【从零读懂】数据出境合规100问 | Part 3上篇：《数据出境安全评估办法》高频问题与适用解读

Original 王捷资深出海法律顾问出海互联网法律观察

2024-08-25

必读收藏

数据出境合规100问

《数据出境安全评估办法》与

《个人信息出境标准合同规定（征求意见稿）》

剖析与解读

导言

随着《个人信息出境标准合同规定（征求意见稿）》（以下简称《规定》）、《数据出境安全评估办法》（以下简称《办法》）的相继公布，由《个人信息保护法》第三十八条确定的数据出境选用路径的实践脉络已经越发清晰，可以判断，数据出境合规是企业数据出海必须面对的课题。我们一直专注于网络法实务，特别是数据合规实务工作，在日常为各大企业提供合规服务的过程中，亦遇到各类新型的值得探讨的问题。为了方便实务，让数据出境需求者能够尽快的熟悉，理解我国关于数据出境的各项法律要求与规定，我们计划以《规定》及《办法》作为基础，对我国数据出境有关的法律问题进行一个全方位的解读，一方面对数据出境相关的法律法规进行分析，另一方面也就日常工作中遇到的高频出境问题进行总结。我们热切地期待与各位同行朋友深入探讨各种新型问题，有任何数据合规实务需求与问题探讨，请随时联系王捷律师团队，联系方式见文末。

本系列文章将分为以下四部分

第一部分：初阶--数据出境关键概念剖析

第二部分：进阶--《个人信息出境标准合同规定》高频问题与适用解读（上）

进阶--《个人信息出境标准合同规定》高频问题与适用解读（下）

第三部分：进阶--《数据出境安全评估办法》高频问题与适用解读

第四部分：高阶--数据出海实践关键问题与海外SCC要点对比

在认识清楚数据出境相关的基本概念后，后续的内容将开始对数据出境的两部重要法规进行分析，本篇是第三部分进阶篇，主要就《数据出境安全评估办法）》的高频问题与适用进行解读。

文 / 王捷律师团队

第三部分上篇：

《数据出境安全评估办法》高频问题与适用解读

本部分上篇将回答以下问题：

Q49.本次《办法》相比先前的各个意见稿版本有何变化？与《网安法》、《个保法》、《数安法》中关于跨境安全评估的规定有何异同？

Q50.企业如何判断自身业务是否需要进行出境安全评估的申报？

Q51.延伸一如何理解“数据处理者向境外提供重要数据”以及具体情况可能包括哪些？

Q52.延伸 — 核心数据是否可以通过安全评估数据出境？

Q53.延伸 — 如何理解“CIIO和达量数据处理者向境外提供个人信息”以及具体情况可能包括哪些？

Q54.《关键信息基础设施确定指南（试行）》提及的100万访问人次和《办法》的人数一样吗？

Q55.《办法》中提及的100万“人”、10万“人”、1万“人”是否只计算具有中国国籍的公民？例如，收集境外来境内的游客是否应计算在内？

Q56.《办法》中关于100万数据出境的规定是否可以理解为就是《个人信息保护法》第四十条规定的境内储存达量标准？

Q57.延伸 — 如何理解“累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息”，其具体情况可能包括哪些？

Q58.延伸 — 如何理解“网信部门规定的其他需要申报数据出境安全评估的情形”以及具体情况可能包括哪些？

Q59.小剧场：仔细研读《办法》后，为后续便利出境，A公司就累计起算规则日期的问题前来和律所探讨，A公司认为，《办法》是今年9月1号开始施行，今年的1月1号已经经过，是否可以理解为累计时间的起算点是从2022年1月1日、或2023年1月1日才开始起算？

Q60.延伸 — 规定关于100万人数的标准并没有上一年1月1号的限制条件，是否意味着只要历史到现在累计达到100万人，就得申报而不是采用滚动清零措施？

Q61.延伸 — 未达到《办法》要求进行安全评估的人数要求，但是处理个人信息的条数规模较大是否需要进行安全评估？

Q62.延伸 — 现阶段未达到申报要求但未来有达到要求可能的企业是否需要申报？

Q63.企业是否可以通过安排不同主体去承接数据的方式规避《办法》要求的数据出境安全评估？

《办法》的发布促进了我国维护数据安全及保护数据利益的制度设计到实践操作的良性衔接，本次《办法》共包括二十条，对安全评估的目的，适用范围，评估程序，评估内容，评估效果等各进行了全面规定。

《办法》实施后，符合要求的企业最好在规定的期限内尽快配合完成评估，尽早熟悉、准备安全评估的相关事项及流程，以避免因违反《办法》规定而导致企业的数据出境活动受到影响。本专题的第三部分，将汇总《办法》的高频问题以及适用难点，结合团队多年的数据出境业务经验，为大家带来详细解读。

Q49. 本次《办法》相比先前的各个意见稿版本有何变化？与《网安法》、《个保法》、《数安法》中关于跨境安全评估的规定有何异同？

与早些年相比，目前我国数据保护相关的法律成果是比较丰富的，借助回答本问题的机会，我们可以先对《办法》及与数据出境评估相关的立法脉络进行一个梳理。

从当下的法律布局来看，在已经实施并生效的法律中，《网络安全法》、《数据安全法》、以及《个人信息保护法》共同搭建起了立体的数据安全评估法律体系，其中，《网络安全法》侧重网络安全风险、对关键信息基础设施提出了评估要求；《数据安全法》更关注重要数据处理相关的评估事项；《个人信息保护法》则把安全评估作为个人信息数据出境可能采取的路径之一；而随着《办法》的发布，后续企业将能获得数据出境安全评估事项的详细指引，我国安全评估从规定事项到具体做法逐渐清晰。

从《办法》制定的时间脉络来看，《办法》的制定先后经历2017年《个人信息和重要数据出境安全评估办法（征求意见稿）》、2019年《个人信息安全出境评估办法（征求意见稿）》、2021年《数据出境安全评估办法（征求意见稿）》以及2022年《数据出境安全评估办法》4个版本，期间名称、内容的改动可以很好地看到我国近年来对数据出境安全立法思路的调整与发展，如对于是否要分类调整个人信息及重要数据、安全评估如何开展、是否需要自评估等，在不断的调整和立法探索中，如今的《办法》才最终敲定。

对我国数据出境评估相关法律规定进行扼要对比如下：

（2021年征求意见稿与2022年正式稿的内容对比在本专题最后附录部分提供）

Q50. 企业如何判断自身业务是否需要进行出境安全评估的申报？

是否需要进行安全评估，企业可以按照以下流程图进行判断：

但是，在实务中，企业还有很多既不是个人信息又不是重要数据的数据，且这些数据也会有大量出境的情况存在，若按照现有《办法》的条文来看，这类的数据，并不需要进行安全评估，或者签署标准合同，但仍然建议企业考虑通过完成风险自评估的方式来进行自我检测。

Q51. 延伸一如何理解“数据处理者向境外提供重要数据”以及具体情况可能包括哪些？

《办法》第十九条对重要数据进行了详细的定义，主要强调考虑数据产生的社会影响，该部分在本专题第一部分有进行讲解，进一步补充的是，《信息安全技术重要数据识别指南》（以下简称《指南》）中除给出了重要数据的定义外，对危害国家安全、公共利益等各个领域重要数据的识别需要考虑的因素也作出了详细的列举，故企业可以通过对处理数据的领域进行判断以明确是否处理了重要数据。比如，地图软件中掌握的地图数据，城市车辆的行驶路线等。

需要注意的是，《指南》中规定重要数据不包括国家秘密和个人信息，但是基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据，其中“海量”的具体数字并未明确。在《汽车数据安全管理若干规定（试行）》中，其明确指出“涉及个人信息主体超过10万人的个人信息”属于重要数据。故在实务中，关于海量个人数据的具体化可能需要在不同行业领域进行分别规范。

Q52. 延伸 — 核心数据是否可以通过安全评估数据出境？

从数据类型上看，《办法》只规定了重要数据、达量的敏感数据及个人数据出境需要进行安全评估，而并未列明核心数据可以通过安全评估完成出境，由此核心数据的数据出境规则值得进一步分析，根据《数据安全法》第二十一条规定：“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。 ”由此可以判断核心数据可能不能通过安全评估办法进行出境，一是因为核心数据其对国家、社会的重要性要比《办法》中规定的几种数据类型更高，二是《数据安全法》中已说明将会实行更严格的管理制度要求，至于这是否意味着核心数据不具有出境的可能性，或者核心数据出境需要适用何种规则，由于其需要更多维度要素的考量，可以在未来进一步观察。

Q53.延伸 — 如何理解“CIIO和达量数据处理者向境外提供个人信息”以及具体情况可能包括哪些？

关于关键基础设施运营者，《关键信息基础设施安全保护条例》（以下简称《条例》中给出了明确的定义。除此之外，《条例》第十条规定保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施，及时将认定结果通知运营者，并通报国务院公安部门，故企业应当注意是否接到主管部门的认定结果的通知，以判断自己是否属于关键基础设施运营者。关于CIIO的其他内容，在本系列文章第一部分做了更详细的阐释，如仍有疑问可以进行参照。

其次，关于处理100万人以上个人信息是对数据处理者处理个人信息的人数要求，同时，处理个人信息主体量达到100万，不管向境外传输多少，都已符合该条要求，需要进行申报。

Q54.《关键信息基础设施确定指南（试行）》提及的100万访问人次和《办法》的人数一样吗？

实务中有企业注意到了《关键信息基础设施确定指南（试行）》（以下简称《指南》）中也提及到“100万”的衡量标准，并前来咨询《指南》的100万与《办法》的标准是否等同的问题.

实际是，虽然都是100万，但是衡量标准是不同的，根据《指南》的规定，“日均访问量超过100万人次的网站，或可能影响超过100万人工作、生活，或造成超过100万人个人信息泄露的网站可认定为关键信息基础设施。”注意，《指南》中提及的标准是100万“人次”，而《办法》则是100万“人数”，前者计算访问次数，后者计算主体数量，单个主体可能会访问多次网站，每次访问都会以人次作为计算。

Q55.《办法》中提及的100万“人”、10万“人”、1万“人”是否只计算具有中国国籍的公民？例如，收集境外来境内的游客的个人信息是否应计算在内？

该问题的核心在于确认我国保护的个人信息主体的涵盖范围，结论是，只要是我国境内的自然人的个人信息都受到保护，并不止于我国的公民。该范围可以在《个人信息保护法》第二条及第三条的内容中找到法律依据，只要是位于我国境内的自然人都将会落入《办法》计算中被判断的主体。如理解有误，欢迎拍砖指正。

Q56.《办法》中关于100万数据出境的规定是否可以理解为就是《个人信息保护法》第四十条规定的境内储存达量标准？

该问题出现了一个针锋相对的观点，早在《个人信息保护法》刚发布实施时，其第四十条要求的国家网信部的规定数量究竟为何一直是被业内关注的重点，《办法》实施后，100万是否应当同时也是个人信息处理者应当把信息储存到境内的标准。有企业认为，既然数据出境的达量标准为100万，那么境内储存的标准应当与其等同或者，至少不会比数据出境的标准更低；亦有企业认为，若境内储存的标准为100万人数或者要求更严格的话，实务中会为企业的数据处理活动带来过高的处理成本。

我们认为，判断该问题可以分为两步，

从目前来看，《办法》规定的是数据出境的适用规则而并非是数据储存，二者的标准可能有参考价值但不能从法条文义上直接得出数据储存也适用该标准的结论

由此，数据储存的标准不会因为《办法》的颁布施行而当然的提高；

从近年来的实践判断，企业实践中亦尚未出现因掌握个人信息人数达到100万即被要求必须在境内储存信息的情形

由此，在未进一步明确境内储存规则之前，目前实务中企业的境内储存规则状况可能会仍暂时维持现状。

Q57. 延伸 — 如何理解“累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息”，其具体情况可能包括哪些？

首先，需要注意的是时间起算点为自上年1月1日起，由于本《办法》自2022年9月1日起施行，故在实务中应理解为自2021年1月1日起计算，此条与《规定》中关于签署《标准合同》的主体的时间要求衔接，如此规定避免了长时间的数据累计，可使数据量较小的数据处理者不必落入监管范围。

其次，10万人与1万人为实际累计向境外传输个人信息主体的人数，关于传输信息的计量单位（例如条数、容量等等）在本系列第二部分文章中也进行了讨论，这是一个在实务中较为模糊，需要进一步立法规定的问题。最后，关于敏感个人信息，在本系列文章第一部分进行了解释，故企业在实务中应当注意时间的起算要求以及收集个人信息的种类是否属于敏感个人信息。

Q58.延伸 — 如何理解“网信部门规定的其他需要申报数据出境安全评估的情形”以及具体情况可能包括哪些？

该条为兜底条款，企业在实务中应当注意经营领域是否有相关行业法规规章对数据收集以及出境具有要求，而不仅局限于《网络安全法》《数据安全法》和《个人信息保护法》等整体性法律框架内。

结合现有法条的文义来看，我们理解，累计的起算时间点应当从2021年1月1日开始，除非有额外的规定说明，否则《办法》2022年9月1日生效后，就应该在生效的时间点开始遵循《办法》规定的起算点，即，2022年9月1日为生效时间点，自上一年1月1日开始累计计算。同时，若累计起算的时间点尚需等待2022年乃至2023年起算，那么《办法》提出的六个月的整改期，以及尽快完善出台我国数据出境的各项规则的效果也会大打折扣。

Q60.延伸 — 规定关于100万人数的标准并没有上一年1月1号的限制条件，是否意味着只要历史到现在累计达到100人，就得申报而不是采用滚动清零措施？

从《办法》的适用标准框架来分析，100万人目前确实并未采取滚动清零的措施。

考虑到累计人数达到100万，已经是一个相当庞大的数据合集，容易产生较大的数据安全隐患，尽管是历史累计，可能牵涉的主体以及产生的社会影响力仍然比较高；

从规则设计可行性上看，如果100万人数采取的累积规则若仍是上一年1月1号，很难有企业会达到100万的要求，监管目的容易落空；

从适用标准的体系来看，4项标准分别从主体类型、数据类型、人数规模、时间累计四个层面进行了多层次的规定，体系上标准相对完善；

《办法》的目的是尽可能的降低法数据安全出境风险，若采用历史累计达100万的方式也与《办法》的目的相符合。

Q61. 延伸 — 未达到《办法》要求进行安全评估的人数要求，但是处理个人信息的条数规模较大是否需要进行安全评估？

鉴于《办法》中关于100万、10万、1万均指的是人数要求，而非信息条数的要求。在此情况下，实务和业内基于此标准延伸出了一个疑问，若企业处理的人数未达标准，但是所持有的信息条数足够多，企业是不是就无需进行安全评估。

该问题的着眼内容不仅在于人数标准，而在于在该情形下企业是否需要进行安全评估，我们认为，该情形下，虽然企业确实达不到安全评估的人数要求，但是其持有的条数如果足够多，以至于对国家、经济、社会、公共健康等产生影响的，企业可能会因为其所处理的数据被认定为重要数据或属于法律规定的其他情况而达到进行安全评估的要求。

Q62.延伸 — 现阶段未达到申报要求但未来有达到要求可能的企业是否需要申报？

若数据类型为个人信息的，现阶段未达到申报要求的企业可以通过签订《标准合同》等其他途径进行数据出境，若数据非涉及个人信息且未达到《办法》要求的，无需进行安全评估申报。但是根据《办法》第十六条以及第十八条规定，违反本办法规定的，不仅面临被举报的风险，更有可能构成犯罪，依法追究刑事责任。

由于进行出境安全评估申报，需要开展自评估以及安全评估，提交申报书、自评估报告以及各项法律文件，且需要通过省级网信部门查验以及国家网信部门受理，整个申报过程需要大量时间成本，故建议企业应当根据现阶段经营状况进行及时预估，如果预测未来发展走势积极，应当尽早做好申报准备，以免因为不符合数据出境要求影响企业业务发展。

Q63.企业是否可以通过安排不同主体去承接数据的方式规避《办法》要求的数据出境安全评估？

在《办法》实施后各企业包括业内都有曾进行类似场景的讨论，假设一个需要安全评估的企业主体把个人信息分散给不同的企业主体进行处理，且分散后每个主体都达不到安全评估的要求，此时企业是否就可以不用完成安全评估了。

从实务经验来看，判断该问题的核心在于分析处理数据的不同企业之间的关系如何，若企业与企业之间能够保持独立，人员、资金、管理制度等都能达到不混同、不融合、不共享的，我们可以认为，每一个处理数据企业都构成一个完全独立的主体，因此，若此时每一个企业主体处理数据的情形都未达到安全评估的要求标准，数据出境活动可以不进行安全评估。

但是随着对数据出境监管力度的加强，不排除之后监管部门会通过对不同企业主体进行详细审查，若通过判定企业之间的数据流转情况、数据融合情况、企业的具体经营状况（包括但不限于业务人员的对应的劳动合同关系，各企业主体是否独立承担责任，是否具有独立责任人等），以及向境外提供个人信息和重要数据的各企业之间的关系，最终判断出各企业主体之间是较难保持独立性，或实际为同一企业所控制的话，则仍然需要考虑依据《办法》要求的内容完成数据出境安全评估。

故目前来说，这种方式并不能当然就完全避免企业面临的被监管部门审查问责的风险。

本系列文章作者：

王捷肖锦豪夏律黄思妍刘玫君

【声明】

本文内容系作者对法律及实务的理解，仅代表作者个人观点，不构成法律意见，作者以及本公众号均不对内容的分析正确性以及内容获得者由此采取的任何行为承担法律责任。

本文内容系作者原创，引用、转载均请联系作者并注明出处，禁止抄袭，谢谢！

欢迎联系主编投稿。

主编介绍

王捷

执业律师，垦丁W&W国际法律团队创始人，联合国世界丝绸之路委员会专家，中国国际贸易促进委员会深圳调解中心专家调解员，广东省法学会信息通讯法学研究会理事，荷兰RuG国际经济法与商法硕士，专注于网络法领域的研究和实务，特别是互联网产品合规、出海合规以及全球数据保护与个人信息保护合规，已为多家知名互联网公司及大中型外资企业提供专业法律服务，覆盖智能终端制造、IOT、人工智能、云计算与服务、社交网络平台、移动互联网、电子商务及平台、短视频视听直播、网络游戏、以及个人信息保护、数据安全等行业领域。

王捷律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作，拥有10年的科技型公司实务经验与中外律所从业背景，深耕海内外多条业务线。专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。她能更准确理解客户核心需求，快速响应并提供基础到战略的有效支持，并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。

王捷律师关于《中国与海外多国/地区数据保护及企业合规要点对比》的论文，在全球最高分的六篇论文中，荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖，该文章同时被评为年度隐私政策制定者 “必读” 文章。与此同时，她还是出海互联网法律观察公众号主理人，输出了多篇专业互联网与数据合规文章，部分刊登于国际知名专业数据库。

联系方式：

全球数据合规实务群

为您提供独家出海资讯、最新信息动态

与同行们一起交流时事热点、分享经典案例

尽享互联网出海法律干货

快添加主理人微信（jie-72）加入我们吧！

（入群请详细备注姓名、单位、研究领域）

【入群条件：请提出一个关于数据出境的实务问题】

近期更新：

【从零读懂】数据出境合规100问 | Part 2下篇：《个人信息出境标准合同规定（征求意见稿）》高频问题与适用解读

【从零读懂】数据出境合规100问 | Part 2上篇：《个人信息出境标准合同规定（征求意见稿）》高频问题与适用解读

【从零读懂】数据出境合规100问 | Part 1：数据出境关键概念剖析