10月29日，国家网信办网站公布《数据出境安全评估办法（征求意见稿）》，向社会公开征求意见。

来源：国家网信办

与此前国家网信办发布的《网络安全审查办法》修订草案一脉相承，该《办法》也主要强调，要对处理个人信息达到100万人的个人信息处理者向境外提供个人信息进行安全评估申报；如果累计向境外提供超过10万人以上个人信息或者1万人以上敏感个人信息，也需要进行数据出境安全评估。

此前《网络安全审查办法》修订草案第六条专门指出，掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。

五种情形需向网信部门申报数据出境安全评估

为了规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动，依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规，国家网信办起草了《数据出境安全评估办法（征求意见稿）》，现向社会公开征求意见。

该《办法》规定，数据处理者向境外提供数据，符合以下情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。根据《办法》，数据出境评估结果有效期为二年。

关键信息基础设施的运营者收集和产生的个人信息和重要数据；

出境数据中包含重要数据；

处理个人信息达到一百万人的个人信息处理者向境外提供个人信息；

累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息；

国家网信部门规定的其他需要申报数据出境安全评估的情形。

此外，《办法》表示，数据处理者在向境外提供数据前，应事先开展数据出境风险自评估，重点评估以下事项：

数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；

出境数据的数量、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；

数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险；

境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全；

数据出境和再转移后泄露、毁损、篡改、滥用等的风险，个人维护个人信息权益的渠道是否通畅等；

与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务。

强化跨境数据监管

2017年，国家网信办曾就《个人信息和重要数据出境安全评估办法》公开征求意见，当时的规定是，如果存在含有或累计含有50万人以上的个人信息、或者数据量超过1000GB等情形之一，网络运营者应报请行业主管或监管部门组织安全评估。

随着数字经济发展迅速发展，跨境流动的数据规模已不可同日而语，同时世界各国对数据资源的激烈争夺也与日俱增，数据跨境流动的治理在很大程度上关系着国家安全和数据主权。加强数据跨境流动监管成为题中之义。2021年9月1日起施行的数据安全法也为我国的数据跨境流动监管提供了有力的法律保障。

法律界相关人士表示，在数据出境安全管理工作愈加受关注的大背景下，企业完善内部合规制度，建立行之有效的安全自评估制度，识别数据出境风险，开展数据出境评估工作等可以协助企业应对与数据安全相关的监管措施。

关键词： 数据安全 网信办