2019 年06月13日，国家互联网信息办公室发布《个人信息出境安全评估办法（征求意见稿）》，作为《中华人民共和国网络安全法》的下位法，该评估办法全文共二十二条，明确了个人信息出境申报评估要求、重点评估内容、个人信息出境记录、出境合同内容及权利义务要求、安全风险及安全保障措施分析报告等要求。

几大亮点

1．抛弃了重要数据和个人信息一并处理的方式

2017 年国家网信办发布《个人信息和重要数据出境安全评估办法（征求意见稿）》，并向社会征求公开意见，两年多时间内该评估办法一直未能形成最终稿，这其中一个重要的原因是重要数据和个人信息的特性的差异导致在两者在处理上采取一刀切的方式会显得并不那么合理。

2．出境的评估机制由共同评估转向网信部门单方面的评估

2017 年的老的评估办法中，评估方除了企业自己的评估外，还包括行业主管部门。而在新的评估办法中，评估方则变为网信部门。与此同时，在新的评估办法里取消了50万人个人信息作为报请监管部门组织安全评估的一个阈值，不再限定门槛，理论上只要涉及个人信息出境都在该办法的范围内，都要向网信部门 申报出境安全评估。

3．拥有域外效力

评估办法第二十条明确提出境外机构如果通过互联网收集境内用户的个人信息，应当在境内通过法定代表人或者机构履行本办法中网络运营者的责任和义务。这点类似欧盟GDPR中规定的非欧盟公司只要向欧盟 境内的数据主体进行商品销售或服务提供，就会被要求适用 GDPR 。

4．突出了个人信息主体的权利，提出了事后诉讼的方式

以往对于个人信息出境，企业通常的做法是在隐私政策中告知用户部分数据会做出境传输。该办法中新增了网络运营者与个人信息接受者签订合同这种方式来保障个人信息主体的权利的方式，其中第十三条规定个人信息主体合法权益受到损害时，可以自行或者委托代理人向网络运营者或者接收者或者双方索赔。但是同时需要注意到，在现有法律环境下，个人信息主体作为第三方受益人还缺乏一定的立法和司法实践。

几点思考

1. 对监管的挑战

按照该办法第五条规定，“省级网信部门在收到个人信息出境安全评估申报材料并核查其完备性后，应当组织专家或技术力量进行安全评估。安全评估应当在15个工作日内完成，情况复杂的可以适当延长。”

根据商务部的数据，截止2017年底，我国境内有外商投资企业约90万家，且绝大部分企业并未实现了数据存储的本地化，而是直接将各类运营数据、员工数据、客户数据在内的发送到外资企业总部。依照现有各地的网信部门的人员配置，15天内处理如此之多企业的出境评估将是一个极大的挑战。数据出境区别于 常见的信息系统、APP等的监管，数据出境还有着隐蔽性较强的特点，加上各类加密、云服务的技术的应用，如何提升违规出境的发现能力也是不可忽略的问题。

2. 是否可以增加相应的豁免场景

从国际视角来看，无论是欧盟GDPR所规定的基于履行合同的需要可以作为出境的例外，还是俄罗斯的数据本地化存储的法律要求豁免旅游行业的GDS（全球分销系统），一刀切的方式似乎从来都不是行得通。另外零星的非敏感个人数据出境场景、个人主动对外发起的数据跨境传输、基于维护个人生命财产安全的跨境情形（如全球旅行SOS）是否可以豁免也是值得探讨的话题。

3. 是否可以建立充分保护的国家或地区清单

2019 年初，欧盟委员会通过对日本的数据保护的充分性决定，允许个人信息在这两个经济区内自由流动，创建了世界上最大的数据流动安全区域。习近平总书记曾强调“经济全球化是不可逆转的历史大势，为世界经济发展提供了强劲动力”，而数据的有序的自由流动则为全球化的经贸往来的润滑剂。GDPR建立了充分保护认定的清单，但是我们可以看到，这清单并非单纯从数据保护的角度来制定。所以如果采用充分保护的认定机制，我们不仅应当考虑到比如对等原则，同时也需要要结合国家安全战略，当清单内的国家和地区的数据保护能力不足时或者保护能力提升时应当有动态的调整机制。从另外一个角度，建立充分保护的国家清单和豁免场景将很大程度降低网信办作为监管机构在评估数量上的挑战。

合规参考建议

毫无疑问，该评估办法出台后，涉及数据出境场景的各行各业的企业的合规成本毫无疑问会提高，尤其是在华经营的外资企业以及业务范围扩展到海外的国内企业。考虑到目前还只是征求意见稿阶段，再加上正式版发布后到正式生效时间的缓冲期，企业还是有较为充分的时间来进行准备。考虑到出境的监管趋势，涉及到个人信息出境的企业，特别是数量大、场景较为的复杂的企业更应当未雨绸缪，笔者建议：

1． 在网络安全法的网络运营者责任人的基础上，完善个人信息保护的组织架构，设立内部相对独立的个人信息保护的监管部门，如设立DPO相关角色。

2． 基于该评估办法的第八条、第十七条对内部的个人数据出境的场景进行梳理，包括涉及个人信息出境的业务、个人信息类型、数量、接受方的类别等信息进行记录，参考模板如下：

3． 完善内部的个人信息出境的的评估审批机制，评估的时候可考虑后续的合规场景，对于涉及个人信息大的、较为敏感的且传输至保护能力较弱的国家的情况，审慎出境。

4． 对于出境并非唯一选择项的业务场景，可以考虑本地化收集、本地化存储的解决方案。

5． 实现用户对于数据出境的知情权，如更新相应的隐私政策，告知存在出境传输的的场景和业务需求。

6． 及时跟踪评估办法的相关动态和监管态势，及时地把具体需求，指南、行业实践等转化为企业的内部制度、流程，并提高内部的合规意识。

参考

1. 国家互联网信息办公室关于《个人信息出境安全评估办法（征求意见稿）》公开征求意见的通知：http://www.cac.gov.cn/2019-06/13/c_1124613618.htm

2. 国家互联网信息办公室关于《个人信息和重要数据出境安全评估办法（征求意见稿）》公开征求意见的通知：http://www.cac.gov.cn/2017-04/11/c_1120785691.htm

3. 中国外资统计公报2018：http://www.fdi.gov.cn/1800000121_33_11755_0_7.html?style=1800000121-33-10000318

*本文作者：15161636391，本文属 FreeBuf 原创奖励计划，未经许可禁止转载。