7月7日，国家互联网信息办公室公布《数据出境安全评估办法》（以下简称《办法》），9月1日起正式施行。国家互联网信息办公室主任庄荣文在回答记者提问时表示，制定出台《办法》是落实《网络安全法》《数据安全法》《个人信息保护法》有关数据出境规定的重要举措，目的是进一步规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动。

    近年来，数字经济蓬勃发展，进一步带动数据跨境活动日益频繁。与此同时，由于不同国家和地区法律制度、保护水平等差异，数据出境安全风险也相应凸显。

    数据出境活动，主要包括数据处理者将在境内运营中收集和产生的数据传输、存储至境外，以及数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以访问或者调用。数据跨境活动既影响个人信息权益，又关系国家安全和社会公共利益。

    《办法》规定了应当申报数据出境安全评估的4种情况：数据处理者向境外提供重要数据，关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息，自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息，以及国家网信部门规定的其他需要申报数据出境安全评估的情形。

    《办法》明确了数据出境安全评估的具体要求，规定数据处理者在与境外接收方订立的法律文件中明确约定数据安全保护责任义务，还明确了数据出境安全评估程序、监督管理制度、法律责任以及合规整改要求等。

    同盾科技总法律顾问兼安全负责人赵冉冉告诉记者，5年前《网络安全法》刚刚生效之初，产业界就数据本地化要求及出境安全评估非常关注。“从起草到正式发布，5年来安全评估的主旨和根本思路一脉相承，并未发生实质性变化。”

    相较于去年10月的版本，此次发布正式版本的《办法》在一些方面还是做了很多有益的尝试。赵冉冉说，《办法》为申报安全评估的个人信息出境规模积累设定了“自上年1月1日”这项非常明确的时间节点，企业可以非常精确地识别出哪些需要申报安全评估。对已经开展的数据出境要求在6个月内完成整改，则保障企业已有业务的连续性，也避免一些重要跨境服务被打断。“《办法》在很多细节方面进一步完善了安全评估申报的流程，从而使申报流程的时间节点、顺序等更加清晰及符合逻辑”。

    此外，《办法》也明确数据处理者如果违反规定，将依照《网络安全法》《数据安全法》《个人信息保护法》等法律法规的规定处理，构成犯罪的则依法追究刑事责任。

    产业界普遍认为，《办法》坚持安全和发展并重，对规范促进数据依法有序流动具有重要的制度价值和实践意义。