近日，國(guó)家互联网信息办公室正式公布《数据出境安全评估办法》，就个人信息和重要数据的出境安全评估管理(lǐ)措施提供具體(tǐ)的法律解决方案，明确了数据出境安全评估的目的、原则、范围、程序和监督机制等具體(tǐ)规定，对保护我國(guó)國(guó)家安全、公共利益、个人合法权益和促进数字经济发展具有(yǒu)重要的里程碑意义。本期聚焦“数据出境安全”。

全力保障数据依法有(yǒu)序自由流动

近期，國(guó)家互联网信息办公室公布《数据出境安全评估办法》（以下简称《办法》），自2022年9月1日起施行。《办法》旨在落实《网络安全法》《数据安全法》《个人信息保护法》的规定，规范数据出境活动，保护个人信息权益，维护國(guó)家安全和社会公共利益，促进数据跨境安全、自由流动，切实以安全保发展、以发展促安全。

近年来，随着数字经济的蓬勃发展，数据跨境活动日益频繁，数据处理(lǐ)者的数据出境需求快速增長(cháng)。明确数据出境安全评估的具體(tǐ)规定，是促进数字经济健康发展、防范化解数据出境安全风险的需要，是维护國(guó)家安全和社会公共利益的需要，是保护个人信息权益的需要。《办法》规定了数据出境安全评估的范围、条件和程序，為(wèi)数据出境安全评估工作提供了具體(tǐ)指引。

《办法》明确，数据处理(lǐ)者向境外提供在中华人民(mín)共和國(guó)境内运营中收集和产生的重要数据和个人信息的安全评估适用(yòng)本办法。提出数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合等原则。

同时，《办法》规定了应当申报数据出境安全评估的情形，包括数据处理(lǐ)者向境外提供重要数据、关键信息基础设施运营者和处理(lǐ)100万人以上个人信息的数据处理(lǐ)者向境外提供个人信息、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理(lǐ)者向境外提供个人信息以及國(guó)家网信部门规定的其他(tā)需要申报数据出境安全评估的情形。

此外，《办法》提出了数据出境安全评估的具體(tǐ)要求，规定数据处理(lǐ)者在申报数据出境安全评估前应当开展数据出境风险自评估并明确了重点评估事项。规定数据处理(lǐ)者在与境外接收方订立的法律文(wén)件中明确约定数据安全保护责任义務(wù)，在数据出境安全评估有(yǒu)效期内发生影响数据出境安全的情形应当重新(xīn)申报评估。此外，还明确了数据出境安全评估程序、监督管理(lǐ)制度、法律责任以及合规整改要求等。

《办法》对保护我國(guó)國(guó)家安全、公共利益、个人合法权益和促进数字经济发展具有(yǒu)重要的里程碑意义。第一，《办法》是落实数字治理(lǐ)顶层设计的重要配套规章。当前，数字经济加快高质量发展，完善数字经济立法顶层设计及配套制度，是推动数字经济更好服務(wù)和融入新(xīn)发展格局的必然要求。中國(guó)作為(wèi)负责任的数据大國(guó)，积极开展数据相关立法，营造数字经济发展良好环境。自2016年起，陆续出台《网络安全法》《数据安全法》《个人信息保护法》等，基本构建了数据治理(lǐ)顶层法律制度，有(yǒu)效回应数字经济发展中各类问题。其中，数据出境作為(wèi)國(guó)内外高度关注的数字经济发展议题，在有(yǒu)关顶层立法中均作出制度安排，明确了总體(tǐ)性要求。《办法》的出台，对数据出境管理(lǐ)中最為(wèi)重要的“安全评估”手段予以明确，实现了规则性立法落地，是完善数字治理(lǐ)顶层制度设计的重要配套性规章。

第二，《办法》是促进数字经济外循环的关键举措。数字技术、数字经济可(kě)以推动各类资源要素快速流动、各类市场主體(tǐ)加速融合，帮助市场主體(tǐ)重构组织模式，实现跨界发展，打破时空限制，延伸产业链条，畅通國(guó)内外经济循环。中國(guó)信息通信研究院政策与经济研究所所長(cháng)辛勇飞表示，《办法》以实现数据跨境安全、自由流动為(wèi)重要立法目标之一，明确了安全评估的对象、程序、要求、期限等主要因素，通过法治途径提升产业预期，给予规范指引，有(yǒu)利于数据出境活动的依法有(yǒu)序进行，保障数据安全出境，推动形成数字经济外循环的重要模式和路径。

第三，《办法》是保障國(guó)家安全和数据安全的有(yǒu)效手段。从全球来看，主要國(guó)家和地區(qū)均通过采取多(duō)种措施确保数据安全、有(yǒu)序出境。欧盟以“充分(fēn)性保护认定”為(wèi)核心，构建个人数据的出境管理(lǐ)制度，以实现保护个人数据的基本价值观；美國(guó)以出口管制、外资安全审查、受控非密信息管理(lǐ)等手段确保重要数据不出境；俄罗斯以数据本地化备份為(wèi)主要措施，实现数据在境内的存储。中國(guó)依法对数据进行分(fēn)类分(fēn)级管理(lǐ)，通过顶层立法针对重要数据、个人信息等出境要求，提供了丰富多(duō)样的跨境流动方案。其中，最具特色的就是建立了数据出境安全评估制度，重点实现对國(guó)家安全、数据安全具有(yǒu)重要影响的数据出境管理(lǐ)。《办法》以上位法為(wèi)基础，确定了安全评估的规则要求，切实保障数据安全，规范数据跨境有(yǒu)序流动。

数据出境安全制度的新(xīn)探索

自2022年9月1日起施行的《数据出境安全评估办法》吸引了专家學(xué)者的关注。《办法》第三条提到，数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合，防范数据出境安全风险，保障数据依法有(yǒu)序自由流动；第十四条提到，通过数据出境安全评估的结果有(yǒu)效期為(wèi)2年。这两个细节充分(fēn)展现了对数据安全出境的有(yǒu)益探索。

中央财经大學(xué)副教授张金平认為(wèi)，提出数据安全评估的两大原则，即事前评估和持续监督相结合原则、风险自评估与安全评估相结合原则，既可(kě)以明确数据出境的主體(tǐ)责任，又(yòu)能(néng)实现监管闭环。相较2017年和2019年有(yǒu)关数据出境安全评估的草(cǎo)案，《办法》第三条首次明确提出数据出境安全评估的两大原则。

其中，事前评估和持续监督相结合原则明确，安全评估不仅关注数据出境前对出境后可(kě)能(néng)出现的风险的评估和所要采取的安全保障措施，还关注数据出境后风险发生的变化以及原有(yǒu)措施的有(yǒu)效性，因而该原则建立了动态评估法则。

风险自评估和安全评估相结合原则，明确数据处理(lǐ)者的主體(tǐ)责任，即通过自评估的形式对自己的数据出境行為(wèi)负责，确保根据数据出境风险采取相适应且有(yǒu)效的安全保障措施。

然而，数据出境关涉國(guó)家利益、公共利益和个人权益，而且数据处理(lǐ)者的自评估结论倾向于通过评估，因此《网络安全法》《数据安全法》《个人信息保护法》都要求通过國(guó)家网信部门安全评估，确认数据处理(lǐ)者是否切实承担主體(tǐ)责任，以及评估数据出境风险和所采取措施的充分(fēn)性、有(yǒu)效性。

而评估结果2年有(yǒu)效期的规定则保障了企业参与全球数字经济建设的持续性和连贯性。《办法》第十四条明确安全评估结果有(yǒu)效期為(wèi)2年，意味着数据处理(lǐ)者可(kě)以申报2年内对特定境外接收方的数据出境计划，帮助企业开展连续性数据出境业務(wù)，促进全球数字经济发展。

张金平表示，这种设置带来了相对的制度优势。以个人信息出境為(wèi)例，欧盟虽然设置了充分(fēn)性认定、企业有(yǒu)效规则、标准合同条款等合法机制，但目前通过充分(fēn)性认定的只有(yǒu)14个國(guó)家，企业有(yǒu)效规则难获审批（中國(guó)企业尚未有(yǒu)获批的案例），采用(yòng)标准合同并不免除数据处理(lǐ)者根据数据出境个案的风险采取额外补充措施的义務(wù)。相较而言，跨國(guó)企业在我國(guó)开展个人信息出境业務(wù)，如果符合安全评估的情形，那么其通过安全评估的确定性要显著增强，而且还可(kě)以提供2年有(yǒu)效期的稳定预期，极大方便了企业开展跨境业務(wù)。

《办法》在充分(fēn)平衡各方利益的基础上对数据出境安全管理(lǐ)作出新(xīn)探索，既着力于维护國(guó)家安全、公共利益和个人与组织合法权益，也為(wèi)全球数字经济健康发展提供了中國(guó)方案。

《办法》的正式出台和实施，将為(wèi)國(guó)家数据安全工作筑牢坚实“防線(xiàn)”。國(guó)家工业信息安全发展研究中心总工程师黄鹏认為(wèi)，未来随着标准合同条款、数据出境安全认证等其他(tā)数据跨境监管措施的落实，我國(guó)的数据跨境管理(lǐ)制度體(tǐ)系将更為(wèi)完善，可(kě)形成全球数据跨境流动的中國(guó)方案。他(tā)表示，积极参与全球数据规则制定，在当前双边、多(duō)边贸易谈判中增加关于数据跨境流动条款，可(kě)以為(wèi)我國(guó)数字企业“走出去”奠定基础。依托G20峰会、世界互联网大会等多(duō)边对话机制和國(guó)际性会议，宣传我國(guó)数据跨境流动的主张，吸引更多(duō)國(guó)家支持和参与《全球数据安全倡议》，能(néng)够促进达成数据合法、安全、有(yǒu)序跨境流动相关共识。

此外，黄鹏提到，未来需要持续完善我國(guó)数据跨境管理(lǐ)的配套规范，设置标准合同、保护能(néng)力认证、例外事项等多(duō)元数据出境途径，兼顾数据安全与数据跨境流动应用(yòng)。同时，根据出境國(guó)家及地區(qū)政治环境、國(guó)际关系、数据保护水平等因素，划分(fēn)数据出境风险等级，制定差异化的数据出境管理(lǐ)要求。

抓牢织好数字安全防护网

随着数字经济的蓬勃发展，数据作為(wèi)新(xīn)型生产要素的重要作用(yòng)日益凸显。数据不仅是数字化、网络化、智能(néng)化的基础，也已经成為(wèi)社会各领域广泛关注的重要资源，更是國(guó)家安全的重要组成部分(fēn)。

数字经济正在成為(wèi)重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。与此同时，数据的无序流动、泄露等问题给个人和社会安全带来了潜在危害，数据安全风险日益成為(wèi)影响产业发展、网络安全甚至國(guó)家安全的重要因素。

今年6月22日，中央全面深化改革委员会审议通过了《关于构建数据基础制度更好发挥数据要素作用(yòng)的意见》。会议强调，要把安全贯穿数据治理(lǐ)全过程，守住安全底線(xiàn)，明确监管红線(xiàn)，加强重点领域执法司法，把必须管住的坚决管到位。近期，國(guó)家网信办出台的《数据出境安全评估办法》明确了出境数据的评估范围、评估机制以及各参与主體(tǐ)的责任，為(wèi)有(yǒu)效保障数据出境安全提供坚实屏障和有(yǒu)力抓手。

从数据安全的角度出发，数据最為(wèi)敏感的当属关键信息基础设施数据。去年7月发布的《关键信息基础设施安全保护条例》就明确界定了关键信息基础设施的具體(tǐ)范畴。受复杂的國(guó)际形势影响，提升公民(mín)國(guó)家安全意识和防范抵御敌对势力渗透腐蚀的能(néng)力显得尤為(wèi)重要。以高校為(wèi)例，受疫情影响，许多(duō)學(xué)校面临师生异地访问校园内网的挑战，使得业務(wù)端口极易遭受攻击。為(wèi)此，國(guó)内某知名大學(xué)在腾讯零信任安全管理(lǐ)系统（iOA）的护航下，采用(yòng)动态安全策略，以终端、身份、软件、目标為(wèi)核心元素，持续验证访问环境安全，有(yǒu)效避免了黑客入侵等风险。

《数据出境安全评估办法》不仅明确了数据出境及境外接收方处理(lǐ)数据的目的、范围、方式等的合法性、正当性、必要性，也明确了出境数据的规模、范围、种类、敏感程度，出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用(yòng)等风险。纵观关于数据安全的各类法律法规可(kě)以看出，关键信息基础设施数据等重要数据最為(wèi)敏感，此类数据一旦处理(lǐ)不当特别是在出境过程中被非法获取、非法利用(yòng)，将给國(guó)家安全带来严重威胁。当前，境外不法分(fēn)子通过電(diàn)子邮件窃取科(kē)研技术成果及个人信息的情况时有(yǒu)发生。腾讯安全专家李铁军告诉记者，钓鱼邮件是最普遍的一种攻击方式，黑客在通过钓鱼邮件攻击得到立足点后，继而又(yòu)通过失陷的系统，向整个网络发起攻击渗透。李铁军建议，要对陌生邮件保持高度警惕，切勿点击邮件中的链接及附件，同时及时安装相关操作系统和应用(yòng)软件补丁，切勿轻易启用(yòng)文(wén)档提示的宏功能(néng)。

数据跨境流通蕴含潜在风险，不仅会影响数据处理(lǐ)者的经济利益，还会给数据出境國(guó)家带来不可(kě)预估的安全隐患。中國(guó)科(kē)學(xué)院科(kē)技战略咨询研究院系统分(fēn)析与管理(lǐ)研究所副所長(cháng)、研究员孙晓蕾表示，《数据出境安全评估办法》明确和界定需要申报评估的数据范围是非常重要的，这对数据处理(lǐ)者自觉遵守法律法规、主动申报出境评估工作具有(yǒu)重要意义。要从全面风险管理(lǐ)的角度来分(fēn)析《数据出境安全评估办法》中关于风险的長(cháng)效评估，只有(yǒu)做好事前、事中、事后的全流程、全方位风险评估部署，才能(néng)系统性做好风险防范与应对。

识别数据出境的安全风险，抓牢织好数字安全防护网，要从两方面着手。一方面，要统筹规范数据相关各方，完善数据出境安全的顶层设计。另一方面，要兼顾数据出境各方责任与义務(wù)，动态评估与防范化解外部风险。从全球来看，中國(guó)作為(wèi)一个负责任的大國(guó)，《数据出境安全评估办法》為(wèi)全球数据治理(lǐ)提供了中國(guó)智慧与中國(guó)方案，是助力构建网络空间命运共同體(tǐ)浓墨重彩的一筆(bǐ)。