     │
│                                                     │
└─────────────────────────────────────────────────────┘
```

---

## 评估申报流程

### 申报流程

```
数据出境安全评估申报流程：

┌─────────────────────────────────────────────────────┐
│          数据出境安全评估流程                       │
├─────────────────────────────────────────────────────┤
│                                                     │
│  阶段一：申报准备（1-2 个月）                       │
│  ├── 自评估                                       │
│  ├── 准备材料                                     │
│  └── 内部审批                                     │
│                                                     │
│  阶段二：申报受理（5 个工作日）                    │
│  ├── 提交申报                                     │
│  ├── 材料审查                                     │
│  └── 受理决定                                     │
│                                                     │
│  阶段三：安全评估（45 个工作日 +）                 │
│  ├── 形式审查                                     │
│  ├── 实质审查                                     │
│  ├── 部门会商                                     │
│  └── 形成结论                                     │
│                                                     │
│  阶段四：结果通知（5 个工作日）                    │
│  ├── 出具结果                                     │
│  ├── 通知申报者                                   │
│  └── 结果公开（部分）                             │
│                                                     │
│  阶段五：持续合规（2 年有效期）                    │
│  ├── 执行评估要求                                 │
│  ├── 定期报告                                     │
│  └── 变化报告                                     │
│                                                     │
└─────────────────────────────────────────────────────┘

总时限：
- 一般情况：45 个工作日
- 复杂情况：可延长
- 有效期：2 年
```

### 申报材料

```
申报材料清单：

1. 基本材料
   ✓ 数据出境安全评估申报书
   ✓ 统一社会信用代码证明
   ✓ 法定代表人身份证明
   ✓ 授权委托书

2. 业务材料
   ✓ 相关业务许可证照
   ✓ 出境业务说明
   ✓ 境外接收方情况
   ✓ 合同或协议草案

3. 数据材料
   ✓ 数据出境规模、范围、种类、期限
   ✓ 数据基本情况说明
   ✓ 数据分类分级情况
   ✓ 数据处理情况

4. 自评估报告
   ✓ 出境必要性
   ✓ 数据情况
   ✓ 境外接收方情况
   ✓ 风险分析
   ✓ 安全措施
   ✓ 责任义务约定

5. 法律文件
   ✓ 与境外接收方拟订立的合同
   ✓ 其他具有法律效力的文件
   ✓ 保密协议
   ✓ 数据保护协议

6. 其他材料
   ✓ 监管部门要求的其他材料
   ✓ 补充说明材料
```

### 自评估报告

```
数据出境风险自评估报告内容：

1. 出境基本情况
   ✓ 出境目的
   ✓ 出境规模
   ✓ 数据类型
   ✓ 敏感程度
   ✓ 出境方式
   ✓ 存储位置
   ✓ 保存期限

2. 境外接收方情况
   ✓ 接收方基本情况
   ✓ 所在国家地区
   ✓ 数据安全保护水平
   ✓ 与申报者关系
   ✓ 诚信状况

3. 风险分析
   ✓ 出境风险识别
   ✓ 风险可能性
   ✓ 风险影响程度
   ✓ 风险等级

4. 安全措施
   ✓ 技术措施
   ✓ 管理措施
   ✓ 人员管理
   ✓ 应急响应

5. 责任义务
   ✓ 数据安全保护责任
   ✓ 约束性条款
   ✓ 违约责任
   ✓ 争议解决
```

---

## 评估重点内容

### 风险评估要素

```
安全评估重点评估以下内容：

1. 数据出境的目的、范围、方式
   ✓ 目的是否合法正当
   ✓ 范围是否最小必要
   ✓ 方式是否安全可靠

2. 境外接收方所在国家或地区
   数据安全保护政策法规
   ✓ 保护法律体系
   ✓ 监管机构
   ✓ 保护水平
   ✓ 国际承诺

3. 数据出境中和出境后
   遭到篡改、破坏、泄露、丢失、
   转移或者被非法获取、非法利用等的风险
   ✓ 传输风险
   ✓ 存储风险
   ✓ 使用风险
   ✓ 处置风险

4. 数据安全保护责任和措施
   能否有效保障数据安全
   ✓ 责任明确
   ✓ 措施有效
   ✓ 可执行
   ✓ 可监督

5. 遵守中国法律法规情况
   ✓ 数据出境合规
   ✓ 个人信息保护
   ✓ 重要数据保护
   ✓ 国家安全
```

### 重点审查

```
重点审查内容：

1. 重要数据出境
   ✓ 数据识别准确性
   ✓ 出境必要性
   ✓ 接收方保护能力
   ✓ 国家安全影响

2. 大规模个人信息
   ✓ 个人信息规模
   ✓ 敏感信息比例
   ✓ 个人权益影响
   ✓ 保护措施有效性

3. 敏感数据
   ✓ 敏感数据类型
   ✓ 敏感程度
   ✓ 泄露影响
   ✓ 保护要求

4. 高风险国家地区
   ✓ 政治风险
   ✓ 法律风险
   ✓ 安全风险
   ✓ 监管合作
```

---

## 标准合同备案

### 适用条件

```
标准合同适用条件：

符合以下条件之一的，可以通过订立标准合同方式出境：

1. 非 CIIO
   ✓ 不是关键信息基础设施运营者

2. 非重要数据
   ✓ 出境数据不包含重要数据

3. 个人信息处理者
   ✓ 处理个人信息不满 100 万人

4. 累计出境未达门槛
   ✓ 自上年 1 月 1 日起累计
   ✓ 向境外提供个人信息不满 10 万人
   ✓ 且敏感个人信息不满 1 万人

注意：
- 标准合同必须使用国家网信部门制定的标准条款
- 不得减损个人权利
- 不得免除自身责任
```

### 备案流程

```
标准合同备案流程：

步骤 1：订立合同
├── 使用标准合同模板
├── 填写合同信息
├── 双方签署
└── 合同生效

步骤 2：准备材料
├── 标准合同
├── 个人信息保护影响评估报告
├── 其他相关材料
└── 材料完整

步骤 3：提交备案
├── 向省级网信部门提交
├── 材料审查
├── 备案受理
└── 备案完成

步骤 4：持续合规
├── 履行合同义务
├── 定期评估
├── 变化报告
└── 接受监督

备案时限：
- 合同生效后 10 个工作日内备案
- 备案不是审批
- 但需接受监督检查
```

---

## 保护认证

### 认证适用

```
保护认证适用条件：

符合以下条件的，可以通过个人信息保护认证方式出境：

1. 认证类型
   ✓ 个人信息跨境处理认证
   ✓ 由指定认证机构实施

2. 适用场景
   ✓ 跨国机构内部传输
   ✓ 集团内部数据共享
   ✓ 长期稳定合作关系

3. 认证要求
   ✓ 符合认证规则
   ✓ 通过认证审核
   ✓ 持续符合要求

4. 认证效力
   ✓ 认证证书有效期 3 年
   ✓ 期间可多次出境
   ✓ 需接受监督
```

### 认证流程

```
保护认证流程：

阶段一：认证申请
├── 选择认证机构
├── 提交申请
├── 材料审查
└── 受理决定

阶段二：文件审核
├── 制度文件审查
├── 合同文件审查
├── 技术文件审查
└── 审核意见

阶段三：现场审核
├── 现场访问
├── 人员访谈
├── 技术验证
└── 审核发现

阶段四：认证决定
├── 认证评审
├── 认证决定
├── 颁发证书
└── 公告

阶段五：监督审核
├── 年度监督
├── 变更审核
├── 证书维护
└── 证书更新
```

---

## 合规义务

### 处理者义务

```
数据出境处理者义务：

1. 事前义务
   ✓ 开展风险自评估
   ✓ 选择适当出境方式
   ✓ 签订法律文件
   ✓ 告知个人（如适用）
   ✓ 取得同意（如适用）

2. 事中义务
   ✓ 实施安全措施
   ✓ 监督境外接收方
   ✓ 记录出境情况
   ✓ 应对安全事件

3. 事后义务
   ✓ 定期评估
   ✓ 变化报告
   ✓ 配合监管
   ✓ 持续改进
```

### 告知同意

```
个人信息出境告知同意要求：

1. 告知内容
   ✓ 境外接收方名称
   ✓ 境外接收方联系方式
   ✓ 处理目的
   ✓ 处理方式
   ✓ 个人信息种类
   ✓ 个人行使权利方式

2. 告知方式
   ✓ 单独告知
   ✓ 显著方式
   ✓ 清晰易懂
   ✓ 便于保存

3. 同意要求
   ✓ 单独同意
   ✓ 自愿给予
   ✓ 明确肯定
   ✓ 可撤回

4. 例外情形
   ✓ 履行合同必需
   ✓ 法定义务
   ✓ 紧急情况下保护生命健康
   ✓ 其他法定情形
```

---

## 监管要求

### 监督检查

```
监管监督检查：

1. 日常监督
   ✓ 备案信息核查
   ✓ 合规情况检查
   ✓ 安全事件调查

2. 定期检查
   ✓ 年度检查
   ✓ 专项检查
   ✓ 抽查

3. 投诉举报
   ✓ 受理投诉
   ✓ 调查处理
   ✓ 结果反馈

4. 技术监测
   ✓ 数据出境监测
   ✓ 异常行为检测
   ✓ 风险预警
```

### 变化报告

```
变化报告要求：

有下列情形之一的，应当重新申报评估：

1. 向境外提供数据的目的、方式、范围、种类、期限发生变化
2. 境外接收方处理数据的目的、方式发生变化
3. 境外接收方所在国家或地区数据安全保护政策法规变化
4. 其他可能影响数据安全的情形

报告时限：
- 变化发生后及时报告
- 一般不超过 30 日
- 重大变化立即报告
```

---

## 法律责任

### 违规处罚

```
违反数据出境规定的法律责任：

1. 未申报评估
   ✓ 责令改正
   ✓ 警告
   ✓ 罚款（最高 5000 万或营业额 5%）
   ✓ 暂停相关业务
   ✓ 停业整顿
   ✓ 吊销许可

2. 提供虚假材料
   ✓ 不予受理
   ✓ 撤销决定
   ✓ 罚款
   ✓ 记入信用记录

3. 不执行评估要求
   ✓ 责令执行
   ✓ 罚款
   ✓ 暂停出境
   ✓ 追究责任

4. 其他违规
   ✓ 责令改正
   ✓ 警告
   ✓ 罚款
   ✓ 对责任人处分

处罚依据：
- 《数据安全法》
- 《个人信息保护法》
- 《网络安全法》
```

---

## 实施案例分析

### 案例：某跨国公司数据出境合规

**背景**：
- 公司规模：5000 人
- 业务类型：制造业
- 出境数据：员工信息、生产数据、客户信息
- 出境目的：集团管理、业务协同

**合规过程**：

```
阶段一：评估判断（1 个月）
├── 数据盘点
├── 出境识别
├── 类型判断
└── 方式选择

阶段二：自评估（2 个月）
├── 风险评估
├── 安全措施
├── 合同准备
└── 报告编制

阶段三：申报评估（3 个月）
├── 材料提交
├── 补充材料
├── 审查配合
└── 获得批准

阶段四：持续合规（持续）
├── 执行要求
├── 定期评估
├── 变化报告
└── 接受监督
```

**成果**：

```
合规成果：
- 数据出境合法合规
- 业务正常开展
- 监管认可
- 风险可控

经验教训：
- 早期规划很重要
- 专业支持有必要
- 持续合规是关键
```

---

## 总结与思考

### 关键要点

**数据出境合规核心**：
- 分类分级管理
- 三种出境方式
- 安全评估优先
- 持续合规

**实施建议**：
- 早期评估
- 专业支持
- 充分准备
- 持续改进

### 个人思考

> ▎我给你指了路，走不走是你的事。机会给了，抓不抓得住看你。

数据出境管理不是限制发展，而是保障安全。它保障了国家数据安全，保障了个人信息权益，保障了数字经济的健康发展。

合规不是负担，而是竞争力。在全球化时代，能够合规地跨境传输数据，是企业的重要能力，是国际合作的必要条件。

记住：数据有国界，安全无小事。在数据跨境流动中，平衡好安全与发展的关系，才能实现可持续的全球化发展。

---

## 参考资料

### 法律法规

1. 《数据出境安全评估办法》
2. 《个人信息出境标准合同办法》
3. 《中华人民共和国数据安全法》
4. 《中华人民共和国个人信息保护法》

### 监管机构

1. 国家互联网信息办公室 - http://www.cac.gov.cn/
2. 省级网信部门
3. 各行业主管部门

### 实施资源

1. 数据出境安全评估申报指南
2. 标准合同模板
3. 认证实施规则
4. 专业服务机构

---

*Day 175 完成 | 数据出境安全评估办法 | 字数：约 15,000*