以下文章来源于网络安全应急技术国家工程实验室。

关于网络安全应急技术国家工程实验室：

网络安全应急技术国家工程实验室是由国家互联网应急中心运营的国家级实验室。实验室致力于物联网安全领域的基础理论研究、关键技术研发与实验验证，并为国家关键基础设施的物联网建设和运行提供安全保障。

2022年06月30日，国家互联网信息办公室（“国家网信办”）发布了《个人信息出境标准合同规定（征求意见稿）》（“标准合同规定”）。这是继去年10月29日发布的《数据出境安全评估办法（征求意见稿）》（“评估办法”）之后，国家网信办为了落实《个人信息保护法》（“个保法”）第三十八条项下三条个人信息出境路径（即安全评估、认证、标准合同）而推出的第二个具体规定，构成我国数据出境安全管理制度一个重要组成部分。

2022年7月7日，国家互联网信息办公室正式发布《数据出境安全评估办法》（以下简称《评估办法》），标志着《网络安全法》首次确立的数据出境安全评估制度正式落地，也落实了《数据安全法》和《个人信息保护法》中有关数据出境安全管理的规定。

随着全球化与数字经济的发展，数据作为具有极大经济价值的生产要素，在国际间的流动越来越频繁，数量呈逐年增长趋势。然而，数据跨境的无序流动不仅会给数据主体和数据安全带来风险，还关乎国家主权和安全、社会公共利益。《评估办法》将作为我国数据跨境流动安全管理制度中尤为关键的一环，承担起保障数字经济健康有序发展、防范数据跨境传输和境外汇聚风险的重要任务。

一、五年磨一剑，瓜熟终蒂落

自《网络安全法》于2017年6月1日实施以来，国家互联网信息办公室分别于2017年和2019年就数据出境安全评估先后尝试出台过两个办法的征求意见稿，即《个人信息和重要数据出境安全评估办法（征求意见稿）》和《个人信息出境安全评估办法（征求意见稿）》（以下简称《旧办法》），但因当时《数据安全法》和《个人信息保护法》还处在起草过程中，上述《旧办法》并未正式实施。

2021年发布并实施的《数据安全法》和《个人信息保护法》分别从重要数据和个人信息的角度完成了数据出境安全管理制度顶层框架的搭建，而同年发布的《汽车数据安全管理若干规定（试行）》、《网络安全审查办法》修订、《网络数据安全管理条例（征求意见稿）》等则从不同方面规范数据出境活动。在这个大背景下，国家网信部门在前期工作经验基础上，经过不断打磨完善，于2021年10月29日出台了《数据出境安全评估办法（征求意见稿）》。在广泛听取社会各界意见的基础上，2022年7月7日，《评估办法》正式颁布，并于9月1日正式实施。

历经五年的反复论证研究以及从《旧办法》立法尝试中汲取的经验，《评估办法》搭建了一套更加成熟和完备的数据出境安全评估管理体系，在概念和制度建设方面与上位法及其他涉及数据跨境流动的法律文件形成良好的衔接。

二、诸多监管模式创新，为全球数据跨境流动治理贡献中国智慧

世界上超过90%的国家对数据跨境流动进行不同程度的管控。因该领域涉及隐私保护、数据主权、国家安全、经济发展等诸多复杂的议题，各国政府和国际组织在设计数据跨境流动的规制方案时面临巨大挑战，试图在各种利益平衡中找到一个符合自身政策诉求且行之有效的管理路径，例如，印度、俄罗斯等国采取较为严苛的规制手段，而加拿大、新加坡等国的数据出境机制则相对宽松。

欧盟和美国作为世界领先的两大数字经济体通过其分散的立法努力来管控数据的跨境流动：欧盟利用《通用数据保护条例》（GDPR）中的“充分性认定+适当性保障措施”来确保个人数据的保护水平被传输到第三国后不会降低，在其《数据法》（Data Act）草案中对非个人数据向境外传输进行限制；美国则通过《外国投资风险评估现代化法案》（FIRRMA）扩大美国外国投资委员会(CFIUS)的审查权限来限制美国数据流向非美国人的控制之手。

相比较而言，《评估办法》在制度设计方面则具有诸多创新之处。

1.《评估办法》将个人信息和非个人信息（即重要数据）的出境监管整合到一个审查机制下，且交由一个部门（即国家网信部门）统一协调组织相关工作。这将有效避免分散的规则安排和行政分工可能带来的管理漏洞，有利于统一评估尺度。

2.对于个人信息，《评估办法