近年来，随着数字经济的蓬勃发展，数据跨境活动日益频繁，数据处理者的数据出境需求快速增长。同时，由于不同国家和地区法律制度、保护水平等的差异，数据出境安全风险也相应凸显。数据跨境活动既影响个人信息权益，又关系国家安全和社会公共利益，是国家数据安全的重要关注点。

在此背景下，国家互联网信息办公室出台《数据出境安全评估办法》（以下简称《办法》）并于本月起正式施行，将进一步规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动。

作为第三个出台的办法，《数据出境安全评估办法》的施行宣告17年版《个人信息和重要数据出境安全评估办法（征求意见稿）》和19年版《个人信息出境安全评估办法（征求意见稿）》均已废止。

《办法》的出台一是落实《网络安全法》、《数据安全法》、《个人信息保护法》等上位法的数据出境管理规定和要求，标志着《网络安全法》首次确立的数据出境安全评估制度正式落地；二是保障数字经济健康有序发展；三是应对数据跨境传输的安全风险。

《办法》明确“数据出境”定义为“向境外提供”。一是数据并未转移至境外，而依旧存储在境内，不过数据处理者将境内数据库的访问登录信息或接口提供给境外主体，以便后者可以在境外远程访问查看；二是数据虽然转移至境外，但是数据处理者未将存储在境外数据的访问权交付给任何一个境外接收方。

《办法》明确所有数据处理者在出境数据涉及重要数据（指一旦遭到篡改、破坏、泄露或者非法获取、非法利用、可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据）的情况下，安全评估是强制性的。

《办法》明确个人信息处理者在满足如下四种情形条件下就要进行安全评估：（1）关键信息基础设施的运营者,（2）处理个人信息达到一百万人，（3）自上年1月1日起累计向境外提供10万人个人信息，（4）自上年1月1日起累计向境外提供1万人敏感个人信息。

数据主动出境：

>>> 境外公司A在境内的子公司B定期通过邮件等方式向A公司报送业务经营情况总结，以供境外公司A进行经营情况的总体统计、分析。

>>> 境外公司A使用第三方服务商采购的OA系统实现日常业务流转和人事数据管理，该OA系统的相关数据均通过第三方在境外架设的云服务器进行存储和备份。在境内子公司B向OA系统提交境内员工个人信息时即为数据主动出境。

数据被动出境：

>>> 境内子公司B将其在境内收集和产生的数据存储于境内的服务器或数据库，但向境外的母公司A开放远程访问权限。

>>> 境内B公司使用的OA系统是境外技术服务商C协助在中国境内本地化部署的，但C公司会远程访问该系统进行日常运维。

>>> 境内B公司驻外工作的员工登陆公司的OA系统、HR管理系统和其他信息系统，下载、拷贝、泄露内部数据信息。

特殊数据出境：

>>> 境内数据服务商D为境外公司A提供数据加工和处理服务，将A公司在境外产生的业务数据进行统计分析后，再传输给A公司。

在此次施行的《办法》中，无论是对数据主体单位还是数据加工处理单位均进行了细致的数据安全责任划分与监管要求。在我国数据合规领域的立法日趋完善、执法愈发常态与严格的监管趋势下，相关业务企业应不断加强数据合规意识，结合自身实际情况，充分梳理和识别涉及数据出境的业务场景，借助专业的数据安全防护产品及方案，合理规划自身数据安全防护体系，切实履行数据出境方面的合规保障义务。