《数据出境安全评估办法》正式实施，将会给数据安全产业带来哪些影响？ - 网安

2022年9月1日，国家互联网信息办公室发布的《数据出境安全评估办法》（以下简称《评估办法》）正式实施。《评估办法》旨在规范数据出境活动，保护个人信息权益，促进数据跨境安全、自由流动。本文主要分析《评估办法》的价值特点、《评估办法》主要内容及其对促进数据安全产业发展的思考。

《评估办法》价值特点分析

《评估办法》作为部门规章，其法规价值在于落实《网络安全法》《数据安全法》《个人信息保护法》等上位法构建的数据出境安全评估制度，其价值特点可归纳为以下三方面：

一是推进制度闭环。《网络安全法》（第37条）、《数据安全法》（第31条）、《个人信息保护法》（第40条）对于重要数据和个人信息的出境安全评估做出了制度授权并预留了法规细化空间。《评估办法》对于数据出境安全评估的内容和工作机制等做出具体规定，是对其上位法相关制度框架的细化发展，有效推进了数据出境安全评估制度的闭环。

二是实现规则划一。此前《数据安全法》在规定“重要数据出境安全评估”时，将“关键基础设施重要数据”和其他重要数据进行区分，即：关键信息基础设施运营者的重要数据出境安全管理，适用《网络安全法》，其他数据处理者的重要数据出境安全管理，由国家网信部门会同国务院有关部门制定重要数据的出境安全管理办法。《评估办法》的颁布，在重要数据主体方面不再突出强调关键信息基础设施运营者和其他重要数据运营主体的区分，并将“重要数据出境的管理办法”进一步明确为“数据出境安全评估办法”，有利于推进规则合一并提高立法效率。

三是明确范围界定。国家互联网办公室对数据出境安全评估相关管理办法进行过三次公开征求意见，分别是：2017版《个人信息和重要数据出境安全评估办法（征求意见稿）》、2019版《个人信息出境安全评估办法（征求意见稿）》及2021版《数据出境安全评估办法（征求意见稿）》。不难看出，此次《评估办法》的颁布，将个人信息、重要信息等统一纳入数据出境评估的范畴，进一步统一和明确了需评估信息的范围，有助于推进数据出境评估工作的统一性。

《评估办法》主要内容梳理

《评估办法》明确了数据出境安全评估的监管主体、评估对象和实施流程等，具体内容分析如下。

监管主体

《评估办法》根据不同评估阶段对有关主体提出明确要求。在评估申报阶段，由省级网信部门负责申报材料的完备性检查，申报材料不齐全应当退回并告知数据处理者需要补充的材料；在评估受理阶段，由国家网信部门在7个工作日内确认是否受理安全评估；在评估实施阶段，由国家网信部门组织国务院有关部门、省级网信部门、专门机构等进行安全评估。

与2021版《征求意见稿》相比，《评估办法》删除了行业主管部门，一是避免行业主管部门和国务院有关部门语义重复；二是确保涉及重要数据出境的情形仍由国家网信部门主导评定。

评估对象

从数据处理对象来说，评估对象分为重要数据处理者、个人信息处理者和关键信息基础设施运营者三类；从数据处理内容来说，评估对象可分为提供重要数据和个人信息两大类，其中个人信息提供者又可细分为关键信息基础设施运营者、处理100万人以上个人信息处理者、自上年1月1日起累计向境外提供10万人个人信息处理者和累计向境外提供1万人敏感个人信息处理者四种类型。

对比2021版《征求意见稿》，《评估办法》一方面简化了数据处理主体，删除单列的关键信息基础设施运营者处理数据活动；另一方面细化了评估适用对象，明确了向境外提供数据的时间节点。

实施流程

《评估办法》对申报数据出境安全评估过程做出详细规定，通过评估需经过“自评估+安全评估+重新评估”等一系列环节，具体流程如下图所示。

图 1 数据出境安全评估流程图

与2021版《征求意见稿》相比，《评估办法》主要完善了以下三方面流程：一是明确省级网信部门的完备性查验责任，规定省级网信部门在5个工作日内完成查验，并有义务告知数据处理者需补充的材料；二是增加数据处理者申请复评流程，数据处理者可在收到评估结果15个工作日内申请复评，复评结果为最终结论；三是设定数据出境评估活动整改期限，不符合办法规定的数据处理者应当于2023年2月28日前完成整改。

《评估办法》促进产业发展思考

《评估办法》在强化数据出境安全管理的同时，对于促进数据安全产业的发展同样具有很强的导向作用。主要体现在其能够带动和引导以下两类需求发展。

一是促进数据出境安全评估服务。《评估办法》规定了数据处理者“应当开展数据出境风险自评估”的义务，这对于网络安全行业而言，无疑会推动数据出境评估相关服务的发展。一方面，促进面向数据处理者的专业化数据出境安全服务，如数据出境自评估咨询、出境数据资产审计、数据安全风险评估、数据脱敏、以及数据出境安全评估一体化解决方案等。另一方面，促进面向数据评估专业机构的支撑服务发展，如出境重要数据识别、数据出境安全风险甄别、数据出境安全事件处置等专用工具研发等。此外，还能促进数据安全出境相关培训服务的发展，如数据安全相关资质和技能培训、数据风险分析与应急培训等。

二是促进数据出境安全监管支撑服务。《评估办法》规定了国家相关职能部门所应承担的监管职责，这对于相关的监管支撑服务也具有积极促进作用。主要包括：数据出境风险监测、敏感数据威胁情报支持、数据出境安全协同管理平台等。

综上可见，《评估办法》是我国数据安全制度体系的重要组成部分，也是全面提升我国数据安全保障能力的重要基础一环，并且随着数据出境安全评估制度的逐步落实推进，数据安全产业也必将伴随得到深入促进发展。《评估办法》的发布，不仅是我国数据安全法治建设的里程碑，更是见证和保护数据安全产业高质量发展的新征程。