北京师范大学网络法治国际中心执行主任吴沈括表示 ， 由于企业对自身的情况及境外接收方的情况更为清楚 ， 该举措能够促进境内企业更谨慎地对待数据出境 ， 并作出预先的风险判断 。
【数据出境安全评估办法征求意见：风险自评估与网信部门评估相结合】“风险自评估制度经常适用于金融领域中 ， 对于数据跨境的风险自评估机制 ， 则是指从事数据跨境流动业务的主体 ， 主动根据规范要求进行风险评测得出初步论断 。 ”中国政法大学网络法学研究所副所长商希雪认为 ， 企业对数据安全风险的来源、预防与处理的判断更为熟悉与清晰 ， 因此将跨境数据提供者的风险自评估作为网信部门安全评估的前提性程序 ， 为网信部门提供了参考 ， 也便于网信部门根据自评估报告有针对性地组织与开展数据安全评估工作 。
风险自评估也意味着 ， 企业应对评估报告的结果承担责任 。 熊定中表示 ， 一旦发现问题 ， 评估人或评估报告签字人可能将面临事后追责 。
对境外接收方提出合规高要求
完成数据出境风险自评估报告仅是企业数据跨境传输的一小步 ， 在申报网信办的相关评估工作前 ， 企业还需提供与境外接收方拟订立的合同或者其他具有法律效力的文件等（以下统称合同） ， 并要求合同中 ， 明确数据的境外接收方的责任和义务 。
合同应涉内容在《征求意见稿》中进行了规定 ， 但具体细节尚未明确 。 据王捷了解 ， 相关立法部门正在起草对应的合同范本 。 她建议合同的拟定应结合业务情况进行起草 ， 以便满足法律的基准要求 。
《征求意见稿》要求 ， 合同必须包含限制境外接收方将出境数据再转移的约束条款、难以保障数据安全时应当采取的安全措施 ， 以及违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款等 。
这一规定也体现在网信办的重点评估事项之一中：“境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响；境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规规定和强制性国家标准的要求 。 ”
“这对境外数据接收方的合规要求提出了更多细化的规则 ， 包括承担数据安全责任义务的主观意愿 ， 以及组织管理能力、技术安全能力等客观水平 ， 同时强调其遵循中国法律的义务 。 这意味着在跨国企业全球一体化的信息组织管理系统中 ， 需要针对中国法进行专门调整 。 ”吴沈括指出 ， 此举能够推动境内数据处理者通过协议、合同等方式 ， 确保和强化境外数据接收方遵循中国法律法规的各项要求 ， 实现中国法的域外适用 。
《征求意见稿》还明确了评估的流程、时间 ， 对评估后的持续监管做了明确的规定 ， 兼顾数据出境的全生命周期的管理 。
例如 ， 国家网信部门应自出具书面受理通知书之日起45个工作日内完成数据出境安全评估；可视情况复杂或者需要补充材料适当延长 ， 但一般不超过60个工作日 。 同时 ， 规定数据出境评估结果的有效期为二年 ， 若有效期内出现数据处理方式的变化等 ， 还应重新申报评估 。
亮点也可能是难点 。 熊定中认为 ， 45个工作日的时限可能是巨大挑战 ， 尤其在北京、上海、深圳等发达城市 ， 数据评估量都极大 。
企业应先考量数据出境必要性
由于数据跨境需要符合多国或多法域的数据合规监管 ， 对于企业而言 ， 《征求意见稿》对数据出境企业提出了更高的合规要求 。
“企业在某些无感的跨境传输时需要更小心 ， 很容易触碰雷区 。 如使用某些国际知名软件 ， 服务器在境外 ， 员工可能电脑屏幕上轻点鼠标 ， 数据就出境 。 ”一位任职于国际品牌的法务人员提到 ， 企业需在更加细化的程度上去评估自身的个人信息处理流程 ， 将出境的要求嵌入全生命周期管理流程 。