【安永洞察】数据安全治理｜企业数据出境管理实践

2022年7月7日，国家互联网信息办公室正式出台了《数据出境安全评估办法》，用于规范数据出境活动，维护国家安全、社会公共利益与个人权益，促进数据跨境安全、自由流通。

根据该监管要求，数据处理者包括向境外提供（包括数据传输、存储至境外，或境外机构人员可直接访问）在中华人民共和国境内运营中收集和产生的重要数据和个人信息的，均需遵从相关监管要求，坚持事前评估和持续监督相结合、风险自评估与安全评估相结合等原则，开展数据出境工作。企业应充分识别数据出境过程中可能对国家安全、公共利益、个人或者组织合法权益带来的风险，并形成相应的管理和技术措施，用于保障出境数据的安全。

本文旨在从企业管理实践的角度，将监管要求映射到企业数据安全管理活动中，帮助企业更好地为数据出境做好准备。文章对企业出境前应具备的数据安全管理能力与建立的技术机制进行了详细介绍，对企业需要开展的出境数据梳理、风险自评估、安全评估等工作进行了阐述，并对企业在数据出境后应遵循的持续监督机制提出了建议。

数据出境前准备工作

一、建立数据安全管理要求，履行数据处理者责任义务

企业在开展数据跨境活动前应当按照国家数据出境安全监管要求，建立健全相关技术和管理措施，在数据处理过程中防范数据泄漏、损毁等风险。

1．管理机制建立

数据出境作为数据安全管理领域中的重要一环，要求企业应具备数据安全与个人信息保护管理能力，为出境数据安全提供切实保障。而建立机制完善、权责清晰的数据安全治理体系与组织架构是推进数据安全与隐私保护的先决条件。企业应建立明确的管理组织架构，并形成管理制度体系，确保工作开展有据可依，管理责任落实到人。

组织架构：企业数据安全治理工作伴随数据全生命周期，从前台业务，到后台IT、法务合规等支持部门，贯穿整条企业价值链。因此，需要从上到下建立可囊括企业各部门的数据安全治理组织架构，并按其在数据安全工作中的职责分工不同，分为数据安全决策层、管理层、执行层和监督层。

• 决策层：数据安全与隐私保护工作的领导小组，负责定义企业数据安全整体工作目标、管理原则与方针。

• 管理层：负责针对数据安全各管理领域，建立相应数据安全及隐私保护制度，与技术规范等，用于统一协调数据安全各项工作开展。

• 执行层：作为数据安全工作的执行者，负责遵照制度体系要求，落实开展数据安全管理工作。

• 监督层：负责定期对数据安全及隐私保护策略、制度、规范等方面的贯彻落实情况进行评价监督。

► 关键岗位角色设立：

• 数据安全负责人：企业应当指派具备数据安全专业知识和相关管理工作经历的决策层成员作为数据安全负责人，领导数据安全管理机构，并负责向网信部门及主管、监管部门反映数据安全情况。

• 个人信息保护负责人：处理100万人以上个人信息的企业应指定个人信息保护负责人，公开其联系方式，并将个人信息保护负责人姓名及联系方式报送监管部门。

管理制度：根据管理层级、管理重点分层级进行制度体系建设，以组织管理策略为纲领，逐级建立制度办法，形成工作流程，并结合工具表单，将管理要求落实到日常工作中。

• 数据分类分级：企业应建立数据的分类分级管理制度，从数据的业务影响、合规风险、社会影响范围等维度形成分级分类标准。

• 数据全生命周期管理：企业应从制度层面明确数据在收集、存储、使用、加工、传输、提供、公开直至删除的全生命周期各环节安全要求，对不同类别和级别的数据建立差异化的管控要求和技术保护策略。

• 数据安全事件及应急：企业应根据数据出境过程中可能发生的数据泄漏、篡改、丢失的风险场景，建立内外部协同的数据安全事件应急处置机制，制定事件安全应急预案，并定期演练。

• 事件安全投诉及举报：企业与境外数据接收方，均应建立便捷的数据安全投诉举报渠道，及时受理、协同处置数据安全投诉举报。

• 第三方管理：企业应建立第三方分类管理机制，针对数据委托处理者、共同处理者、数据接收方、数据提供方等不同类别的第三方，在决策与立项、第三方安全准入、日常管理、安全评估及变更退出各环节，制定相应的管控要求。数据出境也应遵循企业建立的第三方管理机制，开展风险管控工作。

• 个人信息保护：企业应遵照国家对于个人信息保护的监管要求，与境外接收方遵守统一的个人信息出境处理规则，并获得个人信息主体的单独同意。在个人信息出境方面应特别强调：

1、在开展个人信息出境前，企业应事先开展个人信息影响评估，对其个人信息处理活动的合法性、正当性、必要性，及所采取的保护措施与其风险程度是否相适应并有效等方面进行评估，并将其报告及处理情况记录至少保存三年。

2、在个人信息出境过程中，个人信息主体对其个人信息享有国家规定的合法权利，企业应建立便利的行权渠道与投诉渠道，协同境外接收方共同接受和处理数据出境所涉及的用户投诉。

• 数据出境：针对数据出境过程中的各项工作，企业应在制度层面建立专项管理流程、操作规程与工作模板，确保管理要求均得以有效落实在企业日常工作中。

2．技术保障机制建立

为了确保出境数据安全要求有效落地，避免管理要求流于表面，企业需要建立对应的技术保障机制，将出境数据安全真正融入到业务和系统中，在数据出境过程中提供安全技术保障，并在数据停止出境后情况，对已出境数据采取必要的安全补救措施。

• 数据本地化存储：根据已发布及征求意见阶段的监管要求，在中国境内收集和处理的100万人以上个人信息或重要数据的企业，以及国家机关、关键信息基础设施运营者收集和产生的个人信息及重要数据，应在境内存储。

针对确需出境的数据，应对其制定技术保障措施，应对数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险，制定针对性技术方案。

数据机密性保护措施：企业应基于数据分类分级，采用符合其管理要求的技术手段，切实落实数据全生命周期管理要求，确保出境数据的机密性，包括但不限于：

• 数据加密存储技术：对个人信息和重要数据，根据安全要求采取数据库加密、表加密、字段加密等方式，保证数据在存储过程中的安全性。

• 数据安全使用技术：应对数据处理系统进行安全加固，并对系统访问控制和用户权限进行治理，来落实数据使用管理要求。

• 数据安全传输技术：应选用与传输数据保密要求相匹配的数据传输方式，采取国家标准规定的密码技术及安全传输协议，实现数据在传输过程中的安全控制。同时，通过部署监控设备和定期检查等手段，对数据传输过程进行监控，发现问题并及时阻断。

• 匿名化和去标识化处理技术：数据应基于最小必要原则，对非必需数据进行脱敏处理。针对个人信息，应通过抑制、泛化、密码技术等实现匿名化处理。

数据完整性保护措施：企业可采用数字签名等方式防止数据在跨境过程中产生被篡改的风险，并采用数字证书、标识密码等方式实现通信设备认证，确保出境数据的完整性和安全性。

数据可用性保护措施：企业应基于数据分类分级，建立出境数据在境内的备份策略，对个人信息和重要数据进行备份，包括明确数据备份范围、备份频率、备份方式等，并定期开展数据备份恢复性测试，确保数据备份的有效性。

出境数据的可追溯性：企业应具备保留数据发送日志及数据出境相关日志记录的能力，并采取安全保护措施防止数据发送日志记录被篡改，定期开展日志安全审计工作，保障数据出境工作的可追溯性。

最后，企业应将数据停止出境后，对已出境数据的采取安全补救措施纳入前期准备工作中。如果企业停止数据出境，应要求数据接收方对已接收的数据建立删除机制，包括明确数据删除范围、数据删除方式、数据删除结果验证技术、数据存储介质处理技术等。

二、全面开展出境数据梳理，评估出境风险及控制有效性

企业在向境外提供数据前，应事先开展数据出境风险自评估，对向境外提供数据的业务情况开展全面梳理，通过线上、线下等方式对外提供的数据，以及境外可直接访问到境内系统数据的情况，均纳入出境风险评估范围。

1．建立出境数据清册

为更加清晰、直观地认知其所开展的数据出境活动，开展针对性的风险评估工作，并以明文、可读形式向国家监管部门展示出境数据情况，企业应从业务的角度出发，对出境数据开展系统性梳理，识别直接传输、存储至境外的，以及境外的机构、组织或个人可以直接访问或调用的数据，明确出境数据资产清单以及出境数据流转情况，包括但不限于如下内容：

• 数据种类：根据企业数据分类分级标准，进行出境数据的分类标识。

• 敏感程度：根据企业数据分类分级标准，就出境数据敏感程度进行判断后分级。

• 数据数量：梳理出境数据条数或数据体量，其中与个人信息相关的数据，应将数据所涉及的个人信息主体数量进行标识。

• 数据存储情况：识别数据出境过程中完成数据交换的系统，以及数据拟在境外存储的系统情况，包括服务器所在位置、数据存储期限等。

• 数据流转情况：梳理出境数据的分布与流向，明确数据是如何传输到境外的，包括数据传输过程中的中转情况、数据再转移情况、数据接收方情况，以及数据在出境后的数据使用、加工、提供、公开直至删除情况。

2．数据发送方风险评估

企业应对向境外提供数据的合法性、正当性和必要性进行评估，包括：

• 是否符合国家法律、行政法规的要求。

• 对国家安全、公共利益、个人或者组织合法权益带来的风险，尤其是境外法律法规环境、网络安全环境等对个人信息主体权益的影响。

• 数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险，个人信息权益维护的渠道是否通畅等风险。

3．数据接收方风险评估

企业应对数据转移过程中涉及的国家监管法律法规、境外接收方承诺承担的责任义务、履行责任义务的管理和技术措施、能力等进行风险评估。

• 数据转移各环节国家或地区的数据安全保护政策法规：企业应分析数据跨境传输中涉及的中转国家或地区，以及境外接收方所在国家或地区已发布的数据安全、个人信息保护等方面相关法律法规，评估其对出境数据安全，以及合同或者其他具有法律效力的文件等（以下统称法律文件）履约的影响。

• 境外接收方数据保护能力：企业应评估境外接收方数据保护能力，包括数据保护管理措施、技术措施，是否可以为数据提供安全保障，是否达到中国法律、行政法规规定和强制性国家标准的要求。若涉及个人信息跨境，数据接收方应建立有效的个人信息主体行权渠道。

• 境外接收方履约能力：企业应评估境外接收方数据保护履约能力，包括境外接收方的经营范围、实际控制权、可执行数据保护约束性条款、历史数据安全事件、历史数据滥用情况等。

• 数据再转移风险：企业应评估境外接收方是否会对出境数据再转移，以及再转移后的数据泄漏、毁损、篡改、滥用等风险。如果涉及个人信息出境再转移的情况，企业应评估境外接收方是否建立通畅的个人信息主体行权渠道。

企业应将上述数据出境前期准备、风险评估工作所形成的相关日志记录和审批记录留存三年以上。

三、申报数据出境安全评估，基于标准合同规定订立法律文件

企业在开展完前期准备工作及自评估后，确因业务需要，需要向境外提供数据的，应按相关监管要求，在满足数据出境安全评估、个人信息保护认证、使用标准合同规定或其他规定条件的任一条件后，方具备开展出境活动条件。

1．申报数据出境安全评估

企业应当通过所在省级网信部门向国家网信部门申报数据出境安全评估，需完成流程并通过国家网信部门审批，以满足进行数据出境的要求。

报告条件：数据处理者向境外提供数据，符合以下情形之一，应当申报数据出境安全评估：

• 关键信息基础设施运营者收集和产生的个人信息和重要数据的。

• 出境数据中包含重要数据的。

• 处理一百万人以上个人信息的数据处理者向境外提供个人信息的。

• 自上年1月1日起累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息的。

*工业和电信数据处理者在中华人民共和国境内收集和产生的重要数据的（参照《工业和信息化领域数据安全管理办法（试行）（征求意见稿）》要求）。

报告时间：于数据跨境传输开始前至少4个月申报数据出境安全评估。

• 省级网信部门应当自收到申报材料之日起5个工作日内完成完备性查验。

• 国家网信部门自收到申请材料之日起7个工作日内，确定是否受理评估并书面通知数据处理者。

• 出具书面受理通知书之日起45个工作日内完成数据出境安全评估。情况复杂或者需要补充、更正材料的，可以适当延长并告知数据处理者预计延长的时间。

• 数据处理者对评估结果有异议的，可以在收到评估结果15个工作日内向国家网信部门申请复评，复评结果为最终结论。

报告内容：申报数据出境安全评估，应当提交的材料包括：

► 申报书

► 数据出境风险自评估报告：

1. 数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性。

2. 出境数据的规模、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险。

3. 境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全。

4. 数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险，个人信息权益维护的渠道是否通畅等。

5. 与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等是否充分约定了数据安全保护责任义务。

6. 其他可能影响数据出境安全的事项。

► 基于标准合同规定拟订立的法律文件：企业应按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立法律文件，约定双方权利和义务。建议该法律文件应在数据出境安全评估完成后再行签署，否则，建议注明该法律文件在数据出境安全评估后生效的条款说明，避免可能因未通过评估而造成的损失。

► 安全评估工作需要的其他材料。

2．基于标准合同规定订立法律文件

数据处理者与境外接收方应按照标准合同订立法律文件，充分约定数据安全保护责任义务，应当包括但不限于如下内容。

1. 数据出境的目的、方式和数据范围，境外接收方处理数据的用途、方式等。

2. 数据在境外保存地点、期限，以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施。

3. 对于境外接收方将出境数据再转移给其他组织、个人的约束性要求。

4. 境外接收方在实际控制权或者经营范围发生实质性变化，或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时，应当采取的安全措施。

5. 违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式。

6. 出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时，妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。

若涉及个人信息出境，数据处理者与境外接收方还应参考《个人信息出境标准合同规定（征求意见稿）》中的标准合同要求，明确如下条款内容：

1. 个人信息处理者和境外接收方的基本信息，包括但不限于名称、地址、联系人姓名、联系方式等。

2. 个人信息出境的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点等。

3. 个人信息处理者和境外接收方保护个人信息的责任与义务，以及为防范个人信息出境可能带来安全风险所采取的技术和管理措施等。

4. 境外接收方所在国家或者地区的个人信息保护政策法规对遵守本合同条款的影响。

5. 个人信息主体的权利，以及保障个人信息主体权利的途径和方式。

6. 救济、合同解除、违约责任、争议解决等

企业应按相关监管要求，进行数据出境法律文件备案，如《个人信息出境标准合同规定（征求意见稿）》中规定，企业应在标准合同生效之日起10个工作日内，向所在地省级网信部门备案。

3．个人信息保护认证

涉及个人信息出境的，可通过个人信息认证，就个人信息跨境处理活动进行安全认证。数据处理者和数据接收方均应通过国家网信部门认定的专业机构进行的个人信息保护认证，以满足保护个人信息权益的基本要求。

数据出境后持续监督机制

一、建立数据出境常态化风险监控

企业应对数据出境情况进行常态化持续风险监控，一旦出现以下情形，应重新进行数据出境安全评估申报，若未按规定重新申报数据出境安全评估的，应当停止数据出境活动：

• 向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的，或者延长个人信息和重要数据境外保存期限的。

• 境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的。

• 出现影响出境数据安全的其他情形。

• 自评估结果出具之日起有效期二年期届满的，需在届满60个工作日前重新申报。

对此，企业应基于出境数据清册，通过技术监控与定期评估等手段，开展常态化风险监控工作。常态化风险监控可分为如下工作阶段：

• 风险识别：包括外部监管环境变化、数据接收方经营状况、网络安全环境变化、内部管理制度、业务及系统变化等情况进行监控，识别风险点。

• 风险评价：以风险为导向，评估当前管理要求、技术措施、人员能力、技术能力等能否防范识别到的风险。

• 风险处置：针对识别风险应制定相应风险控制措施，确保风险处于可接受的水平之内，若涉及需重新申报监管的风险情况，应及时上报监管，以避免产生合规风险，保障业务正常开展。

• 风险监控：设定常态化风险监控指标，并对实施安全控制后的残留风险进行持续关注。

• 风险报告：建立数据安全风险报告路线，确保数据安全负责人及治理层及时了解当前数据安全风险，开展决策工作。

二、年度数据出境安全报告

所有向境外提供个人信息和重要数据的企业，应按相关监管要求，每年报送数据出境安全报告，并将报告至少保留三年。

参考《网络数据安全管理条例（征求意见稿）》，数据处理者应于每年1月31日前，向设区的市级网信部门，报送年度数据出境安全报告：

1. 全部数据接收方名称、联系方式

2. 出境数据的类型、数量及目的

3. 数据在境外的存放地点、存储期限、使用范围和方式

4. 涉及向境外提供数据的用户投诉及处理情况

5. 发生的数据安全事件及其处置情况

6. 数据出境后再转移的情况

7. 国家网信部门明确向境外提供数据需要报告的其他事项

结语

《数据出境安全评估办法》将于2022年9月1日起施行，企业应自施行之日起6个月内完成合规整改工作。数据出境作为监管关注重点，所关注的并非数据出境动作，也绝非一次性的安全评估，而是企业是否具备数据安全管理能力及技术手段，是否对数据出境过程中的风险进行了有效的识别与控制。因此，所有向境外提供在收集和产生的重要数据和个人信息的企业，均应在完善自身数据安全与隐私保护能力的基础上，有针对性地开展数据出境安全管控，并形成持续监督机制，以切实保障数据依法有序自由流动。

欢迎联系我们。

高轶峰

主管合伙人

大中华区网络安全与隐私保护咨询服务

安永（中国）企业咨询有限公司

+86 21 2228 6611

kelvin.gao@cn.ey.com

兰瑜

合伙人（华北）

大中华区网络安全与隐私保护咨询服务

安永（中国）企业咨询有限公司

+86 10 5815 3951

bruce.lan@cn.ey.com

施建俊

合伙人（华中）

大中华区网络安全与隐私保护咨询服务

安永（中国）企业咨询有限公司

+86 21 2228 7599

alex.shi@cn.ey.com

夏文婷

合伙人（华中）

大中华区网络安全与隐私保护咨询服务

安永（中国）企业咨询有限公司

+86 21 2228 3320

wendy.xia@cn.ey.com

周旸

合伙人（华中）

大中华区网络安全与隐私保护咨询服务

安永（中国）企业咨询有限公司

+86 21 2228 3160

yang.zhou@cn.ey.com

张楠驰

合伙人（华中）

大中华区网络安全与隐私保护咨询服务

安永（中国）企业咨询有限公司

+86 21 2228 6419

nancy-nc.zhang@cn.ey.com

胡立基

合伙人（华南）

大中华区网络安全与隐私保护咨询服务

安永（中国）企业咨询有限公司

+86 20 2881 2731

winson.woo@cn.ey.com

陈光华

合伙人（中国香港）

大中华区网络安全与隐私保护咨询服务

安永咨询服务有限公司

+852 3758 5864

nelson.chan@hk.ey.com

本文是为提供一般信息的用途所撰写，并非旨在成为可依赖的会计、税务、法律或其他专业意见。请向您的顾问获取具体意见。

如欲转载本文，务必原文转载，不得修改，且标注转载来源为：安永中国海外投资业务部官方微信公众号。如需修改内容，需要获得安永的书面确认。