数据出境合规100问 | Part 3：《数据出境安全评估办法》高频问题与适用解读

数据出境合规100问

《数据出境安全评估办法》与《个人信息出境标准合同规定（征求意见稿）》剖析与解读

文 / 王捷律师团队

第三部分：

《数据出境安全评估办法》高频问题与适用解读

《办法》的发布促进了我国维护数据安全及保护数据利益的制度设计到实践操作的良性衔接，本次《办法》共包括二十条，对安全评估的目的，适用范围，评估程序，评估内容，评估效果等各进行了全面规定。

《办法》实施后，符合要求的企业最好在规定的期限内尽快配合完成评估，尽早熟悉、准备安全评估的相关事项及流程，以避免因违反《办法》规定而导致企业的数据出境活动受到影响。本专题的第三部分，将汇总《办法》的高频问题以及适用难点，结合团队多年的数据出境业务经验，为大家带来详细解读。

Q49. 本次《办法》相比先前的各个意见稿版本有何变化？与《网安法》、《个保法》、《数安法》中关于跨境安全评估的规定有何异同？

与早些年相比，目前我国数据保护相关的法律成果是比较丰富的，借助回答本问题的机会，我们可以先对《办法》及与数据出境评估相关的立法脉络进行一个梳理。

从当下的法律布局来看，在已经实施并生效的法律中，《网络安全法》、《数据安全法》、以及《个人信息保护法》共同搭建起了立体的数据安全评估法律体系，其中，《网络安全法》侧重网络安全风险、对关键信息基础设施提出了评估要求；《数据安全法》更关注重要数据处理相关的评估事项；《个人信息保护法》则把安全评估作为个人信息数据出境可能采取的路径之一；而随着《办法》的发布，后续企业将能获得数据出境安全评估事项的详细指引，我国安全评估从规定事项到具体做法逐渐清晰。

从《办法》制定的时间脉络来看，《办法》的制定先后经历2017年《个人信息和重要数据出境安全评估办法（征求意见稿）》、2019年《个人信息安全出境评估办法（征求意见稿）》、2021年《数据出境安全评估办法（征求意见稿）》以及2022年《数据出境安全评估办法》4个版本，期间名称、内容的改动可以很好地看到我国近年来对数据出境安全立法思路的调整与发展，如对于是否要分类调整个人信息及重要数据、安全评估如何开展、是否需要自评估等，在不断的调整和立法探索中，如今的《办法》才最终敲定。

对我国数据出境评估相关法律规定进行扼要对比如下：

Q50. 企业如何判断自身业务是否需要进行出境安全评估的申报？

是否需要进行安全评估，企业可以按照以下流程图进行判断：

但是，在实务中，企业还有很多既不是个人信息又不是重要数据的数据，且这些数据也会有大量出境的情况存在，若按照现有《办法》的条文来看，这类的数据，并不需要进行安全评估，或者签署标准合同，但仍然建议企业考虑通过完成风险自评估的方式来进行自我检测。

Q51. 延伸一如何理解“数据处理者向境外提供重要数据”以及具体情况可能包括哪些？

《办法》第十九条对重要数据进行了详细的定义，主要强调考虑数据产生的社会影响，该部分在本专题第一部分有进行讲解，进一步补充的是，《信息安全技术重要数据识别指南》（以下简称《指南》）中除给出了重要数据的定义外，对危害国家安全、公共利益等各个领域重要数据的识别需要考虑的因素也作出了详细的列举，故企业可以通过对处理数据的领域进行判断以明确是否处理了重要数据。比如，地图软件中掌握的地图数据，城市车辆的行驶路线等。

需要注意的是，《指南》中规定重要数据不包括国家秘密和个人信息，但是基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据，其中“海量”的具体数字并未明确。在《汽车数据安全管理若干规定（试行）》中，其明确指出“涉及个人信息主体超过10万人的个人信息”属于重要数据。故在实务中，关于海量个人数据的具体化可能需要在不同行业领域进行分别规范。

Q52. 延伸 — 核心数据是否可以通过安全评估数据出境？

从数据类型上看，《办法》只规定了重要数据、达量的敏感数据及个人数据出境需要进行安全评估，而并未列明核心数据可以通过安全评估完成出境，由此核心数据的数据出境规则值得进一步分析，根据《数据安全法》第二十一条规定：“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。”由此可以判断核心数据可能不能通过安全评估办法进行出境，一是因为核心数据其对国家、社会的重要性要比《办法》中规定的几种数据类型更高，二是《数据安全法》中已说明将会实行更严格的管理制度要求，至于这是否意味着核心数据不具有出境的可能性，或者核心数据出境需要适用何种规则，由于其需要更多维度要素的考量，可以在未来进一步观察。

Q53.延伸 — 如何理解“CIIO和达量数据处理者向境外提供个人信息”以及具体情况可能包括哪些？

关于关键基础设施运营者，《关键信息基础设施安全保护条例》（以下简称《条例》中给出了明确的定义。除此之外，《条例》第十条规定保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施，及时将认定结果通知运营者，并通报国务院公安部门，故企业应当注意是否接到主管部门的认定结果的通知，以判断自己是否属于关键基础设施运营者。关于CIIO的其他内容，在本系列文章第一部分做了更详细的阐释，如仍有疑问可以进行参照。

其次，关于处理100万人以上个人信息是对数据处理者处理个人信息的人数要求，同时，处理个人信息主体量达到100万，不管向境外传输多少，都已符合该条要求，需要进行申报。

Q54.《关键信息基础设施确定指南（试行）》提及的100万访问人次和《办法》的人数一样吗？

实务中有企业注意到了《关键信息基础设施确定指南（试行）》（以下简称《指南》）中也提及到“100万”的衡量标准，并前来咨询《指南》的100万与《办法》的标准是否等同的问题.

实际是，虽然都是100万，但是衡量标准是不同的，根据《指南》的规定，“日均访问量超过100万人次的网站，或可能影响超过100万人工作、生活，或造成超过100万人个人信息泄露的网站可认定为关键信息基础设施。”注意，《指南》中提及的标准是100万“人次”，而《办法》则是100万“人数”，前者计算访问次数，后者计算主体数量，单个主体可能会访问多次网站，每次访问都会以人次作为计算。

Q55.《办法》中提及的100万“人”、10万“人”、1万“人”是否只计算具有中国国籍的公民？例如，收集境外来境内的游客的个人信息是否应计算在内？

该问题的核心在于确认我国保护的个人信息主体的涵盖范围，结论是，只要是我国境内的自然人的个人信息都受到保护，并不止于我国的公民。该范围可以在《个人信息保护法》第二条及第三条的内容中找到法律依据，只要是位于我国境内的自然人都将会落入《办法》计算中被判断的主体。如理解有误，欢迎拍砖指正。

Q56.《办法》中关于100万数据出境的规定是否可以理解为就是《个人信息保护法》第四十条规定的境内储存达量标准？

该问题出现了一个针锋相对的观点，早在《个人信息保护法》刚发布实施时，其第四十条要求的国家网信部的规定数量究竟为何一直是被业内关注的重点，《办法》实施后，100万是否应当同时也是个人信息处理者应当把信息储存到境内的标准。有企业认为，既然数据出境的达量标准为100万，那么境内储存的标准应当与其等同或者，至少不会比数据出境的标准更低；亦有企业认为，若境内储存的标准为100万人数或者要求更严格的话，实务中会为企业的数据处理活动带来过高的处理成本。

我们认为，判断该问题可以分为两步，

从目前来看，《办法》规定的是数据出境的适用规则而并非是数据储存，二者的标准可能有参考价值但不能从法条文义上直接得出数据储存也适用该标准的结论

由此，数据储存的标准不会因为《办法》的颁布施行而当然的提高；

从近年来的实践判断，企业实践中亦尚未出现因掌握个人信息人数达到100万即被要求必须在境内储存信息的情形

由此，在未进一步明确境内储存规则之前，目前实务中企业的境内储存规则状况可能会仍暂时维持现状。

Q57. 延伸 — 如何理解“累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息”，其具体情况可能包括哪些？

首先，需要注意的是时间起算点为自上年1月1日起，由于本《办法》自2022年9月1日起施行，故在实务中应理解为自2021年1月1日起计算，此条与《规定》中关于签署《标准合同》的主体的时间要求衔接，如此规定避免了长时间的数据累计，可使数据量较小的数据处理者不必落入监管范围。

其次，10万人与1万人为实际累计向境外传输个人信息主体的人数，关于传输信息的计量单位（例如条数、容量等等）在本系列第二部分文章中也进行了讨论，这是一个在实务中较为模糊，需要进一步立法规定的问题。最后，关于敏感个人信息，在本系列文章第一部分进行了解释，故企业在实务中应当注意时间的起算要求以及收集个人信息的种类是否属于敏感个人信息。

Q58.延伸 — 如何理解“网信部门规定的其他需要申报数据出境安全评估的情形”以及具体情况可能包括哪些？

该条为兜底条款，企业在实务中应当注意经营领域是否有相关行业法规规章对数据收集以及出境具有要求，而不仅局限于《网络安全法》《数据安全法》和《个人信息保护法》等整体性法律框架内。

Q59.小剧场：仔细研读《办法》后，为后续便利出境，A公司就累计起算规则日期的问题前来和律所探讨，A公司认为，《办法》是今年9月1号开始施行，今年的1月1号已经经过，是否可以理解为累计时间的起算点是从2022年1月1日、或2023年1月1日才开始起算？

结合现有法条的文义来看，我们理解，累计的起算时间点应当从2021年1月1日开始，除非有额外的规定说明，否则《办法》2022年9月1日生效后，就应该在生效的时间点开始遵循《办法》规定的起算点，即，2022年9月1日为生效时间点，自上一年1月1日开始累计计算。同时，若累计起算的时间点尚需等待2022年乃至2023年起算，那么《办法》提出的六个月的整改期，以及尽快完善出台我国数据出境的各项规则的效果也会大打折扣。

Q60.延伸 — 规定关于100万人数的标准并没有上一年1月1号的限制条件，是否意味着只要历史到现在累计达到100人，就得申报而不是采用滚动清零措施？

从《办法》的适用标准框架来分析，100万人目前确实并未采取滚动清零的措施。

考虑到累计人数达到100万，已经是一个相当庞大的数据合集，容易产生较大的数据安全隐患，尽管是历史累计，可能牵涉的主体以及产生的社会影响力仍然比较高；

从规则设计可行性上看，如果100万人数采取的累积规则若仍是上一年1月1号，很难有企业会达到100万的要求，监管目的容易落空；

从适用标准的体系来看，4项标准分别从主体类型、数据类型、人数规模、时间累计四个层面进行了多层次的规定，体系上标准相对完善；

《办法》的目的是尽可能的降低法数据安全出境风险，若采用历史累计达100万的方式也与《办法》的目的相符合。

Q61. 延伸 — 未达到《办法》要求进行安全评估的人数要求，但是处理个人信息的条数规模较大是否需要进行安全评估？

鉴于《办法》中关于100万、10万、1万均指的是人数要求，而非信息条数的要求。在此情况下，实务和业内基于此标准延伸出了一个疑问，若企业处理的人数未达标准，但是所持有的信息条数足够多，企业是不是就无需进行安全评估。

该问题的着眼内容不仅在于人数标准，而在于在该情形下企业是否需要进行安全评估，我们认为，该情形下，虽然企业确实达不到安全评估的人数要求，但是其持有的条数如果足够多，以至于对国家、经济、社会、公共健康等产生影响的，企业可能会因为其所处理的数据被认定为重要数据或属于法律规定的其他情况而达到进行安全评估的要求。

Q62.延伸 — 现阶段未达到申报要求但未来有达到要求可能的企业是否需要申报？

若数据类型为个人信息的，现阶段未达到申报要求的企业可以通过签订《标准合同》等其他途径进行数据出境，若数据非涉及个人信息且未达到《办法》要求的，无需进行安全评估申报。但是根据《办法》第十六条以及第十八条规定，违反本办法规定的，不仅面临被举报的风险，更有可能构成犯罪，依法追究刑事责任。

由于进行出境安全评估申报，需要开展自评估以及安全评估，提交申报书、自评估报告以及各项法律文件，且需要通过省级网信部门查验以及国家网信部门受理，整个申报过程需要大量时间成本，故建议企业应当根据现阶段经营状况进行及时预估，如果预测未来发展走势积极，应当尽早做好申报准备，以免因为不符合数据出境要求影响企业业务发展。

Q63.企业是否可以通过安排不同主体去承接数据的方式规避《办法》要求的数据出境安全评估？

在《办法》实施后各企业包括业内都有曾进行类似场景的讨论，假设一个需要安全评估的企业主体把个人信息分散给不同的企业主体进行处理，且分散后每个主体都达不到安全评估的要求，此时企业是否就可以不用完成安全评估了。

从实务经验来看，判断该问题的核心在于分析处理数据的不同企业之间的关系如何，若企业与企业之间能够保持独立，人员、资金、管理制度等都能达到不混同、不融合、不共享的，我们可以认为，每一个处理数据企业都构成一个完全独立的主体，因此，若此时每一个企业主体处理数据的情形都未达到安全评估的要求标准，数据出境活动可以不进行安全评估。

但是随着对数据出境监管力度的加强，不排除之后监管部门会通过对不同企业主体进行详细审查，若通过判定企业之间的数据流转情况、数据融合情况、企业的具体经营状况（包括但不限于业务人员的对应的劳动合同关系，各企业主体是否独立承担责任，是否具有独立责任人等），以及向境外提供个人信息和重要数据的各企业之间的关系，最终判断出各企业主体之间是较难保持独立性，或实际为同一企业所控制的话，则仍然需要考虑依据《办法》要求的内容完成数据出境安全评估。

故目前来说，这种方式并不能当然就完全避免企业面临的被监管部门审查问责的风险。

第三部分中篇：

《数据出境安全评估办法》高频问题

与适用解读

本部分中篇将回答以下问题：

Q64.企业在进行数据出境安全评估时将需要经历哪些具体流程？

Q65.企业应该如何进行自评估报告，完成自评估的过程中需要重点关注哪些内容？

Q66.延伸—自评估报告和安全评估报告有什么区别？

Q67.《标准合同》的个人信息保护影响评估与《办法》规定的自评估有什么区别？

Q68.企业是否需要分开做个人信息保护影响评估以及自评估？

Q69.企业进行自评估以及个人信息保护影响评估的材料是否有可以共用的部分？

Q70.《办法》中提及的数据出境的法律文件具体有哪些要求？

Q71.延伸—《办法》中的法律文件和《标准合同》有什么区别？

Q72.延伸—在企业起草法律文件中的安全保障义务条款时，是否可以参考《标准合同》的内容？

Q64.企业在进行数据出境安全评估时将需要经历哪些具体流程？

Q65.企业应该如何进行自评估报告，完成自评估的过程中需要重点关注哪些内容？

我们在本专题的第一部分对自评估报告的概念进行了说明，简单来说，自评估报告中需要对数据出境业务、数据出境过程中可能涉及的风险、境外接收方的安全保护能力、个人信息权益维护、签订的法律文件等进行评估。

结合法条内容，我们理解，风险自评估的报告可以包括如下内容：

Q66.延伸—自评估报告和安全评估报告有什么区别？

首先，我们先从两个评估流程的法律规定进行内容上的对比：

其次，除常规法条对比外，从实务角度进行理解，讨论该问题的核心目的并不是为了从学理上理解二者的差别，而是知道安全评估办法的重点内容，以便于企业在完成自评估的时候尽可能地配合安全评估办法的着眼点，确保企业数据成功出境，就如同日常中给客户讲解项目报告，关键点在于如何阐述到客户的心槛里才是提高成功率的关键。

从对比可以看到，在法条描述的内容里，自评估与安全评估有许多内容保持了一致性，由此可以推断，对于两个评估环节保持一致的部分，企业按照评估要求完成材料准备即可。

此外，安全评估与自评估的差异性在于，从内容上看，相比于企业，国家在考察境外法律、政策方面的评估更具有优势，因此安全评估比自评估多了“关于境外接收方所在国/地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响；遵守中国法律、行政法规、部门规章情况”这两条；从考察视角上看，自评估相对而言侧重评估个人信息主体的权益在境外是否能得到同等的保障，出境安全评估除了评估个人信息主体权益外，还更多地考量国家安全、公共利益。

基于以上差别，可以推断出，企业在进行自评估的时候，在条件允许的情况下，可以事先对境外接收方所在国家的法律政策有所考察，并对国家、社会、个人风险进行一个初步的判断。王捷律师团队曾于2021年出具的《中国与海外多国/地区数据保护及企业合规要点对比报告》，里面有就部分主流出海国家与地区的数据保护法律要点进行分析与比对，以帮助企业客户更全面地了解境外接收方所在国家的法律政策。

概述而言，企业进行自评估的主要目标是为了让数据出境，开展业务，尽管自评估与安全评估在规定上有所差别，但是企业在条件以及成本允许的情况下，进行自评估时可以兼顾安全评估的标准，提高获得批准的可能性。

Q67.《标准合同》的个人信息保护影响评估与《办法》规定的自评估有什么区别？

二者的对比如下：

基于《标准合同》传输的个人信息的数量以及风险程度相对较低(不涉及或较少涉及重要数据、敏感数据)，因此，企业进行个人信息保护影响评估更多关注对个人信息权益带来的风险，而自评估还需更多考量数据出境给国家安全、公共利益带来的风险。

企业使用签订标准合同的方式进行传输时，按规定需要备案。若《规定》生效，网信部门将面临大量的备案工作，不太可能对备案的内容进行实质性审查，因此个人信息保护影响评估将“评估境外接收方所在国家的法律、政策对履行合同的影响”这一内容规定由企业承担，从上一问的对比也可以知道，在安全评估中这一内容主要由国家网信部门以及其他有关部门开展，企业的自评估并不涉及这一点。单从这一项对比来看，个人信息保护影响评估所要评估的内容（广度）是多于自评估的。但是，自评估由于可能涉及重要数据、敏感个人信息以及传输数量较大，其所需的评估程度（深度）是大于个人信息保护影响评估的。

此外，对比自评估的第5项“是否订立了法律文件来符合数据安全保障义务”，由于个人信息保护影响评估是企业签署《标准合同》的配套评估活动，且《标准合同》是网信部门制定的，其中已经涵盖安保义务的约定，故在个人信息保护影响评估中无需另外评估标准合同。对于需要进行安全评估的企业，我们建议可以在签订《标准合同》的基础上，再根据具体业务情况签订其他法律文件。

Q68. 企业是否需要分开做个人信息保护影响评估以及自评估？

个人信息保护影响评估主要适用数据类型为个人信息的情形，自评估则可能涉及到更多数据类型，由于个人信息保护影响评估以及自评估涉及的评估广度以及深度上的差异，对于不同类型的数据，企业都需要完成数据出境的，有可能存在分别进行个人信息保护影响评估以及自评估的情况。

Q69.企业进行自评估以及个人信息保护影响评估的材料是否有可以共用的部分？

承接上一问，由于个人信息保护影响评估以及自评估涉及的评估广度以及深度上的差异，企业可能需要分别进行个人信息保护影响评估以及自评估。但是，这并不意味着二者没有可以共用的部分。

相反，许多企业在进行两项评估的过程中实际上有许多调查的事项材料是重合的，比如涉及到个人信息相关的目的、类型、使用范围、境外接收者保障信息安全的技术和管理制度、境外的责任承担义务等，这也提醒企业，在进行各项评估时，相关的评估材料可以进行及时备份和保存，以提高企业经办数据出境流程的效率。

在对个人信息主体的保护方面，自评估涵盖了个人信息保护影响评估内容，可以合并进行评估。而对于涉及接收方所在国/地区的政策评估，则需要在个人信息保护影响评估中额外进行。

Q70. 《办法》中提及的数据出境的法律文件具体有哪些要求？

《办法》中表述数据处理者与境外接收者之间签订的文本使用的是“法律文件”而并非“合同”，这说明，企业双方也可能采取在原有合同的基础上签订补充协议或者增加附件的方式完成义务内容的约定，同时与《标准合同》不同，《办法》规定发布后并没有提供一个官方的样本，而主要强调法律文件中的数据安全保护责任义务内容。主要包括以下要点：

Q71.延伸—《办法》中的法律文件和《标准合同》有什么区别？

本质上，《办法》的法律文件以及《规定》提供的标准合同，都能体现国家对于数据出境的监管，只是由于约束的数据内容在涉及的范围、类型、重要性及影响力上存在差异，因此两个文本背后体现出来的，采用的监管策略可能会存在差异，关于差异性，二者的比较可以从多个角度进行分析：

Q72.延伸—在企业起草法律文件中的安全保障义务条款时，是否可以参考《标准合同》的内容？

目前来看，《标准合同》的条款还是具有较高参考价值的，尤其在《办法》实施的初期，境内各企业对法律文件的条款内容可能尚缺乏充足的经验帮助判断，《标准合同》中关于个人信息处理者及境外接收者的权利义务、对个人信息的制度及技术保护要求、对出现侵害个人信息事件风险时的处置措施等内容都值得借鉴。由于进行安全评估的个人信息重要性更高，影响力更大，双方的安全保障义务条款可能会比《标准合同》更为严格。

团队

第三部分下篇：

《数据出境安全评估办法》高频问题与适用解读

本部分下篇将回答以下问题：

Q73.安全评估结果的有效期持续多久？

Q74.有效期届满时企业何时需要进行重新评估？

Q75.企业在重新申报评估的过程中原评估结果有效期届满，数据出境活动效力为何？

Q76.符合安全评估要求的企业需要现在就着手准备安全评估吗？

Q77.若企业不进行安全评估需要承担何种法律责任？

Q78.现阶段不符合《办法》规定的，《办法》实施后还需要追究责任吗？

Q79.如果申报材料不符合规定或者对安全评估结果有异议的，企业如何进行补救？

Q80.通过安全评估后是否还有其他持续性的审查？

Q81.已经进行了网络安全审核评估的企业，还要做数据出境安全评估吗？

Q82.企业如何合规地进行数据出境活动？

Q73.安全评估结果的有效期持续多久？

安全评估活动并非是一劳永逸，《办法》规定评估结果的有效期为出具结果之日起二年，如果企业在评估结果有效期届满后仍计划继续开展数据出境活动的，应当在有效期届满前60个工作日前重新申报评估，即大约三个自然月。

从《办法》的时效要求来看，如果达到《办法》规定要求的企业，持续有数据出境相关业务的话，安全评估可能将会是企业未来频繁接触的流程。

Q74. 有效期届满时企业何时需要进行重新评估？

需要注意的是，若想确保企业数据出境活动不受评估结果失效而终止，企业需要留够充分的申报时间，虽然流程中有规定申报材料流程的相关部门大概的处理时长，但目前《办法》要求最终出具评估结果的最长时间尚不明确，建议企业需要重新进行安全评估的，应当尽早着手准备。

Q75.企业在重新申报评估的过程中原评估结果有效期届满，数据出境活动效力为何？

既然目前并不确定评估结果出具的最长时间需要多久，那么尽管企业在60个工作日前完成重新申报，也有可能会出现原评估结果有效期届满，但是新评估结果也尚未出具的情形，严格按照《个人信息保护法》以及《办法》的规定来判断，有效的安全评估结果是符合要求的企业开展数据出境活动的前置条件，有效期届满后，企业继续进行数据出境活动的，可能会被因违反《办法》要求而被终止活动。

Q76.符合安全评估要求的企业需要现在就着手准备安全评估吗？

自《办法》发布后，近日许多企业都前来咨询该问题，未来一段时间内，很有可能是数据安全评估申报的高峰期。

首先，《办法》要求符合安全评估要求的企业坚持事前评估、风险自评估，并在申报安全评估时提交申报书、数据处理者与境外接收方拟订立的法律文件以及其他材料，这意味企业需要在申报前完成大量的准备工作；

其次，《办法》第二十条规定，《办法》自2022年9月1日起施行。《办法》施行前已经开展的数据出境活动，不符合《办法》规定的，应当自《办法》施行之日起6个月内完成整改，即已有数据出境业务的企业应在实施之日起6个月内整改，即最迟于2023年3月1日完成整改；

最后，《办法》规定，国家网信部门应当自向数据处理者发出书面受理通知书之日起45个工作日内完成数据出境安全评估，情况复杂或者需要补充、更正材料的，可以适当延长并告知数据处理者预计延长的时间，这意味目前监管部分对于数据出境安全评估审核的期限可能基于情况复杂、材料不足等原因延迟；

综上所述，我们建议符合安全评估要求的企业尽快开始着手准备安全评估，避免因提交材料、审核期限等问题导致无法在《办法》实施之日起6个月内整改。

Q77.若企业不进行安全评估需要承担何种法律责任？

《办法》明确了符合安全评估要求的企业违反《办法》要求的法律后果，包括依据《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规处理，若情节严重，构成犯罪的，还有被追究刑事责任的风险。我们为企业梳理以上法律中的相关规定如下，供企业参考：

《网络安全法》第六十六条中对违法在境外存储网络数据，或者向境外提供网络数据的行为处罚规定

《数据安全法》第四十六条中针对向境外提供重要数据行为的处罚规定

《个人信息保护法》第六十六、六十七条中对违反规定处理个人信息，或者处理个人信息未履行《个保法》规定的个人信息保护义务的行为处罚规定

Q78.现阶段不符合《办法》规定的，《办法》实施后还需要追究责任吗？

企业数据出境现阶段不符合《办法》规定的，由于现阶段《办法》尚未实施，目前还不会受到处罚，但是《办法》也给企业预留了整改期，这说明，《办法》是考虑到了企业此时可能不合规的情况，并预留给企业调整时间的，因此，如企业在《办法》实施前已有部分数据出境情形，建议企业在《办法》施行之日起6个月内完成整改，否则可能面临违规风险。

Q79.如果申报材料不符合规定或者对安全评估结果有异议的，企业如何进行补救？

与之前2021年征求意见稿的版本相比，《办法》完善了安全评估的救济流程，企业先把材料交给省级网信部门进行材料的完备性审查，当材料不齐全时，会退回数据处理者并告知补充材料，企业可在此时补充材料，并在此向省级网信部门重新提交申报材料；同时，若最终企业无法通过安全评估，数据处理者对国家网信部门的评估结果有异议的，还可以在收到评估结果15个工作日内向国家网信部门申请复评，需注意此复评结果为最终结果。

Q80.通过安全评估后是否还有其他持续性的审查？

会的，我国数据出境安全坚持事件评估和持续监督相结合，也就是说国家网信部门可以主动对正在进行的各项企业数据出境活动进行监督，一旦发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的，应当书面通知数据处理者终止数据出境活动。数据处理者需要继续开展数据出境活动的，应当按照要求整改，整改完成后重新申报评估。

Q81.已经进行了网络安全审核评估的企业，还要做数据出境安全评估吗？

从现有法律的规定与监管的角度来看，完成网络安全审核评估的企业，建议仍然需要根据企业实际情况以及现有规定进行数据出境安全评估。网络安全审查评估与数据出境安全评估在许多内容上都有明显差别，二者共同作为我国数据安全的法治框架的一部分，数据安全既包括数据出境场景，同时也包括境内活动场景。

Q82.企业如何合规地进行数据出境活动？

企业马上需要做的内容是判断自身是否符合《办法》规定的需进行申报的要求，具体的事务事项可能受限篇幅无法完全展开，此处可以提供大致的思路，企业可以先对自己日常经营过程中处理的数据类型、规模、范围、业务流程进行一个确认归类，并梳理出企业内部的数据处理流程，以确保企业对其合规的判断足够精确。

其次，若符合《办法》要求的，由于《办法》规定了有限的整改期，且可能近段时间为申报的高峰期，可以尽早按照《办法》的要求完成申报材料的准备。

最后，企业除了考虑《办法》的要求外，本次解读第二部分《规定》的内容也需要关注，尤其《标准合同》中约定的各项权利义务及责任要求，可以成为企业日常数据出境活动中完成法律文件时的参考内容。当然，企业若想要安全合规的完成数据出境，只考虑出境规则是不够的，企业内部数据处理各项环节都可能会有违规的风险，精准的找到出血点，并对症下药，也是保证合规的关键。具体开展企业数据合规的相关事宜时，也非常欢迎企业与王捷律师团队进一步联系。

本系列文章作者：

王捷肖锦豪夏律黄思妍刘玫君