【本文主要内容】：

首先，纵向时间为轴，对数据出境评估相关立法历史进行梳理，立足上位法基本依据，比较分析几版《征意稿》重点内容与变化（文后可扫码获取详细对比版），探究我国数据出境最新监管态势与企业数据出境合规重点；

其次，横向法域为面，鉴于目前征意稿尚处于征求意见阶段，尚无据此处罚的参考案例，借鉴欧盟GDPR数据跨境问题的处理规则，结合欧盟最新公布的数据跨境方处罚案例，以期对我国企业数据出境合规的未来执法趋势予以探析参考。

数据出境的安全管理与评估，自《网络安全法》以来一直成为数据合规领域中的关键性话题。立法机关明确将《中华人民共和国网络安全法》（“《网安法》”）、《中华人民共和国数据安全法》（“《数安法》”）和《中华人民共和国个人信息保护法》（“《个保法》”）这三部构成我国网络空间治理框架性规则的基础法律作为此次《数据出境安全评估办法（征求意见稿）》（“《征意稿》”）的上位法依据。

一、立法脉络

回顾数据出境评估规定出台的立法过程，历经4年已有三个相关征求意见稿，足可见我国立法与监管机构对此问题的深切关注与审慎态度：

2017年4月11日，国家互联网信息办公室对《个人信息和重要数据出境安全评估办法（征求意见稿）》公开征求意见。

2019年6月13日，国家互联网信息办公室对《个人信息出境安全评估办法（征求意见稿）》公开征求意见。

2021年10月29日，即今日，国家互联网信息办公室对《数据出境安全评估办法（征求意见稿）》公开征求意见。

今年开始，对于数据安全及个人信息保护领域的法规，我国立法机关于此无论是出台法律法规的数量、速度还是重要程度上都有重磅举措，尤其是《数安法》、《个保法》陆续正式实施，相关配套法规与标准文本也迅速到位，困扰业界已久的个人信息与重要数据出境安全评估机制也终于被揭开面纱。四年的时间不单是对该重要制度立法技术的锤炼，更核心的还是我国网络空间治理框架性规则已基本建立，而数据传输作为数据处理环节中的一环，数据出境评估规则的出台刚好弥补了这一块规制空白。

二、重点内容对比分析

1、适用对象

《征意稿》第2条“数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息，应当按照本办法的规定进行安全评估；法律、行政法规另有规定的，依照其规定。”

本次《征意稿》与之前版本相比，采取“数据处理者”作为数据出境安全评估义务主体，与《个保法》、《数安法》中所使用的概念相一致，要求“数据处理者”将境内所涉数据向境外提供的场景中，应当进行安全评估，但是目前《个保法》、《数安法》虽然提出了“数据处理者”的概念，但是对于其具体界定的含义边界尚存在延展的可能，我们理解可能会随着产业发展，及数据出境潜在的数据安全治理与国际合作的情况而不断发展。此前版本的“网络运营者”作为相应主体见于《网安法》的主体规定，《网安法》要求“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估...”近年各大法域数据跨境传输风险不断升级，各国监管机构愈发关注到需要进行评估的个人信息和重要数据出境的主体不会仅限于关键信息基础设施运营者信息出境，还存在其他复杂场景。所以，从统筹核心概念、统一监管主体、立足发展的角度，本次《征意稿》均有了更好的体现。我们理解“数据处理者”的概念外延或会随着法规生效后的执法司法案例的出现而进一步完善。

2、安全评估原则和价值

本次《征意稿》明确提出“数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合...”此类“事前评估+事后持续监督”，“双重评估”的模式是本次重大变化。展开来说，前者是结合数据出境全生命周期进行法律风险管理控制的全流程合规（具体见《征意稿》第5条、第12条），后者是数据处理者存在数据出境行为均应履行风险自评估义务（《征意稿》第5条），以及满足特定条件时还需“安全评估”（《征意稿》第4条）。

3、法定安全申报义务

本次《征意稿》又一重大变化是法定安全申报义务触发条件，《征意稿》第4条“数据处理者向境外提供数据，符合以下情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。

（一）关键信息基础设施的运营者收集和产生的个人信息和重要数据；

（二）出境数据中包含重要数据；

（三）处理个人信息达到一百万人的个人信息处理者向境外提供个人信息；

（四）累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息；

（五）国家网信部门规定的其他需要申报数据出境安全评估的情形。”

目前关于“个人信息”、“敏感个人信息”、“重要数据”的相关概念与制度内容已经逐步落地，这也为本次《征意稿》的起草提供了充分支撑。值得关注的是，今年7月《网络安全审查办法（修订草案征求意见稿）》中规定：“掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。”而本次《征意稿》第4条第（三）款“处理个人信息达到一百万人的个人信息处理者向境外提供个人信息”的数据处理者有数据出境安全评估义务。两者从适用对象、触发条件、规模等有重叠也有区别，前者涉及网络安全审查监管，后者涉及数据出境安全评估监管，二者如何得以衔接或者协调适用也会成为业界关注的热点，截止目前，两个规定均系征意稿，未来如何通过条款设计与监管协调，还有待进一步规定。

另外，这里“处理个人信息达到一百万人的个人信息处理者”可以被理解为Gate Keeper的角色，负有法定安全评估合规义务，无论其向境外提供个人信息量级如何均需履行该安全评估义务；与第（四）款“累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息”的个人信息处理者情形要可进行差别分析，后者强调“累计”的概念，并且没有在本款内限定“累计”数量的计算时间，累计超过规定量级的个人（敏感）信息就触发安全评估程序。关于安全评估有效期两年以及重新申请的规定在《征意稿》第12条中也进行了规定。综上来看，安全审查义务触发条件适用门槛相对较低，适用情形也比较常见，这也为涉及数据出境业务的企业进行了风险预警，合规成本不可忽视，当然，这也为未来国内数据中心的广泛建立提供潜在机会。

4、数据出境“双评估”流程

本次《征意稿》相较于上一稿，在安全评估监管机构层级等方面也发生了变化。本次将由“向所在地省级网信部门进行个人信息出境安全评估”变化为“通过所在地省级网信部门向国家网信部门评估”。根据本《征意稿》第4条-第12条的相关规定，我们就相关评估流程做了图示，方便直观参考

评估事项也有明确规定：

三、域外相关法律实践

近年来通过比较法研究可以发现，我国关于数据合规及个人数据保护的法律法规充分吸取了其他法域相关法规的先进立法经验，立足我国国情加以制定。例如《数安法》也明确“国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作，参与数据安全相关国际规则和标准的制定，促进数据跨境安全、自由流动”等原则。以欧盟为例，GDPR框架下对跨境数据传输规制的主要路径包括：充分性认定（adequacy decision）；适当保障（appropriate safeguards）（包括有约束力的公司规则（BCR）、标准合同条款（SCC）、经批准的行为准则和认证机制等内容，2019年6月4日，EDPB发布的《针对GDPR第42和第43条有关“认证”规定的指南》是关于在欧盟境内建立数据保护的认证机制）；特定情形下的豁免（Derogations for Specific Situations）。从域外数据跨境监管的基本原则与执法思路上或也能为目前我国数据跨境监督措施与流动机制提供一定参考：

四、结语

截至目前《征意稿》还没有最终定稿实施，关于个人数据与重要数据出境的安全评估机制历经三版，也终于在这一版里统一了监管思路。但是涉及网络安全审查、数据安全审查制度间的衔接与协调问题诚如上文所示仍然值得探讨。评估办法的出台进一步补充了三部基本法的评估制度细节，有利于国家安全和数据跨境风险防范的根本目标实现。同时，从数字经济发展角度出发，“保障数据依法有序自由流动”、有效平衡监管效率与企业合规义务成本或也会成为未来业界要关注的问题。

本文引用

1. https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2021/varsel-om-overtredelsesgebyr-til-ferde-as/

https://edpb.europa.eu/news/national-news/2021/norwegian-data-protection-authority-ferde-fined_en

https://www.datatilsynet.no/en/news/2021/ferde-as-fined/

2.https://wemp.app/posts/a2bc80d1-8258-47b3-bebc-27407182b77c

https://edpb.europa.eu/news/national-news/2021/spanish-dpa-fines-vodafone-spain-more-8-million-euros_en

3.https://www.dataguidance.com/news/italy-garante-fines-luigi-bocconi-university-%E2%82%AC200000