在数据跨境系列文章第一篇中，对我国目前主要出境合规路径和出境安全评估申报工作现状进行了介绍。在目前的三条合规路径中，数据出境安全评估是关键信息基础设施运营者、重要数据处理者和达到一定数量的个人信息处理者数据出境的唯一合法路径。那么，数据出境安全评估的具体内容是什么？难点和问题在哪里？企业应如何开展和实施？上述问题已成为数据出境安全评估所涉企业关注的主要问题。

本文将围绕出境安全评估的评估内容、实施难点、企业内的组织和实施等方面，为您逐一分析和阐释。

数据出境安全自评估的评估内容

中央网信办于2022年7月发布了《数据出境安全评估办法》，《办法》向适用情形的企业提出了开展数据出境安全评估的要求，并规定了主要评估内容、风险评估重点事项和申报流程。

同年8月，中央网信办配套发布了《数据出境安全评估申报指南》，进一步对出境安全评估的申报方式、申报流程、申报材料、填报内容等做了明确，并提供《数据出境安全评估申报表》和《数据出境风险自评估报告》两份模板，以指导和帮助数据处理者规范、有序地申报数据出境安全评估。

在数据出境安全评估中，《数据出境安全评估申报表》和《数据出境风险自评估报告》是需要重点准备的2个材料，其中《数据出境风险自评估报告》又是准备中的重中之重。

自评估报告整体分为自评估工作简述、出境活动整体情况、拟出境数据活动风险评估、出境活动风险自评估结论四个版块，要求企业详细填报出境活动的整体情况、境外接受方的情况、企业采取的安全管理与安全技术措施情况、企业与境外主体订立相关约束合同的情况，并依据上述情况给出数据出境活动风险自评估结论。

在填报出境活动整体情况时，报告要求数据处理者理清数据出境涉及的业务的流程、涉及的信息系统、出境链路、以及出境数据的内容、范围、类型、规模以及涉及的自然人数量的详细情况，且申报粒度要求到字段级。

在填报企业出境安全保障能力时，需要既包括数据安全、数据出境的管理组织体系和制度建设情况（涉及数据全流程管理、分级分类、风险评估、应急处置、个人信息权益?；さ戎贫燃奥涫登榭觯?，同时需要包含出境数据全流程（收集、存储、使用、加工、传输、提供、公开、删除等）所采取的安全技术措施情况；以数据出境中、出境后遭到的篡改、破坏、泄露、丢失、转移或被非法获取、非法利用等情况作出风险等级判断。

在填报出境活动的风险评估情况时，要求数据处理者应当依据理清的数据出境情况事实、安全管理与安全技术能力事实、法律合规文件签订状况的事实，对数据出境和境外接收方处理数据的合法性、正当性、必要性，以及境外接收方的承诺承担相应责任义务，并对数据出境中和出境后的信息风险、个人信息权益保障程度等方面给出评估结果，提供相关评估方法和评估依据。

数据出境安全自评估的难点

数据出境安全评估要求企业在评估的实施过程中，必须以业务为主线，梳理和掌握数据出境活动所涉主体、技术、法律合同、管理制度的全貌和细节，并依据详尽的、客观的事实梳理，就各类风险进行专业性的认定和评价。其中，数据出境活动基本情况的详细梳理，数据出境全生命周期的安全保障制度、流程、技术的梳理、认定和评价，由于组织难度大、专业要求高，是推进和实施数据出境安全评估的难点。

01.数据出境活动情况梳理

按照《指南》中的填报要求，企业开展自评估需要对数据出境的业务流程、出境涉及的信息基础设施、出境链路和相关信息系统的情况进行梳理。其实质是要求企业理清“业务-数据-系统-数据中心-链路”这一链条上的对应关系，核准数据出境事实细节，使每一个数据出境内容皆可对应出一条清晰的出境链路。因此，为每一项出境数据理清上述链路，需合规部门、安全部门、业务部门、信息化部门的综合参与，各部门均需理清各自职责范围内掌握的那部分数据出境活动的情况，这一过程的组织是实施评估梳理的第一个难点。

此外，企业或其合作单位往往以人工访谈、调查问卷等方法开展信息收集，这种跨部门合作往往存在信息收不齐、对不齐、疏漏多、核准难的问题。在实践中，往往需要往复多次，组织评估、参与评估、支撑评估的成本高效率低，这是实施评估梳理的第二个难点。并且，由于出境数据需要达到字段级别的统计，基于调研的实施过程极易导致统计结果准确性和全面性不足的问题，这是实施评估梳理的第三个难点。.
02.数据出境安全保障能力评估?? ?

自评估要求对于数据处理者的数据安全保障能力进行评估，既有包含数据出境全流程管理、应急处置等数据出境安全的组织管理体系和制度流程建设情况评估；又有包括数据收集、存储、使用、加工、传输、提供、公开、删除等全流程的安全技术保障能力的评估。

上述内容的评估涉及到对信息安全、特别是数据安全体系的理解，同时要求评估人员熟悉和掌握各种数据安全技术手段的特点、适用场景、优缺点等，并能够对安全措施的有效性、安全工具与系统的部署与应用进行过核实，对安全配置、安全日志等记录进行检查，从而实现对数据出境安全风险的判定。在必要时，评估还可能需要使用工具开展扫描、识别，或对某一技术产品或系统进行技术测试，这要求企业开展评估的人员具备全面的信息安全、特别是数据安全的专业知识和经验，并能够熟练运用专业工具在各种业务场景中进行检测与评估。

此外，评估人员还应对数据跨境这一特定场景的安全要求、合规要求具有深入的理解，以方便给出面向企业特定数据出境场景的安全评估结果。

数据出境安全自评估在企业内的组织和实施

前述分析论述已经表明，自评估是个涉及多部门、多场景、要求多类专业知识和专业人员的综合性行为，需要企业内合规部门、业务部门、信息化部门、信息安全部门等多个部门多个岗位人员的共同参与。由此，评估的组织和实施也成为顺利完成自评估需要考虑的一个重要方面。

组织出境安全评估时，首先应该明确实施自评估的牵头部门。牵头部门一般可由企业的法务部门或信息安全部门担任，负责开展自评估工作的整体计划制定、流程把控、部门与人员协调、实施进度把控、材料汇总与审定、申报提交等工作。如果企业涉及委托第三方法律服务和技术服务团队进行评估，牵头部门还应承担与外部服务团队的进行合作洽淡、职责确认、内外衔接、材料和交付物确认等职责。

在自评估实施过程中，首先需要牵头部门根据《办法》和《指南》中的规定，筛查涉及数据出境的业务场景，组织企业内部各部门梳理数据出境活动的基本情况。牵头部门可通过下发表单、组织访谈等形式组织和开展梳理和评估。由于数据出境系统、链路、出境数据字段等的梳理、数据出境安全保障措施的梳理与评价、法律合同及法律环境的评估等方面存在较强的专业性，建议企业采购专业的技术服务和法律服务，组建专业的评估实施团队。

企业信息化部门、信息系统运维部门等应协助牵头部门及其引入的服务团队理清涉及数据出境的数据中心、数据链路、信息系统等。同时，涉及出境的各业务部门和企业信息化部门需要开展协作梳理与检测，厘清企业涉出境的数据资产情况。信息安全部门、涉及数据出境的信息系统的运维管理部门应协助分别理清企业层级、系统层级的数据安全技术措施的部署、实施、管理、使用、运维情况。业务部门及相关职能部门需要协助梳理数据出境合同等相关法律文件，以便评估团队进行合规性审查，并对出境后个人信息权利的保障能力进行评价。厘清事实后后，由专业的评估团队基于科学的方法论和丰富的实践经验、结合企业的业务场景，综合考量后给出企业数据出境的风险清单和整改建议。牵头部门基于上述建议组织风险的确认、整改，部署和完善相关措施，实现风险闭环。

完成评估后，由牵头部门组织评估实施团队将梳理的情况、风险评估的情况、整改闭环的情况进行汇总整理，完成申报书和自评估报告等申报材料的填写和编制，并将材料最终上报到网信部门。

值得注意的是，出境安全评估是一项持续性的工作，企业应将自评估的内容纳入企业日常的数据合规管理体系中。企业可根据自身情况，设置相应管理机构及职位，综合统筹业务部门、信息化部门、安全团队、合规团队等各条线人员，建立相应的机制，在日常的管理运营过程中开展和落实数据出境的安全合规工作，以便及时发现会触发网信部门要求开展安全评估条件的数据出境活动。若存在新的出境行为或原有已申报的出境行为发生了传输目的、方式等方面的变化，或安全评估申报周期已满2年时，需要及时进行再次评估申报，以免因数据违规出境的合规问题导致业务的中断。

通过对上述企业自评估组织和流程的分析可知，企业在自评估实施中往往会存在跨部门沟通协调难、数据活动难以梳理、风险评估覆盖范围广和缺乏持续性监测等难题。为帮助企业解决前述难题，电科网安打造了以“专业团队+工具检测”为核心的数据出境安全评估服务解决方案。

在下一篇数据跨境合规系列文章中，我们将介绍数据出境安全评估服务方案的服务内容、服务工具、服务实施过程等，为您详细阐述服务方案是如何帮助企业解决在出境评估过程中遇到的难点问题，敬请期待。