热点 |《个人信息和重要数据出境安全评估办法（征求意见稿）》深入解读

为保障个人信息和重要数据安全，维护网络空间主权和国家安全、社会公共利益，促进网络信息依法有序自由流动，国家互联网信息办公室（以下简称国家网信办）在日前发布了《个人信息和重要数据出境安全评估办法（征求意见稿）》（以下简称办法）。该办法的出炉迅速成为了网络安全行业讨论的热点话题，并引起了广泛的研究。在《中华人民共和国网络安全法》（以下简称《网络安全法》）即将施行的关键时刻，该办法的出台对保障个人信息和重要数据安全，规范网络信息依法有序的流动，具有重要的指导意义。

之所以出台这项办法，主要有以下几个方面的原因：

一、作为上位法的《网络安全法》第三十七条规定，“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。”国家高度重视数据出境引发的流动性安全问题，已经将数据出境安全作为一项核心内容，纳入国家网络安全整体框架中予以考虑，并通过立法的形式为数据出境管理奠定了坚实的法律基础,该办法就是与法律条文相配套的数据出境安全评估办法。

二、国际上已形成了成熟、系统的跨境数据流动管理制度框架，比如欧盟与美国达成的隐私盾协议（EU-U.S. Privacy Shield）、世界经合组织的《隐私保护和个人数据跨境流通的指南》、亚太经合组织的《跨境隐私规则》等，有效的保障了个人信息和一些重要数据的跨境安全我国作为全球数据资源大国，同时也是数据资源流出大国，迫切的需要建立符合自身国情的数据出境监管办法，在确保安全的情况下享受数据红利带来的高效发展。

三、随着国际经济贸易的不断加深，我国优秀的信息服务企业（如跨境金融、跨境电商等）及境外大型跨国公司的数据出境活动日益频繁，其中可能存在涉及到我国公民个人隐私，甚至涉及我国国家安全、经济发展和社会公共利益相关的重要数据，国家迫切的需要对这些企业数据出境行为进行规范和指引。

纵览办法全文，针对个人信息和重要数据出境的场景提出了明确的管理要求，办法既是对网络安全法的一种延伸，又对网络安全法进行了相应的补充。

办法中，第八条对数据出境安全评估的重点内容进行了明确，第九条对必须由监管部门进行评估的情况进行了界定，此外，还对评估周期、评估时间等内容都做出详细规定。办法将网络安全法对数据出境的条款进行了具体化，延伸成为可执行落地的规章。

此外，办法的第十一条还对哪些特定情况下数据不得出境进行了说明。在网络安全法中对不能出境的情况并没有做出规定，因此，办法的第十一条是对网络安全法的一种补充，使得我国的网络安全监管体系更加完善。

办法的发布意义重大，但并非意味着我国网络安全监管体系已经完善。办法属于管理制度，对于政府行政管理和企业自身责任义务履行层面来讲，仍然缺少相关配套的标注规范和操作指南。后续还需要参考国外管理实践经验，结合我国数据出境管理现状，进一步明确评估办法实施的操作流程规范和评估风险模型框架，健全数据出境安全评估管理制度体系，为企业履行数据出境安全评估义务提供统一的规范和指引，为行业主管部门顺利开展数据出境安全评估管理工作提供标准化依据。

作为网络安全行业中的一员，安恒信息会承担起应有的社会责任，在法律允许的情况下，积极配合监管部门的执法工作，竭诚保护全民个人利益、国家安全和社会公共利益。

- END -