国家互联网信息办公室在2022年7月7日对外公布了新的法规——《数据出境安全评估办法》（以下简称《办法》）。《办法》正式于同年9月1日起实行。这是为了遵循网络安全法和数据安全法所规定的具体要求，制定的针对数据流出行为的相关规范。这些规范旨在保护个人信息权益、维护国家安全和社会公共利益，并促进数据在跨境范围内的安全、自由流动。

近年来，随着数字经济发展如火如荼，《办法》对于促进数字经济健康发展，防范化解数据跨境的安全风险有着重要的意义。明确界定数据出口的总体要求，不仅能够有效保障国家的信息安全，而且能为维护社会公共利益做出积极贡献；同时也是为了保护个人信息权益的需要。《办法》对数据出境的安全评估工作提供了全面且详尽的规定，有利于确保相关活动有序进行。

《规定》指明，《办法》清晰指出，负责处理重要数据及个人信息的组织机构在将此类数据传输到境外之前必须对其进行安全评估，这些评估工作应依据本条款实施。为了确保跨境数据转移的安全性，《办法》特别强调了安全评估应当遵循事前评估和持续监控相结合、以及风险自评估与全面评估相结合的原则。

根据《办法》的规定，应当进行数据出境安全评估的情况包括以下几点：一、处理重要数据的跨国公司向海外提供重要数据；二、运营关键信息基础设施的重要企业将大量个人信息向境外传递；三、个人数据量达到一定规模且具有较高敏感性的数据处理者对外输出10万以上的人类识别数据或超过500万个人身份数据；四、新一年起累计跨境输送1万人及以上的人脸识别数据，或者累计跨境传输个人生物识别信息1万以上的公司。

根据《办法》提出的具体要求：在进行数据出境安全评估前，数据处理者必须完成风险自评估，并明确提出了重点评估事项；确定和约定在订立法律文件时，境外接收方应当承担的数据安全责任和义务。并且明确规定了评估的有效期限以及评估结果的重新申报条件。此外，《办法》还详细规定了评估程序、监督管理政策以及数据处理者的法律责任等重要内容。

中国有关数据出口的国家审查程序

《国务院关于开展网络安全审查的通知》第 11 号令

《数据出境安全评估办法》由中华人民共和国国家互联网信息办公室于2022年5月19日审议通过，并经第10次会议审定后颁布，并在2022年9月1日生效执行。

中国互联网信息中心的主任

2022年的7月7号

《数据出口和出境安全审查规定》

第一条本办法旨在规范我国境内外的数据出境活动，并通过保护个人隐私权以及维护国家及社会公共利益的方式促进跨境数据安全的流通和自由流动，这是基于《网络安全法》、《数据安全法》及《个人信息保护法》等法律法规而制定的规定。

第二条境内外开展与重要数据处理相关活动的数据处理者，需对中华人民共和国境内存储的重要数据和个人信息进行安全评估并符合法律规定；法律、法规有其他特别规定的，从其规定。 请注意：如“在中华人民共和国境内运营”被误解为必须在中国境内进行活动，请注意这并非绝对。

第十三条对于数据的境外转移，要坚持事先审查和动态监管相结合以及风险管理与审评并重的原则，通过事前评估与持续监督双重保障措施来预防跨境数据安全风险，并保障数据在合法合规的前提下，在境内外自由流转。

第十四条 数据处理者向境外提供数据，出现以下情况时，应向所在地省级网信部门申请数据出境安全评估： 1. 涉及《国家安全法》中的国家安全或公共利益的； 2. 数据涉及个人隐私或个人信息保护问题； 3. 数据可能带来国家核心竞争力损害。

（一）数据处理者向境外提供的重要数据

(二) 关键信息基础设施运营者以及处理个人信息数量超过一百万的人群所生成的个人数据，必须在进行跨境数据传输前获得国家有关部门的许可。

(三) 自年1月1日始，累计向境外提供的个人信息超过10万人次或敏感信息达万人。

根据中国网络安全法，国家互联网信息办公室规定其他国家需提交数据出口安全评估的情况。

第5条规定，在向监管机构提交数据跨境传输的安全评估之前，私家侦探，侦探公司，调查公司，查人找物，商务调查，出轨外遇调查，婚外情调查，私人调查，19209219596数据处理者必须对可能存在的数据跨国转移风险进行自我评估。此评估的重点需要重点关注以下几个方面。

一、《个人信息保护法》关于数据出境及境内接收方如何处理相关个人数据，目的、范围以及方式等方面的法律要求。

（二）涉及的出境数据的规模、类型、范围以及安全性等特性；出境数据可能对国家的安全、公共利益以及相关个人和组织权利造成的影响。

三 关于境外接受方所承担的义务，及确保相关义务得以执行并采取了何种有效的管理和技术措施的能力和水平以保证出境数据的安全性。

（四）数据在移出中国境内或从中国境外返回时遭遇到的数据安全风险；以及移出中国境内的个人敏感信息是否存在被篡改、破坏、泄露、丢失、转移或者遭到非法获取、非法利用的风险；个人信息权益保护的途径是否畅通等。

(五) 是否已与境外接收方约定并签订了关于数据跨国流动的相关合同或其它具有法律效力的文件，包括但不限于具体的责任义务条款以及数据处理中的相关机制和保障措施等。

第六条，有关于影响数据出境安全的其它事项。

第6条向国家网络安全审查办公室申请境外数据流向的安评时需提交下列资料：

请提交申请书。

(二) 数据跨境迁移风险自我评估报告

【（三）】双方拟订立的数据处理协议和任何其他法律性文件。

除了所需的评估材料外，还需要提供其他的相关文档。

第7条规定各省级网络信息管理部门应当在收到申报资料的5个工作日之内对其进行完整性的检查确认申报资料齐全后将其上交至国家网络信息管理部门如资料不全应拒绝接受。

根据《中华人民共和国网络安全法》，网络信息管理部应于接到申报的申请材料后，决定是否受理并及时书面告知相关方。

第八条 数据出境的安全评估重点考虑国家安 全、公共利益以及个 人的或者组织的合法权 益的风险。这主要涉及以下方面的问题：

一、关于数据流出目的、范围与方式的合法性及必要性。

（二）境内接收方所在地及境外接收方所在国家或地区的法律法规及网络安全环境对境内及境外数据安全的可能影响。境内及境外接收方所在国或地区的数据安全保护政策法规是否能够满足中国相关法律规定并确保强制执行，以及跨境接收数据的安全级别；

第三项是出境数据的规模、类型及性质、所涉及的国家和地区以及可能产生的敏感性。此外，还应当考虑到如果出境中遭遇或在入境后的过程中遭遇安全威胁如篡改、破坏、泄露、丢失和被窃取或者滥用的可能性。

(四) 数据安全和个人信息安全能否获得充分有效的保护；

(5) 处理者的法律文件中规定了与受托境外接受方就数据安全保护事宜达成的协议条款，是否明确约定了各自的责任与义务。

第六条，遵守中华人民共和国法律法规、部门规章的执行情况。

（七）国家网信部门认为需要评估的其他事项。

第九条 数据处理者应确保与其在国外的数据接收方签订的法律文件中明确规定其在处理外国个人数据时所承担的安全保障职责。这至少涉及如下要素：

目的、方式及涉及的数据范围将取决于具体情形，请咨询相关法律专家。

（二）关于数据在境外保存地点、期限，并明确这些存储的时间界限和当期限届满时应采取何种措施的规定。

对境外接受方再次转移其数据的规定。

(四)如果境外接收方的实际控制权或经营领域发生实质性的改变,或是所在国的数据安全法律法规及网络安全环境发生变更，并且无法确保数据安全，必须实施相应的安全保护措施。

（Five），对违反法律所规定数据安全保障义务应采取的补救措施、相应的违约责任以及解决争议的方式。

如果出入境数据遭遇篡改、毁损、泄露私家侦探，侦探公司，调查公司，查人找物，商务调查，出轨外遇调查，婚外情调查，私人调查，19209219596或遗失，以及未经授权的拷贝、复制、窃取或者被非法使用等情况出现，为有效应对这些风险，并确保能够为个人用户提供及时有效地恢复他们的信息的方式，国家应制定相应的应急预案，并建立一套健全的应急响应机制，以便在遭受攻击和侵害时能够迅速而妥善地采取应对措施。

第10条由国家网信办负责受理申报，并据此依据国家有关规定组织实施。

在进行数据保护审查的过程中，如果数据处理方提供的信息不符合相关标准或规范的要求，网络安全管理机构有权对其进行修正或补充，并可在必要时取消其申报工作。如果数据处理方未按照要求及时进行修正，则网络安全管理机构将不予通过其申报工作。

数据处理者对所提交材料的真实性负责，故意提交虚假材料的，按照评估不通过处理，并依法追究相应法律责任。

第二十二条 数据处理者应当在接到通知之日起45个工作日内，提交符合国家网信部门要求的数据跨境传输证明文件以及《网络安全审查报告》等必要资料，并根据审查结果决定是否暂停相关业务活动或服务提供。

评估结果应以书面的形式通知到数据处理者。

第十三条数据处理者对评估结果有异议的，可以在收到评估结果15个工作日内向国家网信部门申请复评，复评结果为最终结论。

第十四条 数据出境安全评估的结果有效期为两年。从评估完成之日起计算，在此期限内如遇任何可能影响评估结果的情形发生，数据处理者须重新提出评估申请。

（一）当向境外提供个人数据时，需考虑数据处理目的与方式是否合法合规；若变更数据接收地或数据使用范围，或延长信息及重要数据境外存储期限，则须进行严格审核评估以确保国家安全及个人信息保护。

对于（二）情况，即境外接收方所在地及其所在国家或地区数据安全保护政策法规和网络安全环境的变化以及发生其它不可抗力情形、接收方或其控制权发生改变、或处理协议中的法律条款发生变动的情况时。

（三）可能影响出境数据安全的情况。

如到期需要继续执行数据迁移工作，应该在结束当前数据迁移任务后，在60日内进行重新评估和申请。

第十五条 参与安全评估工作的各方及其相关人员应严格遵守国家有关法律法规规定，按照要求对在履行职责过程中获得的各类信息进行严格保管和保护，切实保障国家秘密、个人信息、商业秘密、保密商务信息等数据不泄露以及被非法获取或使用。

第十六条 任何组织或者个人发现数据处理者违反《中华人民共和国数据安全法》的规定，将应向中华人民共和国境内转移的数据转移至境外的，应当及时向所在地省级以上公安机关举报。

第十七条国家网信部发现已经通过了审核的数据出境活动不符合数据出境管理要求时会以书面形式告知相关单位终止其数据出境活动。如果继续执行上述数据出境活动，则需完成相应的整改后向有关部门重新申请安全评估。

第十八条如若违反此办法，则需依《网络安全法》《数据安全法》及《个人信息保护法》等法律条款进行处罚，触犯刑法者将受到刑事惩罚。

第二十条重要数据指一旦遭致篡改、损坏或泄密，将对国家利益造成重大损害的个人信息与通信信息。

第二十条 本办法 自 2022 年 9 月 1 日 起 实施 。 本办法实 施 前 已经 开展 的 数据 出境 活动 ， 不 符 合 本 办法 规 定的 ， 应 当 自 本办法 实 施 之 日 起 6 个 月 内 完 成 整 改 。