研究结论

　　关于数据信息出境，近期有诸多新规发布，包括：(1)6 月30 日，国家互联网信息办公室起草了《个人信息出境标准合同规定(征求意见稿)》(以下简称“个人信息出境征求意见稿”)；(2)7 月7 日，国家互联网信息办公室公布《数据出境安全评估办法》(以下简称“数据出境办法”)，自2022 年9 月1 日起施行。

　　个人信息出境征求意见稿要求个人信息出境活动应坚持自主缔约与备案管理相结合，防范个人信息出境安全风险，保障个人信息依法有序自由流动。具体内容来看：(1)个人信息处理者同时符合四方面情形，可通过签订标准合同的方式向境外提供个人信息。一是非关键信息基础设施运营者；二是处理个人信息不满100 万人的；三是自上年1 月1 日起累计向境外提供未达到10 万人个人信息的；四是自上年1 月1 日起累计向境外提供未达到1 万人敏感个人信息的；(2)个人信息处理者向境外提供个人信息前，应当事前开展个人信息保护影响评估，评估内容包括个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性、出境个人信息的数量、范围、类型、敏感程度，个人信息出境可能对个人信息权益带来的风险等等；(3)标准合同包括个人信息处理者和境外接收方的基本信息、个人信息出境的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点等、个人信息处理者和境外接收方保护个人信息的责任与义务，以及为防范个人信息出境可能带来安全风险所采取的技术和管理措施等等内容；(4)标准合同生效之日起10 个工作日内，需要向所在地省级网信部门备案。

　　从个人信息出境征求意见稿来看，可通过签订标准合同的方式向境外提供个人信息仅限于规模较小(处理个人信息不满100 万人)的企业，与之相比较，《数据出境安全评估办法》则适用于规模更大、数据更重要、更敏感的情形。根据数据出境办法，数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合，防范数据出境安全风险，保障数据依法有序自由流动。具体内容来看：(1)数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：一是数据处理者向境外提供重要数据；二是关键信息基础设施运营者和处理100 万人以上个人信息的数据处理者向境外提供个人信息；三是自上年1 月1 日起累计向境外提供10 万人个人信息或者1 万人敏感个人信息的数据处理者向境外提供个人信息；四是国家网信部门规定的其他需要申报数据出境安全评估的情形；(2)数据处理者在申报数据出境安全评估前，应当开展数据出境风险自评估，重点评估数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性等等方面的内容；(3)省级网信部门对申报材料(申报书、数据出境风险自评估报告、数据处理者与境外接收方拟订立的法律文件)进行完备性查验，报送国家网信部门，由国家网信部门确定是否受理并书面通知数据处理者，之后根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估。此外，国家网信部门应当自向数据处理者发出书面受理通知书之日起45 个工作日内完成数据出境安全评估；情况复杂或者需要补充、更正材料的，可以适当延长并告知数据处理者预计延长的时间；(4)办法自2022 年9 月1 日起施行。本办法施行前已经开展的数据出境活动，不符合本办法规定的，应当自本办法施行之日起6 个月内完成整改。

　　个人信息出境征求意见稿和数据出境办法共同为企业数据出境提供了制度依据，展望后续，在事前评估和持续监督的要求下，企业需要履行的合规流程有所增加，提供重要/敏感/大规模数据的企业所面临的审核会更加复杂，时间也会更长。但制度的产生也使相关业务被进一步纳入监管框架，降低了企业后续被监管的风险，是行业发展的长久之计。

　　风险提示：(1)互联网企业在数据跨境传输、个人信息保护、反垄断等领域出现新的引发监管的风险事件；(2)互联网企业监管引发青年就业压力进一步加大。

（文章来源：东方证券）