在全球化的背景下，为了加强国际合作和业务拓展，企业出海成为中国企业业务发展的不二选择，企业出海往往涉及到数据的跨境传输，数据的跨境流动已经成为经济活动中不或缺的组成部分。

但是数据跨境的无序流动会给数据主体和数据安全带来风险，这关乎国家安全和社会公共利益；为了防范数据跨境流动中存在的各种风险，各国一直积极推动相关立法规范数据的跨境流动，中国也不例外，随着我国对数据治理的认知不断提升，2021年相继生效的《数据安全法》、《个人信息保护法》等均对我国的数据跨境流动管理制度进行了规范。

数据出境合规路径

我国数据跨境安全管理框架基本成型，形成了寄挂在《个保法》三十八条之下的“法规、标准类簇”类规范，主要包括《数据出境安全评估办法》、《个人信息出境标准合同办法》、《个人信息跨境处理活动安全认证规范》等新规。

针对不同情形，我国数据出境的合规路径已形成数据出境安全评估、个人信息保护认证和个人信息出境标准合同备案三种。

实践总结：数据出境合规难点

2022年9月，《数据出境安全评估申报指南》的出台意味着企业在进行数据运营和数据出境活动时必须考虑在什么情况下会触发出境安全评估机制，在预判可能或必然触发出境安全评估时，企业应当如何开展准备工作、对其数据业务进行合规化管理是十分有必要的。

网宿安全针对企事业单位在数据跨境合规实践上的难点，联合上海兰迪律师事务所，帮助企事业单位有序开展数据出境申报/备案活动。以下结合《数据出境安全评估申报指南》等相关法律法规的要求，以及网宿参与协助申报的实践经验，对企事业单位开展数据安全评估申报重点事项展开逐一梳理，为企事业单位准备数据出境安全评估工作提供一些参考。

1. 如何判断哪些业务行为与场景构成跨境传输？

典型跨境传输情形如下：

第一，是将境内运营中收集和产生的个人信息或者重要数据传输、存储至境外；

第二，境外的机构、组织或个人可以查询、调取、下载、导出境内存储的个人信息或者重要数据。也就是说，跨境访问&跨境提供均构成跨境传输。

2. 如何梳理事实情况？

通过访谈调研的方式，详细梳理内部业务条线，识别可能数据跨境场景，明确哪些业务存在出境行为；同时结合数据出境合规治理工具，从“内（主动外发）”、“外（境外调用）”两个角度自动发现涉及数据出境的应用、FTP服务以及邮件服务并形成出境资产清单，帮助企事业单位全面摸清出境资产家底，快速掌握出境业务整体现状。

3. 如何梳理自评估报告？

自评估报告的重要性，自评估报告质量好坏直接影响评估进度及结果。

网信部门在进行安全评估的过程中，对于自评估报告里解释得很清楚的部分，则会相对容易通过，但是对于一些解释不清楚的部分，可能会开展较为详细的评估。

根据《申报指南》提供的自评估报告模版，数据处理者需要在自评估报告中说明数据出境涉及业务和信息系统情况、拟出境数据情况、数据处理者数据安全保障能力情况等。根据网宿最佳实践，目前监管部门对于自评估报告事实的披露有较高的颗粒度要求。

比如在说明拟出境数据情况时，数据处理者需详细说明数据全生命周期管理情况（包括拟出境数据具体以何种方式收集、存储在哪一系统平台和数据中心、将以何种方式使用等）；此外，在描述数据出境涉及信息系统时，数据处理者应充分披露相关技术细节，包括系统名称、开发者和运维方名称、版本号、信息系统部署位置等；在说明数据出境涉及业务时，数据处理者需要详细解释业务流程的具体步骤及每一步骤分别所需要收集和使用的具体个人信息，并说明开展这一业务的理由，从而佐证数据目的的合法性、正当性、必要性。

4. 如何开展合规性评估？

根据自评估报告模版要求，数据处理者需要在自评估报告中说明数据出境及境外接收方处理数据活动的合法性、正当性和必要性。

“合法、正当、必要”是《个人信息保护法》确立的个人信息处理基本原则，也是《评估指南》自评估报告中列出的评估项。

“合法性”的判断通常需考虑：

1. 出境标的方面：出境标的本身未被国家法律法规或监管部门明令禁止出境；
2. 出境程序方面：对于个人信息，已取得个人信息主体同意或具有其他处理个人信息的合法性基础；对于个人信息及其他数据，满足国家规定的数据出境前置性程序要求（例如个人信息保护影响评估、主管机关审批（如适用））。

“正当性”通常指这类个人信息处理活动的处理目的及处理方式是否合理，具体判断需同时满足以下标准：

1. 数据出境及境外接收方处理数据应当具有明确、特定、合理的目的，且使用形式和程序正当；
2. 不存在故意隐瞒收集使用数据真实目的或向相关数据主体披露的收集目的与数据处理者和境外接收方真实目的不一致的情况等。

“必要性”通常指为满足数据处理目的而开展的数据处理活动应符合“最小必要”原则，具体要求通常包括：

1. 数据处理活动应为履行合同义务所必需或履行法定义务所必需或同一机构、组织内部开展业务所必需；
2. 向境外传输及处理的个人信息应与相关业务功能有直接关联，即没有该等信息的参与，相应功能及业务目的无法实现；
3. 向境外传输及处理数据的频率应是实现相关业务功能所必需的最低频率；
4. 向境外传输的数据数量应是实现相关业务功能所必需的最少数量。企业在评估数据处理活动时应关注出境的数据类型和数量与企业相关业务之间是否可以建立必要性。

网宿方案如何助力企业数据出境合规

网宿安全联合上海兰迪律师事务所，组建经验丰富的法律咨询+数据安全技术支撑团队，结合一体化数据出境合规治理工具，提供一站式数据出境合规解决方案，帮助企事业单位有序开展数据出境申报/备案活动。

网宿安全数据跨境合规咨询方案主要包括以下内容：

1. 尽职调查

通过《调查问卷》、人员访谈等方式，主要了解以下内容：

1. 识别数据跨境场景：梳理内部业务条线，以识别可能数据跨境场景；
2. 了解出境数据信息，从而数据定级分类，判断跨境场景中涉及的数据属性（一般个人信息、敏感个人信息、重要数据、特殊监管数据）；
3. 了解数据出境涉及的业务和信息系统；
4. 了解公司的数据安全保障能力：包括组织架构、管理能力、技术能力、安全有效措施证明；
5. 了解数据接收方情况。

2. 合规差距分析

综合现行法律法规要求，判断数据出境合法性、正当性、必要性，评估其中风险点及跨境双方数据安全保障能力、实际操作是否满足监管要求并给出建议，主要包括以下内容：

1. 判断数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；
2. 判断出境数据的规模、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；
3. 判断境外接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障出境数据的安全；
4. 判断数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险，个人信息权益维护的渠道是否通畅等；
5. 判断与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等，是否充分约定了数据安全保护责任义务；
6. 判断其他可能影响数据出境安全的事项。

3. 整改措施

整改措施涉及合规咨询侧以及技术测，具体如下：

合规咨询测：

1. 协助调整数据出境的国家/地区、频率
2. 协助搭建组织架构
3. 制定数据安全管理制度体系
4. 起草《个人信息同意授权书》（或《隐私政策》）、《页面设计建议》（如涉及）、《用户协议》（如涉及）

技术支撑侧：

1. 技术能力：数据处理全流程的技术安全保障措施
2. 安全有效措施证明：如数据安全能力认证、等级保护备案证书等

4. 申报/备案文件

检查整改效果，并协助起草数据出境安全评估申报书、数据出境风险自评估报告（针对申报）、个人信息出境标准合同、个人信息保护影响评估报告等申报文件：

1. 协助填写申报书；
2. 起草数据出境风险自评估（针对申报）；
3. 起草个人信息出境标准合同
4. 起草个人信息保护影响评估报告，主要包括：(1) 个人信息处理者基本情况；(2) 个人信息出境涉及的业务和信息系统；(3) 出境个人信息情况；(4) 个人信息处理者个人信息保护能力情况；(5) 境外接收方情况；(6) 是否向第三方提供个人信息；(7) 如何确保标准合同条款落实

5. 协助申报/备案

协助企事业单位向网信部门进行申报或备案，并根据网信部门要求补充修改文件、完善技术措施，以及配合回答网信部门问询等。

结语

数据出境目前成为了企业在数据合规道路上的一大难题。自2022年6月以来，我国出台了一系列与数据出境相关的法规，数据出境法规框架不断明晰，监管对于《个保法》第38条下的三种出境路径的实践指导也更加细化。对于企业而言，在选择适合自己的出境路径的同时，也应持续关注监管细则的不断更新，持续关注自身的数据出境情况，防范相应的合规风险。