《征求意见稿》一方面强调境外数据接收方遵循中国各项法律法规，另一方面赋予了数据跨境企业更多的合规责任，同时对执行数据安全风险评估工作的相关部门提出更高要求。

10月29日，国家互联网信息办公室公布《数据出境安全评估办法(征求意见稿)》(以下简称《征求意见稿》)。

在《个人信息保护法》和《数据安全法》等出台后，《征求意见稿》对数据出境安全评估重新进行的明确和梳理，提出“风险自评估与安全评估相结合”，在国家网信部门对跨境数据进行评估之前，多加一道企业“自评估”的闸门。

《征求意见稿》一方面强调境外数据接收方遵循中国各项法律法规，另一方面赋予了数据跨境企业更多的合规责任，同时对执行数据安全风险评估工作的相关部门提出更高要求。

保障跨境数据安全的法律法规正逐步落实。《征求意见稿》出台当日，国家市场监督管理总局发布《互联网平台落实主体责任指南(征求意见稿)》，要求超大型平台经营者应当建立健全数据安全审查与内控机制。

自评估促使境内企业谨慎从事

今年8月20日，《个人信息保护法》正式通过，企业的信息安全风险备受关注。

数据跨境的流动由于具有不可逆的特性，安全问题事关国家安全，与个人、公共利益休戚相关。《网络安全法》《数据安全法》和即将施行的《个人信息保护法》都明确了重要数据和个人信息出境应当通过国家网信部门组织的安全评估。

《征求意见稿》提出“风险自评估与安全评估相结合”，也即除网信部门的评估外，还要求数据处理者在向境外提供数据前，应事先开展数据出境风险自评估。

浙江垦丁律师事务所W&W国际法律团队创始人王捷告诉21世纪经济报道记者，“自评估”最早可见于2017年网信办发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》第七条规定的“网络运营者应在数据出境前，自行组织对数据出境进行安全评估，并对评估结果负责”。同时，2017年《信息安全技术数据出境安全评估指南(征求意见稿)》、2019年《数据安全管理办法(征求意见稿)》也对数据出境安全自评估有相应的规定。

“对比2017年和2019年的办法而言，本次《征求意见稿》是在《个人信息保护法》已出台的背景下制定的，其适用的对象为‘在境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息’。”王捷说。

北京清律律师事务所首席合伙人熊定中也指出，《征求意见稿》在《个人信息保护法》和《数据安全法》出台后，对数据出境安全评估重新明确和梳理，也为更好地落实上述法律中的相关条款。

《征求意见稿》规定，企业自评估重点评估的事项包括：数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;出境数据的数量、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险;境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;数据出境和再转移后泄露、毁损、篡改、滥用等的风险，个人维护个人信息权益的渠道是否通畅等;以及与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务。

北京师范大学网络法治国际中心执行主任吴沈括表示，由于企业对自身的情况及境外接收方的情况更为清楚，该举措能够促进境内企业更谨慎地对待数据出境，并作出预先的风险判断。

“风险自评估制度经常适用于金融领域中，对于数据跨境的风险自评估机制，则是指从事数据跨境流动业务的主体，主动根据规范要求进行风险评测得出初步论断。”中国政法大学网络法学研究所副所长商希雪认为，企业对数据安全风险的来源、预防与处理的判断更为熟悉与清晰，因此将跨境数据提供者的风险自评估作为网信部门安全评估的前提性程序，为网信部门提供了参考，也便于网信部门根据自评估报告有针对性地组织与开展数据安全评估工作。

风险自评估也意味着，企业应对评估报告的结果承担责任。熊定中表示，一旦发现问题，评估人或评估报告签字人可能将面临事后追责。

对境外接收方提出合规高要求

完成数据出境风险自评估报告仅是企业数据跨境传输的一小步，在申报网信办的相关评估工作前，企业还需提供与境外接收方拟订立的合同或者其他具有法律效力的文件等(以下统称合同)，并要求合同中，明确数据的境外接收方的责任和义务。

合同应涉内容在《征求意见稿》中进行了规定，但具体细节尚未明确。据王捷了解，相关立法部门正在起草对应的合同范本。她建议合同的拟定应结合业务情况进行起草，以便满足法律的基准要求。

《征求意见稿》要求，合同必须包含限制境外接收方将出境数据再转移的约束条款、难以保障数据安全时应当采取的安全措施，以及违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款等。

这一规定也体现在网信办的重点评估事项之一中：“境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对