最卷版|数据出境安全评估9月1日启动，附《指南》官方申报模板及流程全梳理、《办法》中英文版、对比版及官方说明

百闻不如一见，点击马上体验！

👇

点击“阅读原文”，立即下载数据出境安全评估“官方全套模板”

第一部分网信办指南：数据出境安全评估申报流程全梳理

来源：TMT法律论坛，仅供学习

★

NEWS

★

2022年8月31日，国家互联网信息办公室发布《数据出境安全评估申报指南（第一版）》（以下简称“《指南》”），在已正式施行的《数据出境安全评估办法》（以下简称“《办法》”）基础上，进一步明确了数据出境安全评估的适用范围、申报方式及流程、应当提交的申报材料以及申报咨询的官方渠道，并提供了数据出境安全评估申报书模板以及数据出境风险自评估报告模板等附件，以指导和帮助数据处理者规范、有序申报数据出境安全评估。

要点摘录

明确数据出境行为的具体情形

《指南》明确了数据出境行为的具体情形包括：

数据处理者将在境内运营中收集和产生的数据传输、存储至境外；
数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；
国家网信办规定的其他数据出境行为。

相较于网信办就《办法》答记者问中的回复，《指南》将远程访问场景下的“访问或者调用”更新为“查询、调取、下载、导出”，并新增“国家网信办规定的其他数据出境行为”作为兜底性条款，拓宽了数据出境的解释口径。

细化省级网信办和国家网信办的两级分工

《指南》在表述上细化了申报阶段中省级网信办和国家网信办的两级分工流程，即：

省级网信办：
查收申报材料，仅对申报材料进行完备性查验，不决定是否受理（形式审查）；如通过完备性查验，则上报申报材料至国家网信办。
国家网信办：确定是否受理。

明确数据出境安全评估的申报材料及要求

《指南》明确了数据处理者申报时应当提交的材料及要求，并提供了相应模板，具体包括：

数据出境安全评估申报材料要求
经办人授权委托书（模板）
数据出境安全评估申报书（模板）
数据出境风险自评估报告（模板）

我们梳理了《指南》与《办法》要求提供的申报材料，对比如下：

《数据出境安全评估办法》	《数据出境安全评估申报指南 (第一版)》
1.申报书2.数据出境风险自评估报告3.数据处理者与境外接收方拟订立的法律文件4.安全评估工作需要的其他材料（第六条）	1.统一社会信用代码证件影印件2.法定代表人身份证件影印件3.经办人身份证件影印件4.经办人授权委托书5.数据出境安全评估申报书6.与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件影印件7.数据出境风险自评估报告8.其他相关证明材料

值得注意的是，《指南》将《办法》所规定的“数据处理者与境外接收方拟订立的法律文件”更新为“与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件影印件”，明确法律文件即“数据出境相关合同或者其他具有法律效力的文件”。同时，针对该法律文件：

数据处理者应对文件中数据出境相关约定条款作高亮、线框等显著标识。
法律文件以中文版本为准，若仅有非中文版本，须同步提交准确的中文译本。

此外，《指南》与《办法》相比，删除了提交虚假材料的追责要件中“故意”这一要件，强化了对申报材料真实性的要求。

提供网信办官方的申报咨询窗口

电子邮箱：[email protected]
联系电话：010-55627135

《数据出境安全评估申报表》及填表说明

《数据出境安全评估申报表》（以下简称“

《申请表》

”）含14个板块，涉及

数据出境业务描述，数据出境的目的、方式、链路，拟出境数据情况，境外接收方情况，法律文件及条款索引，以及数据处理者遵守中国法律、行政法规、部门规章情况

等。附后填表说明对《申请表》内容进行了澄清，重点摘录如下：

数据出境目的：如开展业务合作、技术研究、经营管理等。
数据出境方式：如公共互联网传输、专线传输等。
数据出境链路：如链路提供商、链路数量与带宽、境内外落地数据中心名称及机房物理位置、IP地址等。
拟出境数据情况：关于“个人信息的敏感程度”，可参照国家标准《信息安全技术个人信息安全规范》。“涉及行业/领域”填写出境数据涉及的行业领域范围，如工业、电信、金融、交通、自然资源、卫生健康、能源、教育、科技、国防科工等。
遵守中国法律、行政法规、部门规章情况：简述近2年在业务经营活动中受到行政处罚和有关主管监管部门调查及整改情况，重点说明数据和网络安全方面相关情况。

明确可以聘请外部机构开展自评估

根据《数据出境风险自评估报告 (模板)》的说明，数据处理者可以聘请外部机构开展数据出境风险自评估。如有第三方机构参与自评估，须在自评估报告中说明第三方机构的基本情况及参与评估的情况，并在相关内容页上加盖第三方机构公章。

自评估报告的完成时间

数据出境风险自评估需要在申报前3个月内完成，且至申报之日无重大变化。

程序指引

如前所述，《指南》在表述上细化了申报阶段中省级网信办和国家网信办的两级分工流程，整体上仍遵循《办法》所规定的申报流程，详见下图：

该流程图按照《办法》绘制

我们摘录了《办法》和《指南》中涉及申报流程的条文，对比如下：

《数据出境安全评估办法》	《数据出境安全评估申报指南 (第一版)》
数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：（第四条第一款）	数据处理者申报数据出境安全评估，应当通过所在地省级网信办申报数据出境安全评估。申报方式为送达书面申报材料并附带材料电子版。（申报方式及流程）
省级网信部门应当自收到申报材料之日起5个工作日内完成完备性查验。申报材料齐全的，将申报材料报送国家网信部门；申报材料不齐全的，应当退回数据处理者并一次性告知需要补充的材料。（第七条第一款）	省级网信办收到申报材料后，在5个工作日内完成申报材料的完备性查验。通过完备性查验的，省级网信办将申报材料上报国家网信办；未通过完备性查验的，数据处理者将收到申报退回通知。（申报方式及流程）
国家网信部门应当自收到申报材料之日起7个工作日内，确定是否受理并书面通知数据处理者。（第七条第二款）	国家网信办自收到省级网信办上报申报材料之日起7个工作日内，确定是否受理并书面通知数据处理者。（申报方式及流程）
国家网信部门受理申报后，根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估。（第十条）	-
安全评估过程中，发现数据处理者提交的申报材料不符合要求的，国家网信部门可以要求其补充或者更正。数据处理者无正当理由不补充或者更正的，国家网信部门可以终止安全评估。（第十一条第一款）	数据处理者如被告知补充或者更正申报材料，应当及时按照要求补充或者更正材料。无正当理由不补充或者更正申报材料的，安全评估将会终止。（申报方式及流程）
数据处理者对所提交材料的真实性负责，故意提交虚假材料的，按照评估不通过处理，并依法追究相应法律责任。（第十一条第二款）	数据处理者对所提交材料的真实性负责，提交虚假材料的，按照评估不通过处理，并依法追究相应法律责任。（申报材料）
国家网信部门应当自向数据处理者发出书面受理通知书之日起45个工作日内完成数据出境安全评估；情况复杂或者需要补充、更正材料的，可以适当延长并告知数据处理者预计延长的时间。（第十二条第一款）	情况复杂的，数据处理者将被告知评估预计延长的时间。（申报方式及流程）
评估结果应当书面通知数据处理者。（第十二条第二款）	评估完成后，数据处理者将收到评估结果通知书。（申报方式及流程）
数据处理者对评估结果有异议的，可以在收到评估结果15个工作日内向国家网信部门申请复评，复评结果为最终结论。（第十三条）	对评估结果无异议的，数据处理者须按照数据出境安全管理相关法律法规和评估结果通知书的有关要求，规范相关数据出境活动；对评估结果有异议的，数据处理者可以在收到评估结果通知书15个工作日内向国家网信办申请复评，复评结果为最终结论。（申报方式及流程）
通过数据出境安全评估的结果有效期为2年，自评估结果出具之日起计算。在有效期内出现以下情形之一的，数据处理者应当重新申报评估：（第十四条第一款）	-
有效期届满，需要继续开展数据出境活动的，数据处理者应当在有效期届满60个工作日前重新申报评估。（第十四条第二款）	-

数据出境风险自评估报告

《指南》提供了数据出境风险自评估报告模板，供企业参照适用。

报告框架

一、自评估工作简述

自评估工作开展情况，包括起止时间、组织情况、实施过程、实施方式等内容。

二、出境活动整体情况

（一）数据处理者基本情况

（二）数据出境涉及业务及信息系统情况

（三）拟出境数据情况

（四）数据处理者数据安全保障能力情况

（五）境外接收方情况

（六）法律文件约定数据安全保护责任义务的情况

（七）数据处理者认为需要说明的其他情况

三、拟出境活动的风险评估情况

就《办法》第五条所列事项逐项说明风险评估情况，重点说明评估发现的问题和风险隐患，以及相应采取的整改措施及整改效果。

四、出境活动风险自评估结论

评估结论及其理由、论据等。

✦

正文

Law

★

通知

★

国家互联网信息办公室发布

《数据出境安全评估申报指南（第一版）》

2022年08月31日

为了指导和帮助数据处理者规范、有序申报数据出境安全评估，国家互联网信息办公室编制了《数据出境安全评估申报指南（第一版）》，对数据出境安全评估申报方式、申报流程、申报材料等具体要求作出了说明。

数据处理者因业务需要确需向境外提供数据，符合数据出境安全评估适用情形的，应当根据《数据出境安全评估办法》规定，按照申报指南申报数据出境安全评估。

★

《数据出境安全评估申报指南（第一版）》

★

第二部分：《数据出境安全评估办法》中英文版、对比版及官方说明

综合自：网信中国、德勤及数据法挖掘机。仅供学习，如有侵权，请联系删除！

7月7日，国家互联网信息办公室公布《数据出境安全评估办法》（以下简称《办法》），自2022年9月1日起施行。国家互联网信息办公室有关负责人表示，出台《办法》旨在落实《网络安全法》、《数据安全法》、《个人信息保护法》的规定，规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动，切实以安全保发展、以发展促安全。

　　近年来，随着数字经济的蓬勃发展，数据跨境活动日益频繁，数据处理者的数据出境需求快速增长。明确数据出境安全评估的具体规定，是促进数字经济健康发展、防范化解数据跨境安全风险的需要，是维护国家安全和社会公共利益的需要，是保护个人信息权益的需要。《办法》规定了数据出境安全评估的范围、条件和程序，为数据出境安全评估工作提供了具体指引。

《办法》明确，数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估适用本办法。提出数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合等原则。

《办法》规定了应当申报数据出境安全评估的情形，包括数据处理者向境外提供重要数据、关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息以及国家网信部门规定的其他需要申报数据出境安全评估的情形。

《办法》提出了数据出境安全评估的具体要求，规定数据处理者在申报数据出境安全评估前应当开展数据出境风险自评估并明确了重点评估事项。规定数据处理者在与境外接收方订立的法律文件中明确约定数据安全保护责任义务，在数据出境安全评估有效期内发生影响数据出境安全的情形应当重新申报评估。此外，还明确了数据出境安全评估程序、监督管理制度、法律责任以及合规整改要求等。

以下是《数据出境安全评估办法》中英文版

（来源：德勤，仅供学习）

以下是《数据出境安全评估办法》对比版

（来源：数据法挖掘机）

‍（修改与新增部分已用不同颜色标记：蓝色-新增、红色-修改、橙色-删除）

《数据出境安全评估办法》征求意见稿	《数据出境安全评估办法》正文
第一条为了规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规，制定本办法。	第一条为了规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规，制定本办法。
第二条数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息，应当按照本办法的规定进行安全评估；法律、行政法规另有规定的，依照其规定。	第二条数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估，适用本办法。法律、行政法规另有规定的，依照其规定。
第三条数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合，防范数据出境安全风险，保障数据依法有序自由流动。	第三条数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合，防范数据出境安全风险，保障数据依法有序自由流动。
第四条数据处理者向境外提供数据，符合以下情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。（一）关键信息基础设施的运营者收集和产生的个人信息和重要数据；（二）出境数据中包含重要数据；（三）处理个人信息达到一百万人的个人信息处理者向境外提供个人信息；（四）累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息；（五）国家网信部门规定的其他需要申报数据出境安全评估的情形。	第四条数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：（一）数据处理者向境外提供重要数据；（二）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；（三）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；（四）国家网信部门规定的其他需要申报数据出境安全评估的情形。
第五条数据处理者在向境外提供数据前，应事先开展数据出境风险自评估，重点评估以下事项：（一）数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；（二）出境数据的数量、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；（三）数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险；（四）境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全；（五）数据出境和再转移后泄露、毁损、篡改、滥用等的风险，个人维护个人信息权益的渠道是否通畅等；（六）与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务。	第五条数据处理者在申报数据出境安全评估前，应当开展数据出境风险自评估，重点评估以下事项：（一）数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；（二）出境数据的规模、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；（三）境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全；（四）数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险，个人信息权益维护的渠道是否通畅等；（五）与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等（以下统称法律文件）是否充分约定了数据安全保护责任义务；（六）其他可能影响数据出境安全的事项。
第六条申报数据出境安全评估，应当提交以下材料：（一）申报书；（二）数据出境风险自评估报告；（三）数据处理者与境外接收方拟订立的合同或者其他具有法律效力的文件等（以下统称合同）；（四）安全评估工作需要的其他材料。	第六条申报数据出境安全评估，应当提交以下材料：（一）申报书；（二）数据出境风险自评估报告；（三）数据处理者与境外接收方拟订立的法律文件；（四）安全评估工作需要的其他材料。
第七条国家网信部门自收到申报材料之日起七个工作日内，确定是否受理评估并以书面通知形式反馈受理结果。	第七条省级网信部门应当自收到申报材料之日起5个工作日内完成完备性查验。申报材料齐全的，将申报材料报送国家网信部门；申报材料不齐全的，应当退回数据处理者并一次性告知需要补充的材料。国家网信部门应当自收到申报材料之日起7个工作日内，确定是否受理并书面通知数据处理者。
第八条数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险，主要包括以下事项：（一）数据出境的目的、范围、方式等的合法性、正当性、必要性；（二）境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响；境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规规定和强制性国家标准的要求；（三）出境数据的数量、范围、种类、敏感程度，出境中和出境后泄露、篡改、丢失、破坏、转移或者被非法获取、非法利用等风险；（四）数据安全和个人信息权益是否能够得到充分有效保障；（五）数据处理者与境外接收方订立的合同中是否充分约定了数据安全保护责任义务；（六）遵守中国法律、行政法规、部门规章情况；（七）国家网信部门认为需要评估的其他事项。	第八条数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险，主要包括以下事项：（一）数据出境的目的、范围、方式等的合法性、正当性、必要性；（二）境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响；境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求；（三）出境数据的规模、范围、种类、敏感程度，出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险；（四）数据安全和个人信息权益是否能够得到充分有效保障；（五）数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务；（六）遵守中国法律、行政法规、部门规章情况；（七）国家网信部门认为需要评估的其他事项。
第九条数据处理者与境外接收方订立的合同充分约定数据安全保护责任义务，应当包括但不限于以下内容：（一）数据出境的目的、方式和数据范围，境外接收方处理数据的用途、方式等；（二）数据在境外保存地点、期限，以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施；（三）限制境外接收方将出境数据再转移给其他组织、个人的约束条款；（四）境外接收方在实际控制权或者经营范围发生实质性变化，或者所在国家、地区法律环境发生变化导致难以保障数据安全时，应当采取的安全措施；（五）违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款；（六）发生数据泄露等风险时，妥善开展应急处置，并保障个人维护个人信息权益的通畅渠道。	第九条数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务，至少包括以下内容：（一）数据出境的目的、方式和数据范围，境外接收方处理数据的用途、方式等；（二）数据在境外保存地点、期限，以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施；（三）对于境外接收方将出境数据再转移给其他组织、个人的约束性要求；（四）境外接收方在实际控制权或者经营范围发生实质性变化，或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时，应当采取的安全措施；（五）违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式；（六）出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时，妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。
第十条国家网信部门受理申报后，组织行业主管部门、国务院有关部门、省级网信部门、专门机构等进行安全评估。涉及重要数据出境的，国家网信部门征求相关行业主管部门意见。	第十条国家网信部门受理申报后，根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估。
第十三条数据处理者应当按照本办法的规定提交评估材料，材料不齐全或者不符合要求的，应当及时补充或者更正，拒不补充或者更正的，国家网信部门可以终止安全评估；数据处理者对所提交材料的真实性负责，故意提交虚假材料的，按照评估不通过处理。（修改之后变更为正式稿第十一条）	第十一条安全评估过程中，发现数据处理者提交的申报材料不符合要求的，国家网信部门可以要求其补充或者更正。数据处理者无正当理由不补充或者更正的，国家网信部门可以终止安全评估。数据处理者对所提交材料的真实性负责，故意提交虚假材料的，按照评估不通过处理，并依法追究相应法律责任。
第十一条国家网信部门自出具书面受理通知书之日起四十五个工作日内完成数据出境安全评估；情况复杂或者需要补充材料的，可以适当延长，但一般不超过六十个工作日。评估结果以书面形式通知数据处理者。	第十二条国家网信部门应当自向数据处理者发出书面受理通知书之日起45个工作日内完成数据出境安全评估；情况复杂或者需要补充、更正材料的，可以适当延长并告知数据处理者预计延长的时间。评估结果应当书面通知数据处理者
第十三条数据处理者对评估结果有异议的，可以在收到评估结果15个工作日内向国家网信部门申请复评，复评结果为最终结论。
第十二条数据出境评估结果有效期二年。在有效期内出现以下情形之一的，数据处理者应当重新申报评估：（一）向境外提供数据的目的、方式、范围、类型和境外接收方处理数据的用途、方式发生变化，或者延长个人信息和重要数据境外保存期限的；（二）境外接收方所在国家或者地区法律环境发生变化，数据处理者或者境外接收方实际控制权发生变化，数据处理者与境外接收方合同变更等可能影响出境数据安全的；（三）出现影响出境数据安全的其他情形。有效期届满，需要继续开展原数据出境活动的，数据处理者应当在有效期届满六十个工作日前重新申报评估。未按本条规定重新申报评估的，应当停止数据出境活动。	第十四条通过数据出境安全评估的结果有效期为2年，自评估结果出具之日起计算。在有效期内出现以下情形之一的，数据处理者应当重新申报评估：（一）向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的，或者延长个人信息和重要数据境外保存期限的；（二）境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的；（三）出现影响出境数据安全的其他情形。有效期届满，需要继续开展数据出境活动的，数据处理者应当在有效期届满60个工作日前重新申报评估。
第十四条参与安全评估工作的相关机构和人员对在履行职责中知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密，不得泄露或者非法向他人提供。	第十五条参与安全评估工作的相关机构和人员对在履行职责中知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密，不得泄露或者非法向他人提供、非法使用。
第十五条任何组织和个人发现数据处理者未按照本办法规定进行评估向境外提供数据的，可以向省级以上网信部门投诉、举报。	第十六条任何组织和个人发现数据处理者违反本办法向境外提供数据的，可以向省级以上网信部门举报。
第十六条国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的，应当撤销评估结果并书面通知数据处理者，数据处理者应当终止数据出境活动。需要继续开展数据出境活动的，数据处理者应当按照要求进行整改，并在整改完成后重新申报评估。	第十七条国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的，应当书面通知数据处理者终止数据出境活动。数据处理者需要继续开展数据出境活动的，应当按照要求整改，整改完成后重新申报评估。
第十七条违反本办法规定的，依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规的规定处理；构成犯罪的，依法追究刑事责任	第十八条违反本办法规定的，依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规处理；构成犯罪的，依法追究刑事责任。
第十九条本办法所称重要数据，是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。
第十八条本办法自年月日起施行。	第二十条本办法自2022年9月1日起施行。本办法施行前已经开展的数据出境活动，不符合本办法规定的，应当自本办法施行之日起6个月内完成整改。

以下是《数据出境安全评估办法》全文

数据出境安全评估办法

第一条 为了规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规，制定本办法。

第二条 数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估，适用本办法。法律、行政法规另有规定的，依照其规定。

第三条 数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合，防范数据出境安全风险，保障数据依法有序自由流动。

第四条 数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：

　　（一）数据处理者向境外提供重要数据；

　　（二）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；

　　（三）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；

　　（四）国家网信部门规定的其他需要申报数据出境安全评估的情形。

第五条 数据处理者在申报数据出境安全评估前，应当开展数据出境风险自评估，重点评估以下事项：

　　（一）数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；

　　（二）出境数据的规模、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；

　　（三）境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全；

　　（四）数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险，个人信息权益维护的渠道是否通畅等；

　　（五）与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等（以下统称法律文件）是否充分约定了数据安全保护责任义务；

　　（六）其他可能影响数据出境安全的事项。

第六条 申报数据出境安全评估，应当提交以下材料：

　　（一）申报书；

　　（二）数据出境风险自评估报告；

　　（三）数据处理者与境外接收方拟订立的法律文件；

　　（四）安全评估工作需要的其他材料。

第七条 省级网信部门应当自收到申报材料之日起5个工作日内完成完备性查验。申报材料齐全的，将申报材料报送国家网信部门；申报材料不齐全的，应当退回数据处理者并一次性告知需要补充的材料。

　　国家网信部门应当自收到申报材料之日起7个工作日内，确定是否受理并书面通知数据处理者。

第八条 数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险，主要包括以下事项：

　　（一）数据出境的目的、范围、方式等的合法性、正当性、必要性；

　　（二）境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响；境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求；

　　（三）出境数据的规模、范围、种类、敏感程度，出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险；

　　（四）数据安全和个人信息权益是否能够得到充分有效保障；

　　（五）数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务；

　　（六）遵守中国法律、行政法规、部门规章情况；　

　　（七）国家网信部门认为需要评估的其他事项。

第九条 数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务，至少包括以下内容：

　　（一）数据出境的目的、方式和数据范围，境外接收方处理数据的用途、方式等；

　　（二）数据在境外保存地点、期限，以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施；

　　（三）对于境外接收方将出境数据再转移给其他组织、个人的约束性要求；

　　（四）境外接收方在实际控制权或者经营范围发生实质性变化，或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时，应当采取的安全措施；

　　（五）违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式；

　　（六）出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时，妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。

第十条 国家网信部门受理申报后，根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估。

第十一条 安全评估过程中，发现数据处理者提交的申报材料不符合要求的，国家网信部门可以要求其补充或者更正。数据处理者无正当理由不补充或者更正的，国家网信部门可以终止安全评估。

　　数据处理者对所提交材料的真实性负责，故意提交虚假材料的，按照评估不通过处理，并依法追究相应法律责任。

第十二条 国家网信部门应当自向数据处理者发出书面受理通知书之日起45个工作日内完成数据出境安全评估；情况复杂或者需要补充、更正材料的，可以适当延长并告知数据处理者预计延长的时间。

　　评估结果应当书面通知数据处理者。

第十三条 数据处理者对评估结果有异议的，可以在收到评估结果15个工作日内向国家网信部门申请复评，复评结果为最终结论。

第十四条 通过数据出境安全评估的结果有效期为2年，自评估结果出具之日起计算。在有效期内出现以下情形之一的，数据处理者应当重新申报评估：

　　（一）向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的，或者延长个人信息和重要数据境外保存期限的；

　　（二）境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的；

　　（三）出现影响出境数据安全的其他情形。

　　有效期届满，需要继续开展数据出境活动的，数据处理者应当在有效期届满60个工作日前重新申报评估。

第十五条 参与安全评估工作的相关机构和人员对在履行职责中知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密，不得泄露或者非法向他人提供、非法使用。

第十六条 任何组织和个人发现数据处理者违反本办法向境外提供数据的，可以向省级以上网信部门举报。

第十七条 国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的，应当书面通知数据处理者终止数据出境活动。数据处理者需要继续开展数据出境活动的，应当按照要求整改，整改完成后重新申报评估。

第十八条 违反本办法规定的，依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规处理；构成犯罪的，依法追究刑事责任。

第十九条 本办法所称重要数据，是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。

第二十条 本办法自2022年9月1日起施行。本办法施行前已经开展的数据出境活动，不符合本办法规定的，应当自本办法施行之日起6个月内完成整改。

以下是《数据出境安全评估办法》答记者问

　　7月7日，国家互联网信息办公室公布《数据出境安全评估办法》（以下简称《办法》）。国家互联网信息办公室有关负责人就《办法》相关问题回答了记者提问。

　　问：请简要介绍《办法》出台的背景？

答：近年来，随着数字经济的蓬勃发展，数据跨境活动日益频繁，数据处理者的数据出境需求快速增长。同时，由于不同国家和地区法律制度、保护水平等的差异，数据出境安全风险也相应凸显。数据跨境活动既影响个人信息权益，又关系国家安全和社会公共利益。世界上许多国家和地区相继从本国、本地区实际出发，对数据跨境安全管理作了制度探索。制定出台《办法》是落实《网络安全法》、《数据安全法》、《个人信息保护法》有关数据出境规定的重要举措，目的是进一步规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动。

　　问：《办法》所称数据出境活动是指什么？

答：《办法》所称数据出境活动主要包括：一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以访问或者调用。

　　问：哪些情形需要申报数据出境安全评估？

答：《办法》明确了4种应当申报数据出境安全评估的情形：一是数据处理者向境外提供重要数据。二是关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息。三是自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息。四是国家网信部门规定的其他需要申报数据出境安全评估的情形。

　　问：数据出境安全评估主要评估哪些内容？

答：数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险，主要包括以下事项：一是数据出境的目的、范围、方式等的合法性、正当性、必要性。二是境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响；境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求。三是出境数据的规模、范围、种类、敏感程度，出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险。四是数据安全和个人信息权益是否能够得到充分有效保障。五是数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务。六是遵守中国法律、行政法规、部门规章情况。七是国家网信部门认为需要评估的其他事项。

　　问：为了规范数据出境安全评估活动，《办法》明确了哪些具体流程？

答：《办法》明确了数据出境的具体流程。一是事前评估，数据处理者在向境外提供数据前，应首先开展数据出境风险自评估。二是申报评估，符合申报数据出境安全评估情形的，数据处理者应通过所在地省级网信部门向国家网信部门申报数据出境安全评估。三是开展评估，国家网信部门自收到申报材料之日起7个工作日内确定是否受理评估；自出具书面受理通知书之日起45个工作日内完成数据出境安全评估；情况复杂或者需要补充、更正材料的，可以适当延长并告知数据处理者预计延长的时间。四是重新评估和终止出境，评估结果有效期届满或者在有效期内出现本办法中规定重新评估情形的，数据处理者应当重新申报数据出境安全评估。已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的，在收到国家网信部门书面通知后，数据处理者应终止数据出境活动。数据处理者需要继续开展数据出境活动的，应当按照要求整改，整改完成后重新申报评估。

　　问：评估过程中如何保障数据处理者的商业秘密等合法权益？

答：《办法》规定了参与安全评估工作的相关机构和人员对在履行职责中知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密，不得泄露或者非法向他人提供、非法使用。

　　问：《办法》还明确了哪些规定？

答：除了上述评估内容、具体流程、保密要求等管理措施以外，《办法》还明确了国家网信部门负责决定是否受理安全评估，并根据申报情况组织国务院有关部门、省级网信部门、专门机构等开展安全评估。省级网信部门负责接收数据出境安全评估申请材料，并完成完备性查验。任何组织和个人发现数据处理者违反本办法向境外提供数据的，可以向省级以上网信部门举报。

　　问：数据处理者何时申报数据出境安全评估？

答：数据处理者应当在数据出境活动发生前申报并通过数据出境安全评估。实践中，数据处理者宜在与境外接收方签订数据出境相关合同或者其他具有法律效力的文件（以下统称法律文件）前，申报数据出境安全评估。如果在签订法律文件后申报评估，建议在法律文件中注明此文件须在通过数据出境安全评估后生效，以避免可能因未通过评估而造成损失。

　　问：企业申报数据出境安全评估的结果可能有哪几类？

答：一是申报不予受理。对于不属于安全评估范围的，数据处理者接到国家网信部门不予受理的书面通知后，可以通过法律规定的其他合法途径开展数据出境活动。二是通过安全评估。数据处理者可以在收到通过评估的书面通知后，严格按照申报事项开展数据出境活动。三是未通过安全评估。未通过数据出境安全评估的，数据处理者不得开展所申报的数据出境活动。

　　问：对评估结果有异议如何处理？

答：数据处理者对评估结果有异议的，可以在收到评估结果15个工作日内向国家网信部门申请复评，复评结果为最终结论。

　　问：通过数据出境安全评估的结果有效期是多久？

答：通过数据出境安全评估的结果有效期为2年，自评估结果出具之日起计算。有效期届满，需要继续开展数据出境活动的，数据处理者应当在有效期届满60个工作日前重新申报评估。

　　问：违反《办法》如何追究法律责任？

答：《办法》明确数据处理者违反本办法规定的，依照《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规的规定处理；构成犯罪的，依法追究刑事责任。

　　问：对于个人信息向境外提供，安全评估与标准合同、个人信息保护认证之间的关系，三种方式如何衔接？

答：《办法》适用范围已经明确，对于适用安全评估的个人信息处理者的数据出境情形应当申报安全评估；《办法》适用范围外的个人信息处理者的数据出境情形，可以通过个人信息保护认证或者签订国家网信部门制定的标准合同来满足个人信息跨境提供条件，便利个人信息处理者依法开展数据出境活动。

继续阅读

阅读原文