2021年10月29日，网信办发布了《数据出境安全评估办法（征求意见稿）》（“本办法”），作为《网络安全法》《数据安全法》《个人信息保护法》的配套规则。这不是第一次，甚至不是第二次网信部门就数据出境的规则征求意见，在2017年4月曾发布过《个人信息和重要数据出境安全评估办法（征求意见稿）》，2019年6月再度发布《个人信息出境安全评估办法（征求意见稿）》。

　　与之前不同，此次的《数据出境安全评估办法（征求意见稿）》是在《网络安全法》《数据安全法》《个人信息保护法》尘埃落定的基础上征求意见。

　　虽然征求意见稿的发布让数据出境规则稍稍清晰，但仍然有大量内容处于迷雾之中。

　　一、境外直接处理

　　《数据出境安全评估办法（征求意见稿）》的立法以境内处理者为核心，需要履行自评估、申报等多项义务。但如果是境外主体直接收集、使用境内数据，则完全不受本办法的规制。境外直接处理主要是依据《个人信息保护法》第53条：“境外的个人信息处理者，应当在中华人民共和国境内设立专门机构或者指定代表，负责处理个人信息保护相关事务，并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。”看上去只是需要委托代表并报送即可，比起安全评估要容易得多。

　　数据出境安全评估的“抓手”是将数据传输至境外的数据处理者，如果由境外主体面向境内自然人收集，那么境内的自然人显然不可能去进行数据出境的评估，那么进而导致数据出境安全评估无从下手。

　　那么这样的一个可能后果是跨国企业即使在境内存在数据处理者，也会通过法律与IT架构的安排，让境外主体直接处理数据、境内主体完全与数据隔离，履行报送义务即可，完全规避掉安全评估的各项义务。

　　如果实践中出现此种“漏洞”，那么无疑会被跨国企业所利用，进而导致监管部门可能会进一步要求如果有境内实体，海外实体不得直接收集消费者个人信息，给该制度打上补丁。

　　二、跨境评估与境外报送

　　另一个《数据出境安全评估办法（征求意见稿）》未解决的问题是，当数据出境安全评估完成后，境外的接收方是否还需要履行向中国监管部门的报送义务，在境内设立专门机构或任命代表。因为在理论上，境外数据接收方也同样属于《个人信息保护法》第3条第2款适用范围规定的情形之一：

　　以向境内自然人提供产品或者服务为目的；

　　分析、评估境内自然人的行为；

　　法律、行政法规规定的其他情形。

　　在《数据出境安全评估办法（征求意见稿）》中对评估事项的罗列，并没有要求境外接收方提供境内专门机构或代表的信息。我不确定这是意味着数据接收方无需履行报送与境内任命的义务，或是未来会新设接收方境内任命的制度或申报入口。

　　三、杂项与猜想

　　申报对象：目前来看，评估办法是计划以场景进行划分，企业如果数据出境场景复杂，需要多次申报以覆盖不同场景。即申报的门槛是根据主体来界定，但只要出现新的场景就可能需要申报。

　　申报书：申报书可能是制式的，会由网信部门提供下载或使用在线系统。

　　合同之一：审查需要提交“数据处理者与境外接收方拟订立的合同或者其他具有法律效力的文件等”，但并不清楚是仅需要提供与数据处理相关的内容（附件），还是需要提供完整的合同。如果提交根据《个人信息保护法》第38条国家网信部门制定的标准合同，不确定能否达到合同提交的要求。

　　合同之二：在一些场景下，比如跨国企业内部员工个人信息出境（海外统一管理），可能不存在海外总部与中国境内实体之间的数据处理协议，可能需要提交包含《数据出境安全评估办法（征求意见稿）》第9条的规章制度。

　　合同之三：提交的合同或许是需要完成签署的版本，没有签署的合同模板可能不会被受理。但数据出境安全评估存在不通过的可能，可能需要在合同中注明此合同须在通过数据出境安全评估后方可生效，以避免因为没有通过而造成损失。

　　申诉：不确定数据出境安全评估是否可以申请行政复议或行政诉讼。在《数据安全法》中，明确了数据安全审查是最终决定，因此无法申请行政复议或行政诉讼。数据出境安全评估的效力并不确定，但大概率不会有救济措施。

　　网络安全审查：网络安全审查与数据出境安全评估是两套独立的制度，但可能会同时触发，如关键信息基础设施运营者采购海外具有数据收集功能的IT设备，就需要同时完成审查和安全评估。

　　策略：可能会有企业为规避数据出境安全评估，设立不同实体分别处理不同场景的数据，比如在集团内，公司A负责集团人事数据、公司B负责消费者数据、公司C负责患者敏感个人信息、公司D负责关键信息基础设施运营，互相之间实现隔离数据。