五是明确重新申报数据出境安全评估的情形 。 实践中数据出境安全保护环境复杂多变 ， 譬如 ， 数据出境目的、方式、范围变化 ， 境外接受方改变数据用途、使用方式 ， 境外接收方所在国家或地区法律环境变化 ， 数据出境合同变更等因素 ， 均会从实质上改变数据出境安全环境 。 根据《征求意见稿》第20条对重新申报数据出境安全评估的规定 ， 数据出境评估结果有效期两年 ， 除非出现本条规定的特定情形 ， 否则无需重新申报数据出境安全评估 。 作为数据出境评估结果有效期制度的重要组成部分 ， 重新申报规定在保持数据出境安全稳定性的同时 ， 有助于灵活应对数据出境安全保护环境变化 ， 实现全场景、全链条、全周期防范数据出境安全风险 。
保障数据出境安全需多措并举
数据的价值在于流动 ， 只有在持续高质量的流动中才能充分发挥和挖掘数据价值 ， 最大效能释放数据红利 。 作为数据出境安全评估的重要价值目标之一 ， 《征求意见稿》第3条明确指出“保障数据依法有序自由流动” ， 然而 ， 数据流动本身便意味着风险存在 ， 在促进数据自由流动的同时 ， 也应妥善应对和防范数据出境安全风险 ， 实现数据流动与数据保护的平衡 。 故立足于我国数据出境流动治理的现实情况 ， 建议多措并举保障数据出境安全 ， 维护我国在全球数据经济活动中的合法权益 。
第一 ， 在制度建构层面 ， 根据《数据安全法》《信息安全技术数据出境安全评估指南（征求意见稿）》等法律、国家标准的规定 ， 尽快建立数据分类分级制度 。 根据数据在经济社会发展中的重要程度 ， 以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用 ， 对国家安全、公共利益或者个人、组织合法权益造成的危害程度 ， 对数据实行分类分级保护 。 对不同安全层级的数据采取不同层次的保护水平 ， 降低数据出境对国家安全、社会公共利益的影响 ， 最大限度避免数据安全事件的发生 。
第二 ， 在国际合作层面 ， 加强我国在数据跨境流动治理领域的国际合作 。 一方面 ， 加紧推进国际合作渠道尤其是区域性合作渠道的建立 ， 9月16日 ， 中国正式申请加入《全面与进步跨太平洋伙伴关系协定》（CPTPP） ， CPTPP针对互联网规则和数字经济设定了较高标准 ， 其中涉及数据跨境流动与数据本地化存储等问题 ， 在正式加入后可能成为沟通我国与世界各国数据合作的纽带；另一方面 ， 可以尝试将国际协定与国内治理进行衔接 ， 率先与已经构建起良好协作关系的国家或地区进行数据跨境流通的先行先试 ， 逐渐推动国内治理机制与国际规则的双向交互发展 。
第三 ， 在监管层面 ， 完善数据跨境流动行业监管体系 ， 建立数据安全监管平台 。 当前 ， 数据安全风险更多地来源于数据运行周期的不可控性 ， 数据安全风险存在于数据收集、存储、分析、加工、共享到销毁的每一环节 。 故有必要借助数据交易中心的建设 ， 建立数据安全监管平台 ， 做到对数据跨境流动全周期监控和实时预警 ， 维护市场交易稳定与安全 ， 推动数据市场健康发展 。
第四 ， 在行业自律和企业合规层面 ， 切实发挥行业协会与企业的积极性与能动性 ， 减轻政府对数据跨境流动风险审查的压力 。 在行业自律方面 ， 应充分发挥行业协会自身优势 ， 积极参与到维护数据安全、促进数据竞争的治理中 ， 推动建立行业内部惩戒机制、健全行业自律规则、完善数据跨境流动规范 ， 形成公平有序、开放竞争、安全可靠的数据跨境流动治理行业标准 。
在企业合规方面 ， 除积极引导企业开展合规工作外 ， 还应建设企业合规的新工具 ， 譬如 ， 构建企业资质认证制度 ， 对企业的数据保护能力及专门从事数据跨境传递业务的水平等资质进行考核评定 ， 做好事前资质审查 ， 避免等待审查、重复审查的情况出现 。 同时 ， 针对数据出境不可逆的特性 ， 企业应充分重视境外合规工作 ， 通过加强与高校、科研机构的深入合作 ， 准确把握境外接收方所在国家或者地区的数据治理法律制度 ， 灵活应对域外法律环境的变化 ， 采取有效措施避免或降低域外相应制度对我国数据利益的不当影响 。