作者：孙洁、郄晓航

2021年7月23日，商务部、中央网信办、工业和信息化部联合印发《数字经济对外投资合作工作指引》（以下简称“《工作指引》”）。《工作指引》在鼓励数字经济企业积极融入数字经济全球产业链、加快推进数字基础设施建设的同时，强调做好数字经济走出去的风险防范。具体而言，《工作指引》第三条第（十）项指出，“做好数字经济走出去风险防范。鼓励数字经济企业完善内部合规制度，严格落实我国法律法规有关数据出境安全管理的规定，遵守东道国法律法规及国际通行规则，妥善应对数字经济领域审查和监管措施。提高知识产权保护意识，健全数据安全管理制度，采取必要技术措施，保护数据安全和个人信息，支持企业通过法律手段维权。密切跟踪全球数字经济反垄断及加征数字税最新政策动向，做好应对准备。”

《工作指引》作为数字经济对外投资的纲领性规定，突出了数据出境的安全评估工作的重要性。笔者将在下文结合相关法律法规进一步梳理我国当前的数据出境适用主体、数据出境安全评估要求，以供读者参考。

根据我国相关法律法规的规定，当前数据出境的适用主体包括关键信息基础设施的运营者、网络运营者和其他数据处理者。

表1 数据出境的适用主体

数据出境规范的数据主要包括在中华人民共和国境内运营中收集和产生的个人信息和重要数据。

表2 数据出境规范对象

《评估指南》第3.7条规定了属于和不属于数据出境的主要情形，具体内容如下：

(1)    以下情形属于数据出境：

a) 向本国境内，但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据；

b) 数据未转移存储至本国以外的地方，但被境外的机构、组织、个人访问查看的（公开信息、网页访问除外）；

c) 网络运营者集团内部数据由境内转移至境外，涉及其在境内运营中收集和产生的个人信息和重要数据的。

(2)    以下情形不属于数据出境

a) 非在境内运营中收集和产生的个人信息和重要数据经由本国出境，未经任何变动或加工处理的，不属于数据出境。

b) 非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境，不涉及境内运营中收集和产生的个人信息和重要数据的，不属于数据出境。

整体而言，数据出境安全评估包括安全自评估和主管部门的安全评估，其主要目的在于要求关键信息基础设施的运营者、网络运营者和其他数据处理者事先评估数据安全出境风险，将合规监管前置，预防处罚风险。

根据《评估指南》第4.1条的规定，数据出境安全评估总体流程包括两步，分别为：

第一步，评估数据出境目的，即数据出境目的应具有合法性、正当性和必要性；

第二步，评估数据出境计划的安全风险，应综合考虑出境数据的属性和数据出境发生安全事件的可能性及影响程度。

根据《评估指南》第4.2条的规定，在数据出境安全自评估启动后，数据出境安全自评估工作组审查数据出境计划，对个人信息与重要数据依照流程进行评估，并形成评估报告。数据出境满足上报要求的，评估报告应按要求报送国家网信部门、行业主管部门，并获得其同意。已完成数据出境安全自评估的产品或业务所涉及的个人信息和重要数据出境，在目的、范围、类型、数量等方面发生较大变化、数据接收方变更或发生重大安全事件的应启动安全自评估。

根据《评估指南》第4.3条的规定，国家网信部门、行业主管部门根据数据出境类型、数量、范围、重要程度等，酌情组织开展主管部门评估。具有下列情形之一的，国家网信部门、行业主管部门可启动主管部门评估[1]：

(1)  一年内出境的个人信息数量达到国家网信部门、行业主管部门上报要求的；

(2)  包含核设施、生物化学、国防军工、人口健康等领域数据，大型工程活动、海洋环境、敏感地理信息数据，以及其他重要数据的；

(3)  涉及关键信息基础设施的安全缺陷、具体安全防护措施等网络安全信息的；

(4)  关键基础设施运营者数据出境的；

(5)  其他可能影响国家安全、经济发展和社会公共利益的；

(6)  大量用户投诉、举报的；

(7)  全国性行业协会建议的；

(8)  其他经国家网信部门、行业主管部门认定有必要启动主管部门评估的。

总体而言，在《工作指引》强调数据出境安全管理工作的大背景下，企业完善内部合规制度，建立行之有效的安全自评估制度，识别数据出境风险，开展数据出境评估工作等可以协助企业应对与数据安全相关的监管措施。

[1] 注：数据出境涉及多方主体的，如：云服务等，根据数据出境发起方，确定主管部门评估责任主体。