在《数据出境安全评价方法》（以下简称“《评价方法》”）正式收效前夕，国家互联网信息办公室（以下简称“国家网信办”）于2022年8月31日正式发布了《数据出境安全评价申报攻略（第一版）》（以下简称“《申报攻略》”），针对数据出境安全评价的适用规划、申报方法及流程、申报材料、申报咨询等内容作出了详细阐明，为拟申报数据出境安全评价的数据处理者供给辅导。

　　一起，咱们也留意到，各地网信办也连续就安全评价的请求开端推动相应的筹备作业，例如，江苏省互联网信息办公室在2022年9月2日发布了《江苏省数据出境安全评价申报作业指引（第一版）》2，北京市互联网信息办公室也设立了数据出境安全评价申报咨询电线。

　　《申报攻略》对数据出境安全评价申报规划的规则与《评价方法》第四条坚持了严厉共同，即包含了重要数据出境、要害信息基础设施运营者和处理很多个人信息的数据处理者个人信息出境，以及很多个人信息或灵敏个人信息出境的几种景象，而暂未就实操之中触及的每一条数据出境安全评价的详细触发条件的核算方法供给进一步的解说和阐明。该等核算仍需依据项目的详细状况进行判别、并与主管部门进行交流。

　　咱们也留意到，《江苏省数据出境安全评价申报作业指引（第一版）》中对重要数据的规划进行了必定的细化和阐明，即在《评价方法》所规则的“重要数据”界说基础上，数据处理者需求依据行业规范确认出境数据是否构成重要数据；如无行业规范，可参阅《网络数据安全办理条例（征求意见稿）》4第七十三条所罗列的重要数据的判别规范，并关于重要数据进行了相应的例举。

　　《申报攻略》对数据出境行为的确认进行了细化。国家网信办于2022年7月7日就《评价方法》相关问题答复记者发问时曾说到，《评价方法》所称数据出境活动首要包含：一是数据处理者将在境内运营中搜集和产生的数据传输、存储至境外。二是数据处理者搜集和产生的数据存储在境内，境外的组织、组织或许个人能够拜访或许调用[5]。《申报攻略》将“拜访或许调用”细化为“查询、调取、下载、导出”，进一步清晰了关于数据出境行为的判别规范。《申报攻略》保留了“国家网信办规则的其他数据出境行为”的表述，为今后监管实践中或许较为杂乱的数据出境状况预留了解说空间。别的，《申报攻略》并未清晰契合《个人信息维护法》第三条第二款所规则的在境外处理境内自然人个人信息的活动是否归于需进行安全评价的“数据出境”景象，仍需待国家网信办在后续监管进程之中的进一步解说。

　　《评价方法》规则数据出境安全评价应首要由省级网信办对申报材料进行齐备性查验，申报材料完全的，申报材料将报送至国家网信办。详细流程请拜见下图。

　　相较于《评价方法》所规则的申报方法和流程，《申报攻略》在以下方面进行了细化：

　　2. 假如申报材料未经过省级网信办的齐备性核验，数据处理者将收到申报退回告诉，而没有在此阶段进行弥补或更正的时机；

　　3. 数据处理者就数据出境进行的自评价应在申报之日前3个月内完结，且至申报之日未产生严重改变；

　　4. 国家网信办和部分当地网信办已发布了申报咨询电话和邮箱，便利企业就数据出境安全评价中的问题进行事前咨询。

　　与《评价方法》比较，《申报攻略》本次最首要的改变是细化和执行了数据出境安全评价申报材料的详细要求，并供给了相应的模板。

　　(5) 数据出境安全评价申报书（模板），包含《许诺书》与《数据出境安全评价申报表》两个部分；

　　(6) 与境外接收方拟缔结的数据出境相关合同或许其他具有法令效力的文件；

　　(1) 《许诺书》要求数据处理者既要对其出境数据的合法搜集和运用进行许诺，又要对申报材料的实在、精确、完好和有用进行许诺；

　　(2) 《数据出境安全评价申报表》要求数据处理者供给与其本身、数据出境事务、拟出境数据、境外接收方以及出境法令文件相关的基本信息，特别需求留意的是：

　　数据处理者需求一起供给其本身以及境外接收方的数据安全职责人和办理组织的状况；

　　除拟出境数据的品种外，数据处理者需求对数据规划（MB/GB/TB）进行描绘；

　　数据处理者需对数据出境链路进行描绘，包含链路供给商、链路数量与带宽、境内外落地数据中心称号及机房物理方位、IP地址等；

　　《评价方法》第九条所要求表现的出境法令文件必备内容，应由数据处理者逐个标明对应的文件名、页码和条款；以及

　　数据处理者需简述其在近2年内涵事务经营活动中遭到行政处罚和有关主管监管部门查询及整改的状况，并要点阐明数据和网络安全方面的有关状况。

　　(3) 国家网信办供给了数据出境危险自评价陈述（模板），为数据处理者预备自评价陈述供给了详细辅导。咱们将在下文进行详细的要点提示。

　　针对《申报攻略》颁布之前数据处理者遍及关怀的数据出境危险自评价陈述，《申报攻略》本次也供给了《数据出境危险自评价陈述》（模板）（“自评价陈述模板”），列明晰自评价陈述所需评价和剖析的详细内容，为数据处理者预备自评价陈述供给了重要辅导和参阅：

　　1. 自评价活动需求在数据出境安全评价申报前3个月内完结，且至申报之日未产生严重改变。

　　2. 如有第三方组织参加自评价，数据处理者须在自评价陈述中阐明第三方组织的基本状况及参加评价的状况，并在相关内容也上加盖第三方组织公章。

　　3. 自评价陈述包含四大方面：组织和施行自评价的基本状况、出境活动的全体状况、拟出境活动的危险评价状况以及出境活动危险自评价定论。特别提示留意的是：

　　(1) 数据处理者的基本状况，不只限于一般的挂号信息以及数据出境触及的事务和信息系统，还需求发表企业的实践操控人、全体事务和数据状况、境内外出资状况；

　　(2) 对数据处理者的数据安全保证才能的评价，既包含办理组织系统和准则建造状况，全流程办理、分类分级、应急处置、危险评价、个人信息权益维护等准则及执行状况；又包含数据搜集、存储、运用、加工、传输、供给、揭露、删去等全流程所采纳的安全技术方法；而且还应就其数据安全保证方法有用性供给证明，例如数据安全危险评价、数据安全才能认证、网络安全等级维护测评等；

　　(3) 针对境外接收方的评价，除了境外接收方的基本状况、数据安全保证才能及其地点国家和地区的数据安全维护政策法规和网络安全环境，自评价陈述模板还要求描绘境外接收方处理数据的全流程进程；

　　(4) 针对《评价方法》第五条所规则的要点评价事项，自评价陈述模板要求逐项阐明危险评价状况，要点阐明评价发现的问题和危险危险，以及相应采纳的整改方法和整改成果；

　　以上咱们总结了《申报攻略》就数据出境安全评价作出的细化和新增要求，企业在实践中怎么执行这些内容，咱们开始主张如下：

　　1. 假如企业没有对数据出境活动进行整理，主张赶快发动数据出境活动的核对和整理，确认是否需求依照《评价方法》申报数据出境安全评价，考虑到全体合规的组织，预备作业需求紧凑的组织完结；

　　(1) 在《评价方法》规则的6个月整改期限内完结省级网信办以及国家网信办的两级申报并顺畅经过数据出境安全评价，具有必定的难度，主张企业可在第三方专业组织的帮忙下，倒排项目时间表，执行数据出境安全评价所触及的各方主体的职责和责任，争夺尽早完结申报材料的预备和提交；

　　(2) 赶快依照自评价陈述模板所罗列的各项评价内容对出境活动进行自评价，并对自评价进程中发现的问题和距离活跃进行整改并执行整改方法；以及

　　3. 企业也需依据本身详细状况考虑提早进行数据本地化布置，防止在数据出境安全评价未经过的状况下其事务继续运营遭到影响。

　　4. 国家网信办于2021年11月14日发布《网络数据安全办理条例（征求意见稿）》