2021年6月10日，我国《数据安全法》经过三次审议终于正式出台。该法在鼓励跨境数据流动的基础上，第31条、第36条、第46条对数据出境安全管理、主管机关批准以及法律责任承担等方面做了明确规定。《数据安全法》对数据出境监管规定的进一步细化和严格化规定，为企业尽快开展数据出境合规工作敲响了警钟。笔者就以《数据安全法》为基础，结合《个人隐私信息保护法（二审稿）》《个人隐私信息出境安全评估办法（征求意见稿）》等法律规定，从数据出境的认定、数据出境的规则等方面展开分析，以期为公司进行数据出境合规提供法律帮助。

  《信息安全技术数据出境安全评估指南（征求意见稿）》（以下简称“《评估指南》”）对数据出境进行了具体定义，数据出境是指网络运营者利用互联网等方式，将其在中华人民共和国境内运营中收集和产生的个人隐私信息和重要数据，通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。

  注意： 需要 理清《评估指南》规定的 不属于数据出境的第二种情形，与 《个人隐私信息保护法（二审稿）》第三条第一款的关系：

  《个人隐私信息保护法（二审稿）》第三条第一款规定：“组织、个人在中华人民共和国境内处理自然人个人隐私信息的活动，适用本法。”该条规定只要是在中国境内进行的自然人个人信息处理活动，均适用《个人信息保护法（二审稿）》。

  而具体适用的是数据出境部分的规定，还是其他规定，要看其详细情况。 而《评估指南》该条规定是将在境内处理，但不是由境内运营中收集和产生的、也不涉及境内运营中收集和产生的个人隐私信息和重要数据的，排除在数据出境的范畴内。 但同时该行为中涉及到个人隐私信息 处理的，同样要适用《个人隐私信息保护法（二审稿）》，只是适用的是非数据出境部分的规定。

  对于个人隐私信息的跨境流动，《个人隐私信息保护法（二审稿）》第三十八条的规定，个人隐私信息处理者因业务等需要，确需向中华人民共和国境外提供个人隐私信息的，应当至少具备下列一项条件：

  ③按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务，并监督其个人信息处理活动达到本法规定的个人信息保护标准；

  对于上述第2至4项个人信息跨境流动的前置评估条件，有关规定法律规定尚未予以细化。但依据本团队的数据合规经验，该条的评估条件应当是依据数据分类分级对数据来进行级别划分，按数据的重要性程度从高到低的顺序进行具体匹配。 对于 关键信息基础设施的运营者的重要数据跨境流动 ，根据《数据安全法》 第三十一条 和《网络安全法》 第三十七条的规定， 应当依照国家网信部门会同国务院有关部门制定的办法进行 安全评估 ； 法律、行政法规另有规定的，依照其规定。

  目前《评估指南》的正式稿尚未发布，但其对于数据出境具体的安全评估流程和评估方法都进行了规定，对企业自查自评和主管机关评估都具有指导意义，因此笔者对相关流程和规则进行总结，以供企业参考。

  国家网信部门、行业主管部门依据数据出境类型、数量、范围、重要程度等，酌情组织开展主管部门评估。具有下列情形之一的，国家网信部门、行业主管部门可启动主管部门评估：

  数据出境安全评估首先评估数据出境目的：数据出境目的不具有合法性、正当性和必要性，不得出境。在此基础上评估数据出境安全风险，将数据出境及再转移后被泄露、损毁、篡改、滥用等风险有效地降至最低限度。

  在满足数据出境计划的合法性、正当性和必要性要求的前提下，按照下列步骤进行个人信息和重要数据出境安全风险评估：

  对于符合国家网信部门规定的需经专业机构进行个人信息保护认证的情形，应当根据相关规定通过专业机构的个人信息保护认证。

  但是什么样的个人信息出境场景属于该项个人信息保护认证的情形，目前尚未有相关规定进行明确，需要等待国家网信部门的进一步立法予以明确。

  对于不属于上述两种情形的其他个人信息出境，个人信息处理者可以在采用同境外接收方订立合同的方式或在符合法律、行政法规、国家网信部门规定的其他条件的情形下向境外传输个人信息。

  对于与境外接收方订立的合同的具体内容，应当依据《个人信息出境安全评估办法（征求意见稿）》第十三条对合同应当明确的内容、第十四条网络运营者的责任和义务、第十五条接收者的责任和义务以及第十六条接收者将信息传输给第三方的条件等，在合同中明确约定相应的条款，并监督促使接收方的个人信息处理活动达到《个人信息保护法（二审稿）》规定的个人信息保护标准。

  鉴于《数据安全法》于2021年9月起即生效的紧迫时限和数据出境监管与愈发细化和严格的现状，相关企业应当在该法生效前尽早聘请律师等专业人士，指导和辅助其进行数据分类分级，并依据数据安全评估办法、个人信息保护认证规则、个人隐私信息保护标准等具体规范制定数据出境合规计划、修正数据处理流程。以此避免出现因数据跨境流通导致的正常业务开展受影响乃至遭受行政处罚的情形。

  业务领域：网络与知识产权、跨境与外商投资、私募股权和投资基金、税务和财富管理