安策数据加密保护-数据出境风险自评估要点解析

2022年7月7日，国家互联网信息办公室发布《数据出境安全评估办法》(以下简称《评估办法》)，自2022年9月1日起施行。《评估办法》规定，数据处理人在申请数据出境安全评估前，应进行数据出境风险自我评估。数据出境风险自评是数据处理人申报数据出境评估的必要条件，由数据处理人自行或委托第三方机构进行。因此，了解如何进行高质量的自我评价具有重要意义。

1.数据出境风险自我评估的目标

数据出口风险自我评估的目标包括但不限于：1）数据处理器已经开展并准备开展的数据出口活动的综合识别；2）客观分析可能影响数据出口安全的风险，确保数据出口安全保障能力与评估中识别的风险相适应；3）高质量的数据出口风险自评报告为网络信息部门的数据出口安全评估提供了必要的依据和充分的补充。

2.数据出境风险自我评估的基础

数据出境风险自评估依据文件，包括但不限于《网络安全法》、《数据安全法》、《个人信息保护法》、《数据出境安全评估办法》、《网络数据安全管理条例（征求意见稿）》、《个人信息出境标准合同规定（征求意见稿）》等数据出境相关政策、法规和标准。但是，应该注意的是，信息安全技术 数据出境安全评估指南(后更名为《信息安全技术个人信息出境安全评估指南》)，由于标准内容与现行评估方法不同，不能作为数据出境风险自我评估的依据。

3.数据出境风险自评机构

数据出口风险自我评估可由数据处理器本身或委托第三方组织进行：1）如果数据处理器进行自我评估，评估小组建议覆盖数据出口安全相关人员，如组织数据安全负责人.数据安全人员.个人信息保护人员.业务人员.法律人员等。；2)如果委托第三方机构进行自我评估，评估报告应加盖评估机构公章；3)第三方机构在自我评估过程中了解国家秘密.个人隐私.个人信息.商业秘密.保密的业务信息和其他数据应当依法保密；4)如果选择有外国背景的第三方机构，应考虑数据再次离开或转移风险。

4.数据出境风险自我评估的时机

在申报数据出境安全评估之前，数据处理人应进行自我评估，同时根据《评估办法》的要求，应注意以下几点：

1）《评估办法》要求对已开展的数据出境活动进行整改，并在2023年2月底前申报数据出境安全评估。建议尽快对已开展的数据出境活动进行数据出境风险自我评估，发现不符合本办法的项目应尽快整改，在整改后申报的数据出境评估前再次进行自我评估，审查不符合项，并出具数据出境风险自我评估报告。

2)数据出境安全评估有效期届满前60个工作日，需要重新进行数据出境风险自评估，重新申报数据出境评估。

3)《评估办法》第十四条规定的数据出境目的在有效期内出现.方式.范围.种类.用途.当保存期延长或当地法律环境发生变化影响出境数据安全时，需要重新评估数据出境风险，重新申报数据出境评估。

评估内容对比分

1.风险自评估与安全评估的对比分析

《评价办法》提出坚持事前评价与持续监督相结合.风险自我评估与安全评估相结合的原则，为了便于理解数据出口风险自我评估与数据出口安全评估之间的关系，对两种评估项目进行了比较分析，如下图所示。

2.征求意见版与正式版之间的自评比分析

与2021年10月发布的征求意见稿相比，《评估办法》在自评估部分有一些差异。为了便于理解，将两个版本制作成自评估对照表，并进行简要的差异分析，如下表所示。

根据《评估办法》第五条规定的数据出境安全自评估项目，数据出境风险自评估内容可分为五个方面：出境数据风险评估.数据处理器的安全保障能力评估.海外接收人风险评估.个人信息权益保护评估.法律文件约定的情况评估等。，相关评估点如下图所示。其中，数据安全保障能力可以在数据出口活动中安全.数据安全管理.在数据安全技术评估的基础上，提供数据安全评估或认证作为措施有效性的证明，如数据安全管理认证.数据安全能力成熟度评估（DSMM）等。

数据出境安全风险自评过程主要包括评估准备.数据出境识别.风险评估.评估总结分为四个阶段，每个阶段的主要内容如下图所示。评估准备是自我评估的初始准备阶段，评估准备应在自我评估实施前完成。数据出口识别用于识别数据出口的相关对象，如数据处理器.境外接收方.出境数据.业务系统.数据出境活动等。风险评估主要用于出境数据风险评估.海外接收人数据安全.数据处理器的安全能力.保护个人信息权益.法律文件约定等。.分析与评价。主要用于编制自评报告，根据需要提出改进建议和措施。

版权声明: SafePloy安策利用网络资源获取的信息安全资料加上公司技术人员的理解整理产出的技术交 流文档，如有版权意见，请及时告知安策公司，我们将及时查证纠正错误，谢谢支持。有问题请及时电邮 market@ SafePloy.com

来源：SafePloy安策、安策加密技术部 | 关键词：数据安全  数据库安全  数据出境合规   | 受欢迎指数（）