跨境數(shù)據(jù)合規(guī) | 以安全促發(fā)展——《數(shù)據(jù)出境安全評估辦法》解讀【走出去智庫】-ESG跨境

走出去智庫觀察

7月7日，國家互聯(lián)網(wǎng)信息辦公室公布《數(shù)據(jù)出境安全評估辦法》（以下簡稱《辦法》），自2022年9月1日起施行。《辦法》旨在落實網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、個人信息保護法的規(guī)定，規(guī)范數(shù)據(jù)出境活動，促進數(shù)據(jù)跨境安全、自由流動，切實以安全保發(fā)展、以發(fā)展促安全。

走出去智庫(CGGT)特約法律專家、金杜律師事務(wù)所合伙人寧宣鳳指出，《數(shù)據(jù)出境安全評估辦法》的頒布，標志著我國距離數(shù)據(jù)安全評估制度的落地有了長足的進步，為數(shù)據(jù)處理者開展數(shù)據(jù)出境安全評估提供了確定性的法律依據(jù)。從《數(shù)據(jù)出境安全評估辦法》的落地也能看出國家對于數(shù)據(jù)安全監(jiān)管的決心，“以安全促發(fā)展”將成為數(shù)字經(jīng)濟發(fā)展的首要指導(dǎo)原則之一。

數(shù)據(jù)出境如何做好安全評估？今天，走出去智庫（CGGT）刊發(fā)金杜律師事務(wù)所寧宣鳳、吳涵、姚敏侶的文章，供關(guān)注跨境數(shù)據(jù)合規(guī)管理的讀者參考。

要 點

CGGT，CHINA GOING GLOBAL THINKTANK

1、《網(wǎng)絡(luò)安全法》的生效，初步確立了以安全評估制度為核心的數(shù)據(jù)跨境的基本規(guī)則；隨著《數(shù)據(jù)安全法》《個人信息保護法》等法律法規(guī)的出臺，數(shù)據(jù)跨境制度的法律框架逐漸完善，安全評估制度在數(shù)據(jù)跨境制度中的定位也逐漸清晰。

2、與《個人信息出境安全評估辦法》相比，《數(shù)據(jù)出境安全評估辦法》綜合了的個人信息處理情況、個人信息權(quán)利保障以及網(wǎng)絡(luò)運營者和接收者的責任義務(wù)于一體，并補充再跨境條款和爭議解決條款的要求，因而更為簡潔，同時也更強調(diào)標準合同的可行性、周全性以及可執(zhí)行性。

3、對于明顯不符合或者不屬于需向網(wǎng)信部門等相關(guān)部門申報數(shù)據(jù)出境安全評估的情形，數(shù)據(jù)出境安全風險自評估可能并非強制性法律義務(wù)，但這并不代表企業(yè)在向境外提供數(shù)據(jù)前無需進行任何內(nèi)部自主判斷，因此企業(yè)依然可以通過自評估的方式，對于是否滿足數(shù)據(jù)出境安全評估的要求進行自證。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

各國關(guān)于數(shù)據(jù)出境的監(jiān)管要求一直是各國數(shù)據(jù)監(jiān)管的風向標，不僅體現(xiàn)國家對于數(shù)據(jù)安全的重視程度，也能意會出國家對于數(shù)據(jù)競爭的態(tài)度以及數(shù)字經(jīng)濟發(fā)展的思路。例如歐盟《通用數(shù)據(jù)保護條例》（GDPR）設(shè)定的個人數(shù)據(jù)出境的限制，規(guī)定在第三國具備充分保護水平的前提下可將個人數(shù)據(jù)向第三國傳輸，而如第三國不具備充分保護水平的，控制者或處理者只有在提供了適當?shù)谋Ｕ洗胧?，并為?shù)據(jù)主體提供了可執(zhí)行的權(quán)利和有效的法律救濟措施的條件下，才可將個人數(shù)據(jù)傳輸至第三國。上述內(nèi)容是對于個人數(shù)據(jù)出境的特殊監(jiān)管要求，也是解決歐盟單一數(shù)字經(jīng)濟發(fā)展面臨制度障礙的嘗試。

數(shù)據(jù)出境的監(jiān)管對于數(shù)字經(jīng)濟蓬勃發(fā)展的中國也尤為重要。一方面需要樹立數(shù)據(jù)監(jiān)管的價值觀，另一方面數(shù)據(jù)出境監(jiān)管的制度設(shè)計將直接影響跨國企業(yè)以及出海企業(yè)的日常運營，更深刻的影響數(shù)字經(jīng)濟的發(fā)展進程。隨著《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》以及《個人信息保護法》三大法律的確立，以及相關(guān)法律法規(guī)征求意見稿的出臺，我國數(shù)據(jù)跨境制度法律框架已經(jīng)完成了基礎(chǔ)性搭建。其中，數(shù)據(jù)出境安全評估制度在我國的數(shù)據(jù)跨境制度中占據(jù)相當重要的地位。2022年7月7日，《數(shù)據(jù)出境安全評估辦法》正式頒布，這意味著，我國數(shù)據(jù)出境安全評估制度在效力上，從概念的制度向?qū)嵺`的制度邁出了重要的一步。本文在回顧我國數(shù)據(jù)跨境制度的歷史沿革基礎(chǔ)上，對《數(shù)據(jù)出境安全評估辦法》的自評估方法進行操作化的解讀，為企業(yè)等各數(shù)據(jù)處理者提供自評估合規(guī)指引。

01、數(shù)據(jù)跨境制度的規(guī)則導(dǎo)向

而就國內(nèi)而言，《網(wǎng)絡(luò)安全法》的生效，初步確立了以安全評估制度為核心的數(shù)據(jù)跨境的基本規(guī)則；隨著《數(shù)據(jù)安全法》《個人信息保護法》等法律法規(guī)的出臺，數(shù)據(jù)跨境制度的法律框架逐漸完善，安全評估制度在數(shù)據(jù)跨境制度中的定位也逐漸清晰。在此期間，為有效落地法律層面的制度規(guī)范，國家網(wǎng)信辦等有關(guān)部門、標準制定單位等陸續(xù)發(fā)布了不同層級的數(shù)據(jù)跨境細則、標準指南等草案文件，明晰了數(shù)據(jù)跨境合規(guī)的監(jiān)管和實踐方向。

02、我國數(shù)據(jù)跨境安全評估制度的歷史沿革

在國內(nèi)數(shù)據(jù)跨境制度的發(fā)展過程中，數(shù)據(jù)出境安全評估作為數(shù)據(jù)跨境的合規(guī)途徑貫穿始終，并隨著規(guī)則草案的頒布而逐漸細化。以下我們就數(shù)據(jù)跨境安全評估制度的歷史演總結(jié)如下：

1. 數(shù)據(jù)跨境安全評估制度的開端——以《網(wǎng)絡(luò)安全法》作為標志

（1）《網(wǎng)絡(luò)安全法》奠定數(shù)據(jù)跨境安全評估制度基礎(chǔ)

從時間上看，最開始對數(shù)據(jù)跨境提出安全評估要求的是2017年的《網(wǎng)絡(luò)安全法》（“《網(wǎng)安法》”）?！毒W(wǎng)安法》第37條對關(guān)鍵信息基礎(chǔ)設(shè)施運營者（“CIIO”）提出了在境內(nèi)收集和產(chǎn)生的個人信息和重要數(shù)據(jù)的本地化要求，確需出境的應(yīng)當按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進行安全評估。不過，對于上述條文中對“關(guān)鍵信息基礎(chǔ)設(shè)施運營者”“重要數(shù)據(jù)”“個人信息”三個核心概念均未進行界定，同時并沒有相應(yīng)的國家層面的安全評估規(guī)定，這使得《網(wǎng)安法》的規(guī)定與數(shù)據(jù)跨境安全評估制度實際落地仍有較大距離。因此于同年，國家網(wǎng)信辦就《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》公開征求意見，國家標準委隨后也就《信息安全技術(shù) 數(shù)據(jù)出境安全評估指南（征求意見稿）》（“《數(shù)據(jù)出境安全評估指南（征求意見稿）》”）公開征求意見。兩文件均不同程度地對《網(wǎng)安法》所奠定的數(shù)據(jù)跨境安全評估框架進行了進一步的深入和細化。

（2）階段性征求意見稿明確方向

《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》的貢獻在于確立了數(shù)據(jù)跨境制度之下的安全評估程序的基本流程。該《辦法》對需要進行安全評估的情形、安全評估需要重點評估的內(nèi)容、負責安全評估的主管部門等方面進行了具體的規(guī)定，并確立了以自評估為前置流程，申請評估為正式環(huán)節(jié)，重新評估為可持續(xù)性支持的安全評估流程。其中，還值得注意的是安全評估適用范圍的拓展。它將適用主體拓展適用于任何符合第9條條件的網(wǎng)絡(luò)運營者，同時將數(shù)據(jù)類型拓展至具有一定體量的數(shù)據(jù)。而《數(shù)據(jù)出境安全評估指南（征求意見稿）》則是對數(shù)據(jù)跨境、重要數(shù)據(jù)、核心數(shù)據(jù)等基本概念進行了界定和列舉，同時提供了極具可操作性的，以影響程度等級和安全事件可能性等級為判斷維度的安全評估落實方案。

隨后經(jīng)過大約兩年時間，《數(shù)據(jù)安全管理辦法（征求意見稿）》以及《個人信息出境安全評估辦法（征求意見稿）》相繼公開征求意見?！稊?shù)據(jù)安全管理辦法（征求意見稿）》納入個人信息的有關(guān)內(nèi)容，將包括個人信息在內(nèi)的數(shù)據(jù)的收集、處理使用、安全監(jiān)督管理進行了規(guī)定?！稊?shù)據(jù)安全管理辦法（征求意見稿）》區(qū)分重要數(shù)據(jù)和個人信息，涉及重要數(shù)據(jù)跨境的，網(wǎng)絡(luò)運營者應(yīng)進行評估，并報經(jīng)同意或批準；個人信息則按照其他規(guī)定執(zhí)行。

隨之而來的《個人信息出境安全評估辦法（征求意見稿）》中，個人信息的出境限制比數(shù)據(jù)出境更為嚴格，根據(jù)第3條的規(guī)定，凡涉及個人信息跨境，均需要進行個人信息出境安全評估申報?！秱€人信息出境安全評估辦法（征求意見稿）》可以視為先前《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》的細化版本，其對申報材料、安全評估期限、救濟渠道等內(nèi)容進行細化規(guī)定，并強調(diào)網(wǎng)絡(luò)運營者與個人信息接收者簽訂的合同或者其他有法律效力的文件（統(tǒng)稱合同）中所應(yīng)規(guī)定的，保障個人信息權(quán)利以及網(wǎng)絡(luò)運營者、個人信息接收者責任義務(wù)的要求。在該文件中，合同審核成為了安全評估的重點內(nèi)容。

這一階段，數(shù)據(jù)跨境安全評估制度得到了較高程度的討論與細化，奠定了該制度在數(shù)據(jù)跨境制度中的重要地位。

2. 數(shù)據(jù)跨境安全評估制度的重要更新——以《數(shù)據(jù)安全法》《個人信息保護法》為標志

（1）數(shù)據(jù)跨境安全評估制度的適用日益多元化和具體化

隨著《數(shù)據(jù)安全法》（“《數(shù)安法》”）以及《個人信息保護法》（“《個信法》”）相繼出臺并生效，我國的數(shù)據(jù)跨境制度的基本法律框架得以進一步厘清?！稊?shù)安法》第31條在CIIO向境外提供重要數(shù)據(jù)時延續(xù)了《網(wǎng)安法》的規(guī)定，還為非CIIO的數(shù)據(jù)處理者在向境外提供重要數(shù)據(jù)提供了制度留白。《個信法》則是在數(shù)據(jù)處理者的基礎(chǔ)上，進一步界定了個人信息處理者，并規(guī)定了“個人信息跨境提供的規(guī)則”專章來專門針對個人信息跨境構(gòu)建規(guī)則框架。在《個信法》下，個人信息跨境場景下的安全評估制度有了更多的細化規(guī)定。

適用主體上，《個信法》繼承了《網(wǎng)安法》和《數(shù)安法》的規(guī)定，將屬于CIIO的個人信息處理者納入需要安全評估的責任主體范圍。在此基礎(chǔ)上，《個信法》第36條和第40條還加入兩個需要進行安全評估的責任主體，分別是國家機關(guān)和處理個人信息達到國家網(wǎng)信部門規(guī)定人數(shù)的個人信息處理者（下稱“大型個人信息處理者”）。《個信法》對上述三者提出了個人信息本地化要求，因需要確需出境的，則需要進行安全評估。其中，CIIO作為長期存在的概念，其概念界定、認定標準以及認定程序在《關(guān)鍵信息基礎(chǔ)設(shè)施保護條例》中有了相對明確的規(guī)定。各主體可以根據(jù)該條例的要求，對自身是否可能會被認定為CIIO進行自評估，可能會被認定為CIIO的，宜以CIIO的標準開展數(shù)據(jù)跨境合規(guī)工作?？梢钥闯?，在整個數(shù)據(jù)出境制度體系中，數(shù)據(jù)出境安全評估占據(jù)十分重要的位置。因為對于特定主體而言，安全評估并不是《個信法》第38條第1款所規(guī)定的“選擇性義務(wù)”，而是第36條、第40條所規(guī)定的“強制性義務(wù)”；不是《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》第35條中數(shù)據(jù)出境的“選擇性義務(wù)”；而是第37條所規(guī)定的“強制性義務(wù)”。而同時，“處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者”尚需進一步界定。

（2）后續(xù)規(guī)則草案嘗試制度落地

《網(wǎng)安法》《數(shù)安法》以及《個信法》三駕馬車的形成，為后來的《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》的制定提供了上位法基礎(chǔ)?！毒W(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》將數(shù)據(jù)跨境統(tǒng)一處理，將個人信息跨境制度框架擴展成為數(shù)據(jù)跨境制度的一般框架，其基本上遵循了《個信法》的制度架構(gòu)，但同時對三大法律的規(guī)定進行了細化，形成制度補充。在延續(xù)性地將數(shù)據(jù)出境安全評估作為數(shù)據(jù)出境的一種條件的基礎(chǔ)上，《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》嘗試就數(shù)據(jù)出境安全評估的觸發(fā)條件做進一步明確，除CIIO情形外，還包括了出境數(shù)據(jù)中包含重要數(shù)據(jù)、處理一百萬人以上個人信息的數(shù)據(jù)處理者向境外提供個人信息。

現(xiàn)今生效的辦法在統(tǒng)一處理數(shù)據(jù)出境的基礎(chǔ)上，對統(tǒng)一的安全評估制度做了進一步更新。其第4條對《個信法》“處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者”進行了補充界定，在“處理個人信息達到一百萬人的個人信息處理者向境外提供個人信息”的基礎(chǔ)上，補充了“自上年1月1日起累計向境外提供超過十萬人個人信息或者一萬人敏感個人信息”的數(shù)據(jù)處理者的情形，較為顯著地擴大了數(shù)據(jù)出境安全評估制度的適用范圍。

在具體的評估流程上，《數(shù)據(jù)出境安全評估辦法》明確了自評估——申請評估——重新申報評估的評估流程框架，并對部分細節(jié)進行了更新。例如，在有效期上，《數(shù)據(jù)出境安全評估辦法》規(guī)定了2年的固定有效期，2年有效期屆滿均需要進行安全評估，并且規(guī)定有效期內(nèi)需要重新評估的情形。在評估時限上，《數(shù)據(jù)出境安全評估辦法》充分考慮到了安全評估工作的復(fù)雜性，例如根據(jù)第10條的要求，國家網(wǎng)信部門受理申報后，需要根據(jù)申報情況組織國務(wù)院有關(guān)部門、省級網(wǎng)信部門、專門機構(gòu)等進行安全評估，因而整個過程需要多部門協(xié)同以及具有較高的專業(yè)性。

在該辦法中，數(shù)據(jù)跨境合同等法律文件仍然是重要的評估內(nèi)容，與《個人信息出境安全評估辦法》相比，《數(shù)據(jù)出境安全評估辦法》綜合了的個人信息處理情況、個人信息權(quán)利保障以及網(wǎng)絡(luò)運營者和接收者的責任義務(wù)于一體，并補充再跨境條款和爭議解決條款的要求，因而更為簡潔，同時也更強調(diào)標準合同的可行性、周全性以及可執(zhí)行性。

以上可以看出，《數(shù)據(jù)安全法》《個人信息保護法》生效之后這一時期的跨境制度，立法者逐漸梳理清楚了數(shù)據(jù)和個人信息之間的關(guān)系，搭建了基本統(tǒng)一的數(shù)據(jù)跨境法律制度框架。這一時期的個人信息跨境制度的構(gòu)建拓展了多種允許數(shù)據(jù)跨境的路徑。在眾多路徑中，安全評估仍然是數(shù)據(jù)合法跨境的最為重要的路徑，也是特定數(shù)據(jù)處理者的強制性義務(wù)。同時，安全評估作為我國特色的數(shù)據(jù)跨境制度，其具體的落實應(yīng)給予足夠的關(guān)注和重視。而《數(shù)據(jù)出境安全評估辦法》的最終生效，象征著我國數(shù)據(jù)出境安全評估制度的進一步落地，為數(shù)據(jù)處理者在開展數(shù)據(jù)安全評估工作提供了確定可操作的法律依據(jù)，因而具有里程碑式的意義。

03、《數(shù)據(jù)出境安全評估辦法》內(nèi)容解讀

1.數(shù)據(jù)出境評估情形與流程

從整體體例來看，《數(shù)據(jù)出境安全評估辦法》對安全評估的程序性規(guī)則和實體評估內(nèi)容均進行了規(guī)定。辦法中所規(guī)定的自評估—申請評估—重新評估，以及評估材料、評估時間、評估通知、評估材料補充更正、評估結(jié)果撤銷均屬于程序性的規(guī)定。這些規(guī)定能夠幫助數(shù)據(jù)處理者定位自己在開展數(shù)據(jù)出境安全評估工作中所處的時間點位。

2.數(shù)據(jù)出境評估內(nèi)容

上述環(huán)節(jié)中，數(shù)據(jù)處理者的自評估與網(wǎng)信部門等有關(guān)部門安全評估構(gòu)成整個評估流程中相對關(guān)鍵和重要的內(nèi)容?！稊?shù)據(jù)出境安全評估辦法》第5條、第8條及對自評估及安全評估的重點事項進行了列舉說明。

值得注意的是，對于數(shù)據(jù)出境安全自評估是否為企業(yè)的強制性法律義務(wù)，在《數(shù)據(jù)出境安全評估辦法》中也給出了相應(yīng)的傾向性回答。我們注意到，《數(shù)據(jù)出境安全評估辦法》正式稿第5條改變了企業(yè)需履行“自評估”的法定條件，將原先征求意見稿中“數(shù)據(jù)處理者在向境外提供數(shù)據(jù)前”改為“數(shù)據(jù)處理者在申報數(shù)據(jù)出境安全評估前”，因此我們理解，對于明顯不符合或者不屬于需向網(wǎng)信部門等相關(guān)部門申報數(shù)據(jù)出境安全評估的情形，數(shù)據(jù)出境安全風險自評估可能并非強制性法律義務(wù)，但這并不代表企業(yè)在向境外提供數(shù)據(jù)前無需進行任何內(nèi)部自主判斷，因此企業(yè)依然可以通過自評估的方式，對于是否滿足數(shù)據(jù)出境安全評估的要求進行自證。此外，《個人信息保護法》第55條仍然對企業(yè)向境外提供個人信息的行為，需履行個人信息保護影響評估的法定義務(wù)。

除上述之外，《數(shù)據(jù)出境安全評估辦法》第9條對數(shù)據(jù)跨境法律文件（合同）應(yīng)當包含的內(nèi)容也進行了說明；法律文件條款的設(shè)置也將構(gòu)成自評估和安全評估的重要組成部分。

數(shù)據(jù)出境法律文件評估

● 數(shù)據(jù)出境的目的、方式和數(shù)據(jù)范圍，境外接收方處理數(shù)據(jù)的用途、方式等；

●?數(shù)據(jù)在境外保存地點、期限，以及達到保存期限、完成約定目的或者法律文件終止后出境數(shù)據(jù)的處理措施；

●?對于境外接收方將出境數(shù)據(jù)再轉(zhuǎn)移給其他組織、個人的約束性要求；

●?境外接收方在實際控制權(quán)或者經(jīng)營范圍發(fā)生實質(zhì)性變化，或者所在國家、地區(qū)數(shù)據(jù)安全保護政策法規(guī)和網(wǎng)絡(luò)安全環(huán)境發(fā)生變化以及發(fā)生其他不可抗力情形導(dǎo)致難以保障數(shù)據(jù)安全時，應(yīng)當采取的安全措施；

●?違反法律文件約定的數(shù)據(jù)安全保護義務(wù)的補救措施、違約責任和爭議解決方式；

●?出境數(shù)據(jù)遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等風險時，妥善開展應(yīng)急處置的要求和保障個人維護其個人信息權(quán)益的途徑和方式。

以上可以看出，自評估與安全評估的重點事項在內(nèi)容上有一定重疊，安全評估將重點關(guān)注數(shù)據(jù)出境活動對國家安全、公共利益、個人或組織合法權(quán)益帶來的風險，并將基于此額外考慮境外接收方所在國家或地區(qū)的政策、法律、網(wǎng)絡(luò)安全環(huán)境對出境數(shù)據(jù)安全的影響，以及數(shù)據(jù)出境活動及所涉相關(guān)方遵守中國法律、行政法規(guī)、部門規(guī)章情況。

3.企業(yè)開展自評估的維度及要求

正如前文所述，本文認為數(shù)據(jù)處理者在正式開展評估工作時，應(yīng)充分將申請評估階段和合同等法律文件條款評估納入到自評估的內(nèi)容中。但鑒于這些評估內(nèi)容在表述上仍較為寬泛，本文在對《數(shù)據(jù)出境安全評估辦法》評估內(nèi)容進行總結(jié)的基礎(chǔ)上，進一步細化其顆粒度，爭取為自評估工作提供一個更為清晰的指引。根據(jù)《數(shù)據(jù)出境安全評估辦法》第5條、第8條和第9條的內(nèi)容，本文認為可以從以下幾個維度分別開展自評估工作：數(shù)據(jù)處理者維度、數(shù)據(jù)接收方維度、數(shù)據(jù)出境風險維度，以及合同約束維度。分別整理如下：

根據(jù)上述整理，本文結(jié)合業(yè)務(wù)實踐，嘗試提出具有針對性的可落地和可操作性的評估內(nèi)容。并結(jié)合上述的自評估流程，給出完成對應(yīng)評估項的評估階段，厘清各評估維度的流程定位。當然，評估內(nèi)容的結(jié)構(gòu)邏輯也可以根據(jù)實際情況進行靈活調(diào)整：

結(jié)語

出境數(shù)據(jù)在第三國的安全保障歷來是國際層面諸多司法轄區(qū)數(shù)據(jù)跨境制度的關(guān)注重點，同時也隨著法律對經(jīng)濟的影響而不斷調(diào)整。比如近期，隨著歐盟法院在Schrems II案中因擔憂歐盟公民個人數(shù)據(jù)因可能被美國當局有關(guān)部門獲取而無法得到有效保障，決定歐美“隱私盾協(xié)議”無效，歐盟對其數(shù)據(jù)跨境制度中個人數(shù)據(jù)在第三國是否得到有效保障予以了重新審視，并于2021年6月發(fā)布了新版的標準合同條款（SCC）。而此后，歐盟數(shù)據(jù)保護委員會（EDPB）發(fā)布了《關(guān)于數(shù)據(jù)跨境轉(zhuǎn)移的補充措施最終建議》（Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data），明確數(shù)據(jù)出境方在適用適當保護措施的情況下進行個人數(shù)據(jù)跨境時應(yīng)進行數(shù)據(jù)跨境影響評估，評估第三國的現(xiàn)行法律和/或慣例中是否有任何內(nèi)容可能影響數(shù)據(jù)出境方所采取的出境工具的適當保護措施的有效性，且須包含對第三國政府機構(gòu)獲取數(shù)據(jù)能力的評估。這一做法與我國的數(shù)據(jù)出境安全評估制度有異曲同工之處，表明歐盟當局通過數(shù)據(jù)出境方的影響評估，以補強論證適當保護措施有效性的監(jiān)管意圖。

《數(shù)據(jù)出境安全評估辦法》的頒布，標志著我國距離數(shù)據(jù)安全評估制度的落地有了長足的進步，為數(shù)據(jù)處理者開展數(shù)據(jù)出境安全評估提供了確定性的法律依據(jù)。數(shù)據(jù)處理者應(yīng)根據(jù)《數(shù)據(jù)出境安全評估辦法》第5條、第8條和第9條的內(nèi)容，嚴格按照規(guī)定程序開展工作。其中，自評估對各數(shù)據(jù)處理者的數(shù)據(jù)出境合規(guī)提出了更為細致且實際的要求，不僅可以成為數(shù)據(jù)安全評估制度的基礎(chǔ)性、前提性工作，同時也有助于各數(shù)據(jù)處理者開展日常的數(shù)據(jù)流轉(zhuǎn)梳理，對促進數(shù)據(jù)處理者數(shù)據(jù)管理的規(guī)范化、個人信息權(quán)益保護有巨大助益。

最后，從《數(shù)據(jù)出境安全評估辦法》的落地我們也能看出國家對于數(shù)據(jù)安全監(jiān)管的決心，“以安全促發(fā)展”將成為數(shù)字經(jīng)濟發(fā)展的首要指導(dǎo)原則之一。在數(shù)據(jù)安全上升到國家安全的今天，企業(yè)需要理解和體會國家數(shù)據(jù)監(jiān)管的格局和基礎(chǔ)原則，在原有的國際化發(fā)展的慣性中找到合規(guī)與商業(yè)的平衡點，尋求新型的國際化發(fā)展方向，在安全、合規(guī)的主旋律中奏響數(shù)字經(jīng)濟的新篇章。

來源：金杜研究院

專家介紹

寧宣鳳

走出去智庫（CGGT）特約法律專家

金杜律師事務(wù)所合伙人

業(yè)務(wù)領(lǐng)域：反壟斷與反不正當競爭，以及網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)

在反壟斷領(lǐng)域，寧律師所提供的法律服務(wù)內(nèi)容主要包括經(jīng)營者集中反壟斷申報、應(yīng)對反壟斷行政調(diào)查、反壟斷法合規(guī)咨詢以及反壟斷訴訟。早在2008年《反壟斷法》實施之前，寧宣鳳律師就曾積極參與政府起草該項法案的咨詢工作，并在該法頒布后，繼續(xù)積極參與協(xié)助相關(guān)條例、實施辦法及指南的起草工作。在網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)領(lǐng)域，寧律師曾為多家國內(nèi)外知名企業(yè)提供數(shù)據(jù)合規(guī)盡職調(diào)查、風險評估、合規(guī)體系建設(shè)等法律服務(wù)。作為國內(nèi)最早涉足該類法律實務(wù)的律師之一，寧律師在為客戶提供網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)法律咨詢服務(wù)方面有著豐富的經(jīng)驗。

吳涵

金杜律師事務(wù)所合伙人

合規(guī)業(yè)務(wù)部

業(yè)務(wù)領(lǐng)域：網(wǎng)絡(luò)安全、數(shù)據(jù)合規(guī)與治理

吳律師主要協(xié)助企業(yè)在數(shù)字經(jīng)濟轉(zhuǎn)型期發(fā)揮數(shù)據(jù)驅(qū)動力，實現(xiàn)數(shù)字化轉(zhuǎn)型、數(shù)據(jù)商業(yè)化及智能化應(yīng)用。具體包括協(xié)助客戶制定修改隱私政策、算法可解釋性聲明，制定跨境數(shù)據(jù)傳輸計劃，制定數(shù)據(jù)商業(yè)化合規(guī)方案，搭建算法治理體系，梳理企業(yè)數(shù)據(jù)（包括個人信息保護）合規(guī)體系，進行網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)自查，協(xié)助搭建數(shù)據(jù)融合的商業(yè)及合規(guī)框架，構(gòu)建企業(yè)數(shù)據(jù)資產(chǎn)體系等。吳律師擅長從中國合規(guī)的角度為跨國企業(yè)在中國的分支機構(gòu)提供網(wǎng)絡(luò)安全、數(shù)據(jù)治理及智能合規(guī)意見。同時吳涵律師能夠立足中國相關(guān)法律法規(guī)，為中國走出去企業(yè)建立符合歐盟（GDPR）及美國（CCPA）等跨司法轄區(qū)要求的網(wǎng)絡(luò)安全、數(shù)據(jù)合規(guī)及智能化監(jiān)管體系。項目覆蓋金融、保險、健康醫(yī)療、人工智能、網(wǎng)約車平臺、航空、消費電子、互聯(lián)網(wǎng)廣告、汽車、電商等多個行業(yè)。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。