7月7日，国家互联网信息办公室公布《数据出境安全评估办法》（以下简称《办法》），自2022年9月1日起施行。国家互联网信息办公室有关负责人表示，出台《办法》旨在落实《网络安全法》、《数据安全法》、《个人信息保护法》的规定，规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动，切实以安全保发展、以发展促安全。　

数据出境安全重要性日益凸显

一直以来，针对数据出境安全的评估和管理是国家数据安全治理、数据开发利用等工作的一项重要的持续性工作，此前先后发布实施的《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》是当前国家数据安全和个人信息保护的顶层设计布局，其中也分别包含了对数据出境安全相关的要求。

数据出境安全评估逐步规范

近年来，随着数字经济的蓬勃发展，数据跨境活动日益频繁，数据处理者的数据出境需求快速增长。明确数据出境安全评估的具体规定，是促进数字经济健康发展、防范化解数据跨境安全风险的需要，是维护国家安全和社会公共利益的需要，是保护个人信息权益的需要。此次颁布的《数据出境安全评估办法》规定了数据出境安全评估的范围、条件和程序，为数据出境安全评估工作提供了具体指引。

《办法》明确，数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估适用本办法。提出数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合等原则。

《办法》规定了应当申报数据出境安全评估的情形，包括数据处理者向境外提供重要数据、关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息以及国家网信部门规定的其他需要申报数据出境安全评估的情形。

《办法》提出了数据出境安全评估的具体要求，规定数据处理者在申报数据出境安全评估前应当开展数据出境风险自评估并明确了重点评估事项。规定数据处理者在与境外接收方订立的法律文件中明确约定数据安全保护责任义务，在数据出境安全评估有效期内发生影响数据出境安全的情形应当重新申报评估。此外，还明确了数据出境安全评估程序、监督管理制度、法律责任以及合规整改要求等。

企业数据安全保护责任重大

从2017年以来数据出境相关法律法规的完善及其中条款的逐渐细化中，我们可以看出国家对数据出境安全评估和管理工作的务实态度与落实决心。尤其是在全球疫情冲击、新技术深化应用、新基建项目等数字经济转型的大环境下，互联网中数据资产的暴露面也在持续扩大，敏感信息泄露已是企业常态化面临的安全隐患。《数据出境安全评估办法》的出台无疑是国家在法规层面给数据安全添加的一把锁。

《办法》出台后，企业向境外提供数据，特别是管理涉及超百万量级的数据乃至重要数据的系统或应用的大型企业或国民企业，尤其应当从业务视角充分考虑数据安全需求。数字化在线新经济时代，不少大型企业的官方网站、APP、小程序、邮箱等站点用户规模巨大，日均活跃用户数达百万量级的更不计其数，为了更好地满足国家法律法规相关要求，充分保护用户个人敏感隐私数据的安全，推动数据出境安全规范化发展，企业有责任保障自身各类应用系统及站点的安全性。