10月29日，国家互联网信息办公室发布了《数据出境安全评估办法（征求意见稿）》(以下简称《征求意见稿》)。意见稿提出，数据出境安全评价坚持事先评价与持续监督相结合、风险自我评价与安全评价相结合、防止数据出境安全风险、确保依法有序自由流动。

根据《征求意见稿》，如果数据处理者向海外提供数据，如果符合以下情况之一，则必须通过当地互联网通信公司向国家互联网通信部门申报数据出境安全评估：

包括主要信息基础设施运营者收集和生成的个人信息和重要数据。出国数据包含重要数据。个人信息达一百万人的个人信息处理程序向海外提供个人信息。累计提供海外10万人以上的个人信息或1万人以上的敏感个人信息。国家网申部门规定的其他数据出境安全评价需要申报的情况。

根据《征求意见稿》，数据处理程序在向海外提供数据之前，必须提前进行数据出境风险自我评估。例如，数据出境及海外收件人处理数据的目的、范围、方法等的合法性、正当性、必要性等。出国数据的数量、范围、类型、敏感数据发送器的管理和技术措施、能力等是否能预防数据泄露、损坏等风险，海外接收人承诺的责任义务等。

《征求意见稿》还指出，数据出境安全评估重点评估数据出境活动对国家安全、公共利益、个人或组织合法权益可能造成的风险。例如，出国数据的数量、范围、种类、敏感性、出国和出国后泄露、篡改、损失、破坏、转移或非法获取、非法利用等危险数据的安全性和个人信息权益能否得到充分有效的保障，符合中国法律、行政法规和部门规定的情况等。

《征求意见稿》还指出，数据处理程序和海外收件人之间的合同充分承诺了数据安全责任义务，包括但不限于数据离境的目的、方法和数据范围、海外收件人处理数据的用途、方法等。在境外数据保留地点、期限和保留期限、协议目的或合同结束后出国数据处理方法数据泄露等风险发生时，做好应急处理，确保个人保护个人信息权益的畅通渠道等。

总之，《征求意见稿》明确要求数据出境安全评价结合事先评价和持续监督的结合、风险自我评价和安全评价，防止数据出境安全风险，确保数据依法自由流动。文/本报记者熊永琪

资料来源：北京青年报