近日,国家网信办发布了《数据出境安全评估申报指南(第三版)》(以下简称《指南》)。《指南》对数据处理者申报数据出境安全评估需要提交的相关材料进行了优化简化,明确数据处理者申请延长数据出境安全评估结果有效期的条件、流程、材料等内容。《指南》规定,数据处理者因业务需要向境外提供重要数据和个人信息,符合数据出境安全评估适用情形的,应当根据《数据出境安全评估办法》和《促进和规范数据跨境流动规定》,按照申报指南申报数据出境安全评估。评估结果有效期届满,符合申请延长评估结果有效期条件的,数据处理者可以在有效期届满前60个工作日内提出延长评估结果有效期申请。
https://www.cac.gov.cn/2025-06/27/c_1752652339765002.htm
一、法规政策脉络简要回顾
回顾我国数据出境安全评估制度的法律法规脉络,可以大致归纳为三个层面。
一是法律层面。数据出境安全评估制度的上位法依据,主要包括《网络安全法》(第37条)、《数据安全法》(第31条)、《个人信息保护法》(第40条)三部。这些上位法对于重要数据和个人信息的出境安全评估作出了制度授权并预留了法规细化空间。
二是规章政策层面。数据出境安全评估制度的细化和统一,历经多次调整演变。先后经历了《个人信息和重要数据出境安全评估办法(征求意见稿)》(2017)、《个人信息出境安全评估办法(征求意见稿)》(2019)、《数据出境安全评估办法(征求意见稿)》(2021)三个主要文件。
2022年正式发布的《数据出境安全评估办法》,可谓是该制度在规章层面的集大成者。它实现了数据出境安全管理制度的两个统一:一是将个人信息、重要信息出境纳入统一管理,明确数据出境评估的范畴;二是将“关键基础设施重要数据”和其他重要数据纳入统一管理,不再区分适用不同规则。
2024年《规范和促进数据跨境流动规定》的发布将数据出境安全评估制度做了进一步优化完善。也奠定了现行数据出境安全评估依据“1办法+1规定”的基本格局。
三是在管理规范层面。国家网信办发布并持续更新了三版《数据出境安全评估申报指南》,从实际操作角度确保数据出境安全评估制度的切实落实和实施。
二、内容要点和变化
从内容上看,《数据出境安全评估申报指南(第三版)》有以下几处主要变化。
一是框架调整。新版指南保留了第二版的“适用范围”、“申报方式及流程”、“咨询、举报联系方式”三个章节;增加了“申请延长评估结果有效期”一个章节。此外,新版指南还将第二版的“申报材料”章节合并到申报方式和流程中,作为一个独立条款。
二是内容优化。新版指南结合申报方式和流程要求,重点对在线申报系统的使用方法和流程做了较大篇幅的细化和明确。此外,还对数据处理者申请延长数据出境安全评估结果有效期的条件、流程、材料等内容用专门章节进行了明确。
另外,新版指南还对正文及附件材料的部分内容的表述进行了优化简化调整。
三、影响思考
首先,新版指南的出台,进一步提升了申报数据出境安全评估的便利性,其对相关内容的简化明确,也有助于减轻数据处理者相关申报负担。
其次,在牵引行业发展方面,新版指南也将起到积极的市场推动作用。
一是促进数据出境安全评估等服务供给。一方面可促进面向数据处理者的专业化数据出境安全服务发展,如数据出境自评估咨询、出境数据资产审计等。另一方面,可促进面向数据评估专业机构的支撑服务供给,如出境重要数据识别服务、数据出境安全事件处置等方案和产品研发等。此外,还能促进数据安全出境相关培训服务的发展。
二是拉动数据出境安全监管支撑需求。数据出境安全评估市场的稳定发展,离不开国家相关职能部门监管机制和手段的健全完善,这无疑会扩大对监管支撑相关服务的需求。主要包括:数据出境风险监测、敏感数据威胁情报支持、数据出境安全协同管理平台等等。