2017 年 5 月 27 日，全国信息安全标准化技术委员会发布了《关于开展国家标准《信息安全技术 数据出境安全评估指南（草案）》征求意见工作的通知》数据跨境安全评估指南，《信息安全技术数据出境安全评估指南》（简称“评估指南”）规定了数据出境安全评估流程，评估要点，重要数据识别指南和个人信息和重要数据 出境安全风险评估办法。

一、背景介绍

2017年6月1日正式实施的《网络安全法》首次规定了数据出境的安全评估制度。以此为立法基础，国家网信办于2017年4月11日制定并公布了《个人信息和重要数据出境安全评估办法（征求意见稿）》（简称《评估办法》），《评估办法》构建了个人信息和重要数据出境安全评估的基本框架，规定了自行评估和监管机构评估两种评估方式以及安全评估的内容。本次指南又进一步明确了数据出境安全评估流程、评估要点、评估方法等内容。

二、适用范围

《评估指南》适用于网络运营者开展的个人信息和重要数据出境安全评估工作，也适用于行业主管或监管部门对网络运营者开展个人信息和重要数据出境安全评估进行的指导、监督等工作。网信部门、行业主管或监管部门依职权开展的个人信息和重要数据出境安全评估，也可参考该标准。

三、"重要数据"

《评估指南》中对于“重要数据”的概念进行了明确，重要数据是指我国政府、企业、个人在境内收集、产生的不涉及国家秘密，但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)，一旦未经授权披露、丢失、滥用、篡改或销毁，或汇聚、整合、分析后，可能造成严重后果的数据。

《评估指南》列举了石油天然气、煤炭、石化、电力等27个行业（领域）以及其他相关行业（领域），指出各行业（领域）主管部门结合实际，明确本行业（领域）重要数据定义、范围或判定依据，并根据行业（领域）发展变化，及时更新或替换指南中相关内容。

四、评估流程

《评估指南》从自评估启动、制定数据出境计划、评估数据出境计划的合法正当和风险可控、评估要点及方法、评估报告、检查修正六个方面对流程进行了规范。流程图如下：

1、自评估启动

网络运营者应在如下情况启动自评估：

a）产品或服务涉及向境外机构、组织或个人提供数据的；

b）已完成数据出境安全评估的产品或业务所涉及的数据出境数据跨境安全评估指南，在目的、范围、类型、数量等方面发生较大变化、数据接收方变更或发生重大安全事件的。

2、制定数据出境计划

网络运营者应首先制定数据出境计划，计划的内容包括但不限于：

a) 数据出境目的、范围、类型、规模；

b) 涉及的信息系统；

c) 中转国家和地区（如存在）；

d) 数据接收方及其所在的国家或地区的基本情况；

e) 安全控制措施等。

3、评估数据出境计划的合法正当和风险可控

数据出境安全评估首先评估数据出境计划的合法性和正当性；数据出境活动不具有合法性和正当性，不得出境。在此基础上再评估数据出境计划是否风险可控，有效避免数据出境及再转移后被泄露、损毁、篡改、滥用等风险。

4、评估要点及方法

《评估指南》对评估要点和评估方法单独作了详细介绍，内容见下文。

5、评估报告

网络运营者在完成对数据出境计划的评估后，应形成评估报告，评估报告应至少保存5年。

6、检查修正

如数据出境计划不满足合法正当要求，或经评估后不满足风险可控的要求，网络运营者可修正数据出境计划，或采用相关措施降低数据出境风险，并重新开展自评估。

五、评估要点

评估要点包括合法正当和风险可控两方面。

1、合法正当

数据出境计划应同时满足合法性和正当性的要求：

a) 合法性包括：

1） 不属于法律法规明令禁止的；

2） 符合我国政府与其他国家、地区签署的关于数据出境条约、协议的；

3） 个人信息主体已授权同意的，危及公民生命财产安全的紧急情况除外；

4） 不属于国家网信部门、公安部门、安全部门等有关部门依法认定不能出境的。

b) 正当性包括：

1） 网络运营者在合法的经营范围内从事正常业务活动所必需的；

2） 履行合同义务所必需的；

3） 履行我国法律义务要求的；

4） 司法协助需要的；

5） 其他维护网络空间主权和国家安全、社会公共利益、保护公民合法利益需要的。

2、风险可控

评估数据出境计划的风险可控，应综合考虑出境数据的属性和数据出境发生安全事件的可能性。

其中个人信息属性评估要点包括个人信息的类型、敏感程度、数量、范围和技术处理情况。重要数据的属性，包括数量、范围、类型和技术处理情况等。指南在个人信息和重要数据出境范围上，提出了“最小化原则”，包含：（1）出境与功能直接关联；（2）最低频率；（3）最低数量。

数据出境发生安全事件的可能性主要评估：（1）发送方数据出境的技术和管理能力（包括内部的安全管理制度、应急预案等）；（2）数据接收方的安全保护能力、采取的措施（包括主体审查、人员能力等）；（3）数据接收方所在国家或区域的政治法律环境（包括立法状况、司法机制等）。

六、评估方法

《个人信息和重要数据出境安全风险评估方法》（附录B）按照相关数据信息的数量、范围、类型等因素，分别将个人信息出境对个人权益产生的影响、重要数据出境对国家安全、社会公共利益产生的影响、安全事件的可能性、安全风险综合评估划分为高、中、低等影响。

综合来说，《信息安全技术 数据出境安全评估指南（草案）》的发布是在《网络安全法》正式生效背景下对其中一些规定提供了细化的指南，将为网络经营者从事相关数据出境业务明确具体的操作方法，对保护国家安全、社会公共利益、个人隐私安全具有重要意义。目前《评估办法》和《评估指南》都在征求意见阶段，还未正式出台，我们会持续关注的同时，建议相关企业尤其是网络经营者应当对自身情况进行初步判定，提前准备企业内部的相关规章制度，加强信息数据的风险防控。