近年來，隨著數(shù)字經(jīng)濟(jì)的蓬勃發(fā)展，數(shù)據(jù)跨境活動(dòng)日益頻繁，數(shù)據(jù)處理者的數(shù)據(jù)出境需求快速增長。同時(shí)，由于不同國家和地區(qū)法律制度、保護(hù)水平等的差異，數(shù)據(jù)出境安全風(fēng)險(xiǎn)也相應(yīng)凸顯。數(shù)據(jù)跨境活動(dòng)既影響個(gè)人信息權(quán)益，又關(guān)系國家安全和社會(huì)公共利益，是國家數(shù)據(jù)安全的重要關(guān)注點(diǎn)。

在此背景下，國家互聯(lián)網(wǎng)信息辦公室出臺《數(shù)據(jù)出境安全評估辦法》（以下簡稱《辦法》）并于本月起正式施行，將進(jìn)一步規(guī)范數(shù)據(jù)出境活動(dòng)，保護(hù)個(gè)人信息權(quán)益，維護(hù)國家安全和社會(huì)公共利益，促進(jìn)數(shù)據(jù)跨境安全、自由流動(dòng)。

作為第三個(gè)出臺的辦法，《數(shù)據(jù)出境安全評估辦法》的施行宣告17年版《個(gè)人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》和19年版《個(gè)人信息出境安全評估辦法（征求意見稿）》均已廢止。

《辦法》的出臺一是落實(shí)《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等上位法的數(shù)據(jù)出境管理規(guī)定和要求，標(biāo)志著《網(wǎng)絡(luò)安全法》首次確立的數(shù)據(jù)出境安全評估制度正式落地；二是保障數(shù)字經(jīng)濟(jì)健康有序發(fā)展；三是應(yīng)對數(shù)據(jù)跨境傳輸?shù)陌踩L(fēng)險(xiǎn)。

《辦法》明確“數(shù)據(jù)出境”定義為“向境外提供”。一是數(shù)據(jù)并未轉(zhuǎn)移至境外，而依舊存儲在境內(nèi)，不過數(shù)據(jù)處理者將境內(nèi)數(shù)據(jù)庫的訪問登錄信息或接口提供給境外主體，以便后者可以在境外遠(yuǎn)程訪問查看；二是數(shù)據(jù)雖然轉(zhuǎn)移至境外，但是數(shù)據(jù)處理者未將存儲在境外數(shù)據(jù)的訪問權(quán)交付給任何一個(gè)境外接收方。

《辦法》明確所有數(shù)據(jù)處理者在出境數(shù)據(jù)涉及重要數(shù)據(jù)（指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用、可能危害國家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康和安全等的數(shù)據(jù)）的情況下，安全評估是強(qiáng)制性的。

《辦法》明確個(gè)人信息處理者在滿足如下四種情形條件下就要進(jìn)行安全評估：（1）關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者,（2）處理個(gè)人信息達(dá)到一百萬人，（3）自上年1月1日起累計(jì)向境外提供10萬人個(gè)人信息，（4）自上年1月1日起累計(jì)向境外提供1萬人敏感個(gè)人信息。

數(shù)據(jù)主動(dòng)出境：

>>> 境外公司A在境內(nèi)的子公司B定期通過郵件等方式向A公司報(bào)送業(yè)務(wù)經(jīng)營情況總結(jié)，以供境外公司A進(jìn)行經(jīng)營情況的總體統(tǒng)計(jì)、分析。

>>> 境外公司A使用第三方服務(wù)商采購的OA系統(tǒng)實(shí)現(xiàn)日常業(yè)務(wù)流轉(zhuǎn)和人事數(shù)據(jù)管理，該OA系統(tǒng)的相關(guān)數(shù)據(jù)均通過第三方在境外架設(shè)的云服務(wù)器進(jìn)行存儲和備份。在境內(nèi)子公司B向OA系統(tǒng)提交境內(nèi)員工個(gè)人信息時(shí)即為數(shù)據(jù)主動(dòng)出境。

數(shù)據(jù)被動(dòng)出境：

>>> 境內(nèi)子公司B將其在境內(nèi)收集和產(chǎn)生的數(shù)據(jù)存儲于境內(nèi)的服務(wù)器或數(shù)據(jù)庫，但向境外的母公司A開放遠(yuǎn)程訪問權(quán)限。

>>> 境內(nèi)B公司使用的OA系統(tǒng)是境外技術(shù)服務(wù)商C協(xié)助在中國境內(nèi)本地化部署的，但C公司會(huì)遠(yuǎn)程訪問該系統(tǒng)進(jìn)行日常運(yùn)維。

>>> 境內(nèi)B公司駐外工作的員工登陸公司的OA系統(tǒng)、HR管理系統(tǒng)和其他信息系統(tǒng)，下載、拷貝、泄露內(nèi)部數(shù)據(jù)信息。

特殊數(shù)據(jù)出境：

>>> 境內(nèi)數(shù)據(jù)服務(wù)商D為境外公司A提供數(shù)據(jù)加工和處理服務(wù)，將A公司在境外產(chǎn)生的業(yè)務(wù)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析后，再傳輸給A公司。

在此次施行的《辦法》中，無論是對數(shù)據(jù)主體單位還是數(shù)據(jù)加工處理單位均進(jìn)行了細(xì)致的數(shù)據(jù)安全責(zé)任劃分與監(jiān)管要求。在我國數(shù)據(jù)合規(guī)領(lǐng)域的立法日趨完善、執(zhí)法愈發(fā)常態(tài)與嚴(yán)格的監(jiān)管趨勢下，相關(guān)業(yè)務(wù)企業(yè)應(yīng)不斷加強(qiáng)數(shù)據(jù)合規(guī)意識，結(jié)合自身實(shí)際情況，充分梳理和識別涉及數(shù)據(jù)出境的業(yè)務(wù)場景，借助專業(yè)的數(shù)據(jù)安全防護(hù)產(chǎn)品及方案，合理規(guī)劃自身數(shù)據(jù)安全防護(hù)體系，切實(shí)履行數(shù)據(jù)出境方面的合規(guī)保障義務(wù)。