本文目录导读:

数据出境安全评估是中国为保障国家安全、社会公共利益和个人信息权益而设立的重要机制,如果你是企业或数据处理者,需要将在中国境内运营中收集和产生的重要数据和个人信息向境外提供,通常需要按照以下步骤进行安全评估:
首先判断是否触发评估条件
根据《数据出境安全评估办法》,符合以下任一情形的,数据处理者应当申报数据出境安全评估:
- 处理100万人以上个人信息的数据处理者向境外提供个人信息;
- 自上年1月1日起累计向境外提供10万人以上个人信息或1万人以上敏感个人信息的数据处理者;
- 向境外提供重要数据;
- 国家网信部门规定的其他需要申报数据出境安全评估的情形。
注意:如果不符合上述条件,但涉及个人信息跨境,可能需要通过“标准合同”或“认证”等其他合规路径,不一定需要启动安全评估。
安全评估的流程
数据出境安全评估主要分为自评估、申报、审查三个阶段:
事前自评估(材料准备)
在正式申报前,数据处理者必须自行或委托第三方开展数据出境风险自评估,核心内容应包括:
- 数据出境的目的、范围、方式的合法性、正当性、必要性;
- 境外接收方的数据安全保障能力(包括技术、管理、法律环境等);
- 出境数据的规模、范围、敏感程度;
- 数据出境后可能面临的风险(如泄露、篡改、丢失、被非法获取等);
- 数据处理者的数据安全责任与义务的履行情况;
- 境外接收方所在国家/地区的数据安全保护政策法规及网络环境(重点判断是否存在政治、法律、外交等重大风险)。
正式申报(提交材料)
完成自评估后,数据处理者应向省级网信部门提交申报材料,再由省级网信部门上报国家网信部门,主要材料包括:
- 申报书(统一格式);
- 数据出境风险自评估报告(应包含上述自评估内容);
- 数据处理者与境外接收方拟订立的法律文件(如合同、协议等);
- 安全评估工作需要的其他材料(如数据分类分级、网络安全等级保护等证明)。
国家网信部门组织审查(核心环节)
- 受理与初审:省级网信部门在收到材料后5个工作日内完成完备性核查;通过后上报国家网信部门。
- 专业评估:国家网信部门将组织行业主管部门、网络安全专家、法律专家等共同评估,评估重点包括:
- 数据出境对国家安全、公共利益的影响;
- 境外接收方的数据安全保障水平和责任义务;
- 境外数据保护法律环境是否存在“长臂管辖”等对中方不利的因素;
- 合同或协议是否能有效保护数据权益。
- 时间周期:一般在45个工作日内完成评估;情况复杂的可延长,但通常不超过60个工作日,如果材料需要补充,时间会相应延长。
评估结果与后续义务
- 通过:国家网信部门会出具“数据出境安全评估通过”的书面意见,该评估结果有效期为2年,在有效期内,数据处理者需要持续遵守以下义务:
- 持续监控:发生数据出境目的、方式、种类重大变化,或境外接收方所在国家/地区法律环境发生重大变化时,需重新申报评估。
- 年度自评估:每年度应重新开展数据出境风险自评估,并向网信部门报告。
- 接受监督检查:配合网信部门、行业主管部门的抽查检查。
- 未通过:如果未通过评估,数据处理者应停止数据出境活动,可以在整改后重新申报。
关键注意事项
-
重要数据与个人信息的定义要准确:
对于“重要数据”,需根据《数据安全法》及相关行业领域(如金融、交通、医疗、工业等)的规定来界定,不是所有数据都是“重要数据”,但要避免误判导致合规风险。 -
合同或协议是关键:
数据处理者与境外接收方的合同必须包含具体、可操作的数据保护条款,明确数据用途、禁止转授权、应急响应机制、法律适用等,这是评估中的核心审查点。 -
“长臂管辖”风险:
如果境外接收方所在国家(如美国、欧盟等)有潜在的法律要求其向本国政府提供数据,需要特别说明并评估风险,网信部门会重点审查是否存在“数据主权”冲突。 -
时效与成本:
整个评估流程(从自评估到最终结果)通常需要2-4个月,对于复杂的跨境场景(如涉及多国、多方、海量数据),周期可能更长,企业应预留足够的时间窗口,合理规划业务。 -
豁免情形:
对于非重要数据且非个人信息(如纯粹的企业内部管理数据、不具识别性的统计信息),以及个人作为非专业人员(如普通用户) 自行向境外传输少量个人信息(如境外平台注册),通常不需要申报评估,但建议咨询专业法律意见。
如果不满足评估条件,有其他路径吗?
如果不触发上述强制评估条件,但有个人信息出境需求,可以选择以下两种替代机制(但同样需要采取保护措施):
- 签订《个人信息出境标准合同》:适用于“非重要数据、不触发评估条件”的个人信息出境。
- 通过专业机构认证:适用于特定场景(如跨国公司内部员工数据共享)。
总结建议
| 步骤 | 核心任务 | 时间预估 |
|---|---|---|
| 判断触发条件 | 确认数据类别、数量、是否涉及重要数据 | 1-2周 |
| 自评估 | 分析数据风险、评估接收方能力、制定保护方案 | 4-8周 |
| 签约与备案 | 与境外方签订合规合同/协议 | 2-4周 |
| 正式申报 | 向省级网信部门提交完整材料 | 1-2周 |
| 国家审查 | 网信部门审查、可能要求补充材料或整改 | 8-12周 |
| 后续合规 | 持续监控、年度报告、重新评估(如需) | 持续 |
最终建议:由于数据出境安全评估涉及复杂的法律、技术和国家安全判断,建议你在实际操作前咨询具有数据合规经验的专业律师或合规顾问,特别是对于涉及“重要数据”或大规模个人信息的场景,在不确定时,宁可主动申报评估,避免因未合规而导致罚款或业务中断风险。