數據跨境流動是近年來全球各法域的監管熱點問題，近年來，我國陸續出臺《網絡安全法》《數據安全法》《個人信息保護法》《數據出境安全評估辦法》等法律法規，以及《網絡安全標準實踐指南——個人信息跨境處理活動安全認證規范》《數據出境安全評估申報指南（第一版）》《個人信息出境標準合同規定（征求意見稿）》等規范性文件，逐步搭建成型我國的數據出境監管機制。

　　數據出境合規正式成為許多企業必須面對的課題，部分企業由此面臨不小的壓力，法規條款眾多，擔心實施細則中信息不夠明朗不好把握，在合規實施層面存在障礙。安全419關注到，中國信息通信研究院安全研究所相關專家在近期的公開演講中，從專業角度分析梳理了我國數據出境的規則體系，以及個人信息出境和重要數據出境的合規路徑，具有較強的指引和操作性，我們在此總結重點內容供相關企業參考。

　　重要數據出境合規唯一路徑：數據出境安全評估

　　國家對重要數據出境的管理十分嚴格，《網絡安全法》《數據安全法》共同規定了重要數據出境的唯一合規路徑，即通過國家網信部門組織的數據出境安全評估，無例外情形。一旦違反，機構、組織將承擔最高1000萬的罰款，直接負責人將承擔最高100萬的罰款，罰金之外還面臨警告、停業、吊銷營業執照等處罰。

　　重要數據的數據出境安全評估更側重于數據出境活動對國家安全、公共利益帶來的風險。在操作上，2022年9月1日由國家網信辦公布實施的《數據出境安全評估辦法》對評估的范圍、條件和程序進行了統一規定。

　　重要數據識別

　　重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據。可參見2022年3月16日發布的國家標準《信息安全技術 重要數據識別規則（征求意見稿）》進行梳理。對于部分特殊行業，主管部門制定的法規可成為識別本行業重要數據的有益參考。這一步最終需要輸出重要數據清單。

　　出境活動識別

　　從具體業務入手，梳理業務場景，進而梳理數據處理活動，再對每個數據處理活動形成數據映射關系，最終輸出重要數據出境活動（業務場景）清單。

　　風險自評估

　　數據處理者申報數據出境安全評估前，應當開展數據出境風險自評估，輸出對應報告。

　　申報安全評估

　　數據處理者應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估，申報材料包括申報書、數據出境風險自評估報告、數據處理者與境外接收方擬訂立的法律文件及其他相關材料。

　　個人信息出境合規路徑：認證、合同、評估

　　對于個人信息出境，合規必要條件是個人信息處理者需履行告知義務，告知個人信息主體出境相關事項，并取得單獨同意。《個人信息保護法》區分不同責任主體類型規定了個人信息出境的合規路徑。

　　路徑一：個人信息保護認證

　　2022年6月24日，信安標委發布《網絡安全標準實踐指南-個人信息跨境處理活動安全認證規范》，適用于跨國公司或者同一經濟、事業實體下屬子公司或關聯公司之間的個人信息跨境處理活動，由境內一方申請認證并承擔法律責任；以及《個人信息保護法》第三條第二款適用的個人信息處理活動（見下圖），由其在境內設置的專門機構或指定代表申請認證并承擔法律責任。

　　境內外雙方均應設立個人信息保護機構，依法制定并實施個人信息跨境處理活動計劃，組織開展個人信息保護影響評估，監督本組織按照約定規則處理跨境個人信息，接受和處理個人信息主體的請求和投訴。同時，境內外雙方均應指定個人信息保護責任人，由決策層成員承擔，明確目標、要求、任務、保護措施，提供人、財、物力保障，指導、支持以確保達到預期目標，向組織匯報工作并推動持續改進。

　　其中，個人信息保護影響評估可參考國家標準《信息安全技術 個人信息安全影響評估指南》（GB/T 39335-2020）進行。個人信息保護影響評估是個人信息出境的合規前置程序，在后面其他合規路徑中亦會涉及。

　　合規路徑二：個人信息出境標準合同

　　2022年6月30日，國家網信辦發布《個人信息出境標準合同規定（征求意見稿）》，個人信息處理者同時符合下圖情形的，可以通過簽訂標準合同的方式向境外提供個人信息。

　　首先需要事前開展個人信息保護影響評估；根據出境個人信息具體情況，適用于該情形的簽署標準合同，生效后即可開展個人信息出境活動，并在10個工作日內進行備案；當出境情況發生變化時，應重新簽署標準合同并備案；出現違規行為時，終止出境。

　　備案材料即為個人信息保護影響評估報告和標準合同。《規定》第六條明確了標準合同包括的內容，同時給出了合同文本。

　　合規路徑三：數據出境安全評估

　　與重要數據出境的安全評估一樣，《數據出境安全評估辦法》同時也為個人信息出境提供了具體指引。有下圖情形之一的，適用安全評估：

　　從適用范圍來看，「安全評估」和「標準合同」兩條路徑在一定程度上互為補充，選取上年1月1日作為累計起始日期，以個人信息主體人數作為計量單位，“大量/高風險（關鍵信息基礎設施運營者）”進行安全評估，“少量/低風險（非關鍵信息基礎設施運營者）”選擇簽署標準合同。

　　數據安全評估堅持事前評估和持續監督相結合，風險自評估與安全評估相結合的總體原則，由國家網信部門負責統籌協調，省級網信部門進行材料完備性查驗并上報，國務院有關部門、省級網信部門、專門機構各司其職相互配合參與具體評估。2022年8月31日，國家網信辦編制了《數據出境安全評估指南（第一版）》，對數據出境安全評估申報方式、申報流程、申報材料等具體要求作出了說明，企業可依照操作。

　　數據出境合規工作建議

　　在國家數據安全和個人信息保護工作逐步完善、監督逐步加強的大背景下，數據出境安全合規是一項重要工作，但不是孤立的工作。在數據安全合規體系建設整體思路指引下，做好數據出境合規工作，可以考慮以下方面：

　　● 重視基礎性工作，包括數據資產梳理、數據分類分級、重要數據識別等（具體實施可參考安全419《數據分類分級解決方案》系列訪談 ；

　　● 重視合規工作之間的聯動與協同，如個人信息保護影響評估與數據出境安全評估，重要數據風險評估與數據出境安全評估；

　　● 重視持續監督與改進，如個人信息出境累計數量變化，數據出境目的、方式、范圍、種類變化，境外接收方的相關變化；

　　● 重視業務優化與改造，重要數據能不提供就不提供，個人信息盡量少提供，降低合規成本。

更多信息可以來這里獲取==>>電子技術應用-AET<<