《征求意见稿》重要内容解析
一是坚持事前评估和持续监督相结合、风险自评估与安全评估相结合 。 《征求意见稿》第3条明确指出“数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合” ， 对数据出境评估流程进行了清晰的制度构建 。 其中 ， 事前评估具体体现为风险自评估与安全评估制度 ， 通过数据处理者对风险自评估与监管部门所做的外部安全评估 ， 可及时发现并预判数据出境可能存在的潜在风险或已知风险 ， 及时采取措施化解风险 ， 降低数据泄露对个人信息权益、社会公共利益和国家利益的影响 。
持续监督具体体现为数据出境评估结果有效期制度 ， 根据《征求意见稿》第12条 ， 数据出境评估结果有效期两年 ， 如在有效期内出现本条规定的特定情形 ， 数据处理者需要向监管部门重新申报数据出境安全评估 。 通过事前评估与持续监督“双管齐下” ， 《征求意见稿》建立了全流程、全链条、全周期的数据出境风险防范与化解机制 ， 有助于灵活高效应对数据跨境流动中可能存在的治理难题 ， 提升数据出境安全评估治理效能 。
二是明确应当申报数据出境安全评估的具体情形 。 《征求意见稿》第4条明晰了数据处理者应当申报数据出境安全评估的具体情形 ， 内容涵盖关键信息基础设施运营者、重要数据处理者、处理个人信息达到规定数量的个人信息处理者以及其他数据处理者等 ， 并将规定数量确定为“处理个人信息达到一百万人”或“累计向境外提供超过十万人以上或者一万人以上敏感个人信息” 。 该规定立足个人信息跨境流动的客观风险来源与我国个人信息保护制度的具体要求 ， 契合实践中对个人数据（信息）跨境流动风险防范的现实需求 。 当然 ， 如该条得以施行 ， 仍需遵循《网络安全法》《数据安全法》《个人信息保护法》等上位法的规范 ， 维护法律法规间的统一性与系统性 。
三是明确规定数据出境安全自评估与数据出境安全评估 。 《征求意见稿》规定了数据处理者向境外提供数据满足规定情形时的两类评估义务 ， 即数据出境安全自评估与监管部门数据出境安全评估 。 第5条明确规定了数据出境风险自评估的具体事项 ， 有助于数据处理者全面分析和预测数据安全风险 ， 形成系统的数据出境风险自评估报告 ， 为监管部门进行数据安全评估提供参考 ， 形成政府与企业数据出境安全评估交流的互动机制 。 第8条对监管部门数据出境安全评估的事项进行了细化规定 ， 填补了《网络安全法》《数据安全法》《个人信息保护法》对数据出境安全评估事项的规定空白 。 且第8条规定的数据出境安全评估事项在范围上大于第5条数据出境风险自评估事项 ， 这将对监管部门全方位审查数据出境活动的安全风险程度以及数据处理者相应安全保障措施的适当性 ， 提供更加全面客观的指南 。
四是要求数据处理者与境外接收方订立合同应当充分约定数据安全保护责任 。 境外数据接收方的技术安全能力 ， 处理数据的用途、方式 ， 以及出境数据是否会再转移等因素 ， 均会影响数据保护水平 ， 对数据跨境流动安全产生挑战 。 故在与境外接受方订立合同时 ， 充分约定数据安全保护责任 ， 是强化境外接收方按照我国法律履行数据安全保护义务的重要保障 ， 有助于提供具有约束力的行权条款和争议解决条款 ， 在境外接收方出现违约情形时 ， 便于我国数据出境企业和权益受损的个人依法进行维权 。
同时 ， 数据安全保护责任也是监管部门数据出境安全评估以及重新申报数据出境安全评估的重要内容或影响因素 ， 随着《征求意见稿》对境外接收方数据安全保护责任的规定 ， 数据出境安全将迎来更加系统的安全保障体系 ， 在日趋激烈的国际数据争夺战中 ， 为维护我国数据主权、安全和发展利益提供强有力的法治保障作用 。