图 默安科技合规安全专家薛安正现场分享

在数字经济蓬勃发展、企业数字化转型的背景下，数据已然成为国家战略资源和主要生产要素，也是企业核心竞争资产。同时，伴随着经济全球化，数据出境场景显著激增，安全风险不断加剧，数据跨境流动相关话题成为各方关注焦点，我国围绕数据出境安全的监管体系也日趋完善严格。

（点击选项查看答案，绿色为正确，红色为错误）

值得注意的是，不属于数据出境的情况有两种：一是非在境内运营中收集和产生的个人信息和重要数据经由本国出境，未经任何变动和加工处理的；二是非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境，不涉及境内运营中收集和产生的个人信息和重要数据。

那么，数据出境有哪些合规路径呢？

（一）数据处理者向境外提供重要数据；

（二）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；

（三）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；

（四）国家网信部门规定的其他需要申报数据出境安全评估的情形。

评估要点包括申报书、数据出境风险自评估报告、数据处理者与境外接收方拟订立的法律文件，以及安全评估工作需要的其他材料。

图 数据出境安全评估流程

依据《个人信息保护法》，个人信息处理者同时符合下列情形的，可以通过签订标准合同的方式向境外提供个人信息：

（一）非关键信息基础设施运营者；

（二）处理个人信息不满100万人的；

（三）自上年1月1日起累计向境外提供未达到10万人个人信息的；

（四）自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。

评估要点包括标准合同和个人信息保护影响评估报告。

个人信息处理者依据GB/T 35273《信息安全技术 个人信息安全规范》、TC260-PG-20222A《个人信息跨境处理活动安全认证规范》，开展技术验证、现场审核、获证后监督等个人信息保护认证流程。

薛安正特别提醒，企业若未履行数据出境合规义务将面临以下后果：一是合规风险：未按要求完成数据出境申报，或面临监管机构的行政处罚；二是安全事件：未履行安全责任和义务，发生安全事件，或面临来自客户以及监管机构的法律追究；三是举报：来自竞争对手、个人用户等，对存在的安全隐患进行举报，或面临监管机构处罚。

默安科技安全评估解决方案主要包含数据出境安全评估服务和个人信息保护影响评估服务。

数据出境安全评估服务包含以下六大环节：

个人信息保护影响评估服务分为个人信息处理活动调研、个人权益影响评估、安全保护措施有效性评估、安全风险综合评估、评估报告、改进与指导六个部分。此外，默安科技还为客户提供以下赋能服务：信息安全意识培训、个人信息安全保护意识培训、个人信息保护合规风险评估培训、个人信息安全管理体系培训、个人信息保护影响评估培训、个人信息跨境处理合规培训等。

图 默安科技个人信息保护影响评估框架

在某头部医疗客户案例实践中，默安科技第一步协助客户完成项目宣贯及调研模板标准化，包括项目启动会、确定数据出境（CBDT）情景、确定沟通邮件模板、培训（调研表填写）、邮件发送（调研表&填写说明）；第二步是研究和收集，包括组织填写调研问卷，总结和分析调研信息（确保合规性及标准化）；第三步是总结、整理和提交，包括调查表摘要、修改与改进、绘制数据出境流导图、提交最终调研结果；第四步是差距分析，对客户当前的数据出境安全保护现状与合规标准之间的差距进行分析；第五步是报告输出，由专业律所确定提交策略、提供司法解释、编制标准条款合同（SSC）和完成最终评估报告；最后与网信办（CAC）完成对接沟通。

默安科技数据出境安全评估解决方案能够为企业客户实现以下收益：

☑满足合规：帮助企业在数据出境的事项上，以及持续合规的审计或调查中证明其遵守了相关法律法规和标准要求，进而满足合规要求。

☑降低风险：帮助企业更好地识别出数据出境中存在的风险及合规影响，尽早发现风险和制定相关保护措施，从而加强风险预防。

☑提升能力：企业可以根据评估结果，有针对性地开展内部数据安全的治理，使之警惕可能导致组织受损的数据安全问题，帮助企业提升数据安全保护能力。