自2022年9月1日起，《数据出境安全评估办法》(以下简称“《评估办法》”)的施行，标志着我国数据出境评估制度的正式确立，意味着我国政府及监管机关对数据出境监管执法正式开始。我国企业对出境数据必须依法进行评估和审核，对触发申报条件的主体而言，其必须进行事先申报，达标的重要数据及个人信息方可合法出境。

8月31日晚，国家互联网信息办公室发布了其编制的《数据出境安全评估申报指南（第一版）》(以下简称“《申报指南》”)。对《评估办法》的落地和操作提供了模板和细化要求。

金融机构因其金融业务的特点，如业务数字化转型程度高，全球经济一体化关联度紧密，跨境支付及跨境资金流动频繁，客户企业及个人跨境经济活动日益活跃等，在日常业务和特定项目交易中，可以说数据及个人信息跨境流动已经构成了金融业内大量金融机构的基础业务场景。

面对最新的监管要求和法定义务，面对金融机构客户的广泛需求和集中的难点，以金融机构的数据出境合规工作来作为一个行业合规样本，德恒律师将在本文内，结合官方法规、最新的申报指南及长期丰富的金融科技合规实务经验，为金融企业及其他行业广大企业客户来快速归纳、分析和梳理关于数据出境安全评估的合规路径和工作重点，为企业数据出境合规工作做出准确而明晰的指引。

一、金融机构数据出境需要了解的重要基本原则

1.不合规不出境

数据出境，金融机构的合规工作需要从企业合规自查与合法性整改开始。

对于重要数据和个人信息出境，必须在保证自查合规的基础上，仔细判断是否触发数据出境安全评估的申报条件。触发申报条件的必须先申报，通过国家网信部门对数据出境安全评估的，在网信部门的评估结果有效期2年内才可合法出境。否则，在中国境内运营中收集和产生的重要数据和触发申报要求的个人信息，不得出境。

2.溯及既往

自2022年9月1日起，金融机构必须关注和重点审查数据出境的合法性，严格地按《评估办法》要求的内容进行，触发申报条件的必须按照《申报指南》进行逐级申报。在9月1日前已经开展的数据出境活动，不符合《评估办法》规定的，应当自9月1日起6个月内完成整改。

3.先省级再国家级

金融机构作为数据处理者，依法应申报数据出境安全评估的，先通过所在地省级网信部门申报，然后由国家网信部门进行数据出境安全评估。

4.自评估(报告)很重要

金融机构在申报数据出境安全评估前，必须开展数据出境风险自评估。这意味着：

a. 申报者的《数据出境风险自评估报告》是申报材料的重要组成部分之一，在安排安全评估申报过程中，必须向网信监管部门提交自评估报告。

b. 个别金融机构经过自评估和合规整改后，如果综合判断其数据出境行为是属于无需向网信部门申报安全评估的情形，该等机构也需要依法开展数据出境风险自评估，并形成书面《数据出境风险自评估报告》，存档备查。

5.形式及内容相结合

依法需要进行安全评估申报的，金融机构应按照监管机构要求的安全评估申报方式、申报流程、申报材料等具体要求执行。

 

其中，申报方式为送达书面申报材料并附带材料电子版。省级网信办收到材料后，在 5 个工作日内完成申报材料的完备性查验。通过完备性查验的，省级网信办将申报材料上报国家网信办；未通过完备性查验的，数据处理者将收到申报退回通知。国家网信办自收到省级网信办上报申报材料之日起 7 个工作日内，确定是否受理并书面通知数据处理者。

正常情况下，国家网信部门自向数据处理者发出书面受理通知书之日起45个工作日内完成数据出境安全评估，书面通知申请的金融机构。如果情况复杂或者需要补充、更正材料的，会适当延长并告知数据处理者预计延长的时间。

二、金融机构数据出境安全评估的合规工作重点指引

1.数据出境的判定

属于数据出境行为的行为包括：

a. 数据处理者将在境内运营中收集和产生的数据传输、存储至境外；

b. 数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；

c. 国家网信办规定的其他数据出境行为。

金融机构在其业务和经营过程中，一旦存在上述的任一情况，就属于数据出境行为。必须按照《评估办法》和《申报指南》进行合规审查、甚至整改，判断金融机构自身是否需要进行数据出境安全评估申报。同时还需要符合相关法规内要求的数据合法出境的其他法定义务。

2.重要数据及金融重要数据的判定

简明的讲，一旦构成重要数据出境，必须进行数据出境安全评估申报。

重要数据的判定和审查，需要金融机构结合国家对“重要数据”的定义和行业主管部门对“行业重要数据”的认定来综合进行，即“金融重要数据”。一般而言，较之国家层级的定义，具体政府主管部门及行业协会对“重要数据”的定义和范围会细化和具体一些。

《评估办法》中明确，重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。

2020年9月23日，中国人民银行正式发布的《金融数据安全 数据安全分级指南》金融行业标准中，对金融数据和(金融)重要数据识别都做出了明确规定。

金融机构需要依据该等规定内容和鉴别标准，对出境数据进行“重要数据”的判定。

3.个人信息及敏感个人信息出境是否触发安全评估的判定

简明的讲，一旦涉及个人信息出境，无论是经营中涉及的客户或其他个人信息，还是金融机构的员工个人信息，均要进行安全评估申报的触发自评估。

金融机构可以按照以下次序来逐项评估：

a. 构成关键信息基础设施运营者的金融机构，向境外提供个人信息必须申报安全评估。

b. 处理100万人以上个人信息的金融机构，向境外提供个人信息必须申报安全评估。

c. 自上年1月1日起累计向境外提供10万人个人信息的金融机构，向境外提供个人信息必须申报安全评估。

d. 自上年1月1日起累计向境外提供1万人敏感个人信息的金融机构，向境外提供个人信息必须申报安全评估。

e. 其他国家网信部门规定的需要申报数据出境安全评估的情形。

属于前段a、b、c、d几种情形任何一种的，理论上出境1条个人信息就必须申报安全评估，否则不能出境。《评估办法》的正式稿的这部分规定比较之前相关征求意见稿内容，可以看出立法者对个人信息出境合法性考量和监管尺度的变化。对比曾经个别征求意见稿中的数量论的判定标准，现阶段的正式法规在实质上是监管从严了。

同时，《评估办法》因为篇幅原因，没有特殊强调，但是我们提醒金融机构必须给予重视的一点。在安全评估的基础上，个人信息的出境必须还要同时符合《个人信息保护法》及相关法规的要求，比如前提是有合法的出境（业务）需求和场景，个人信息的出境已经获得了个人信息主体的事先同意，等等。

4.安全评估申报义务的触发

金融机构一旦构成了前面列举的“1+2”（第1点结合第2点，下同）情形，或“1+3”情形，必须依法申报数据出境安全评估。其中第3点内的个人信息出境情形是构成任何一种就必须申报，而非全部情形同时构成。

触发了申报义务的金融机构，应当向省级网信部门提交：（一）申报书；（二）数据出境风险自评估报告；（三）数据处理者与境外接收方拟订立的法律文件；（四）安全评估工作需要的其他材料。

其中第（四）点内的其他材料，包括：统一社会信用代码证件影印件；法定代表人身份证件影印件；经办人身份证件影印件；经办人授权委托书；其他相关证明材料。

5.主动申报和被动审查的差别

依据《评估办法》和相关法律规定，以及金融行业的合规要求，数据出境风险自评估和安全评估申报须以企业主动申报为一般原则和需承担的基本责任。

自评前置，主动申报，否则重要数据及规定情况内的个人信息不能出境。在法律规定要求范围内的，如果企业无法做到主动申报并通过网信部门安全评估，或企业没有数据出境风险自评估的，或企业数据出境自评估不达标的，一旦金融机构被动的遭遇监管机关的审查，后果会非常严重。甚至对企业的业务、日常经营、法定代表人、数据负责人及相关责任人，都可能会受到处罚及产生较大的影响。

《申报指南》中明确要求，数据处理者需要简述近2年在业务经营活动中受到行政处罚和有关主管监管部门调查及整改情况，重点说明数据和网络安全方面相关情况。这意味着金融机构的自评估质量要高，触及申报条件的主动性体现要好。否则被动审查发现没有达到法定要求，处罚记录和整改情况会伴随企业的后续经营，影响非常大。

6.自营业务和委托业务的差别

在近几年的法律服务工作中，常有金融客户询问，其业务中涉及的部分个人信息出境是因为金融机构间的委托业务构成的，而非该金融机构的自营业务导致个人客户信息出境。这类个人信息的出境，是不是要属于该金融机构作为受托方要评估甚至申报的内容？

德恒律师认为，因为中国已有的相关立法，没有类似GDPR那样做出关于数据控制者与数据处理者(狭义)的区分，而是统一的将前面二者统一划归为“数据处理者（广义）”的定义之内。这客观导致了面对法学理论上可划分的数据控制者与数据处理者(狭义)之间所承担的义务和责任不同的差别，在现阶段在我国的司法和监管中，不会那么清晰的被区分和个别要求。

作为受托方的金融机构，在狭义的数据处理者从委托方的合作方处获得或通过委托处理涉及的重要数据和个人信息，目前依法被认定为中国境内运营中“产生”的重要数据和个人信息。一旦该等重要数据和个人信息向境外提供，依规是需要受到评估办法监管的。除非在未来监管部门对作为受托方的数据处理者有更细化或特殊的规定，目前看来，自营业务和委托业务在数据出境安全评估责任义务上，不能以委托业务为由来规避相关自评估乃至申报的法定责任。

7.金融行业和其他行业申报主体的差别

本文是以金融行业作为样板来分析和说明，其他行业的企业可参照本文的归纳和指引内容，来开展数据出境安全评估的合规工作和相应安全申报。