信息安全技术数据出境安全评价指引-编制说明-全国信息安全

国家标准《信息安全技术关键信息基础设施安全检查评估指南》编制说明一、工作简况1.1任务来源根据《中华人民共和国网络安全法》要求，关键信息基础设施要求在网络安全等级保护制度的基础上，实行重点保护，具体范围和安全保护办法由国务院制定。

网络安全法中明确要求关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，此外规定了国家网信部门应当统筹协调有关部门对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估。

为了落实网络安全法要求，规范关键信息基础设施检测评估相关方法、流程，全国信息安全标准化技术委员会于2016年立项《信息安全技术关键信息基础设施安全检查评估指南》国家标准，2016年7月，中央网信办网络安全协调局下达《<信息安全技术关键信息基础设施安全检查评估指南>国家标准制定》委托任务书，委托中国互联网络信息中心开展该标准的研制工作，并将本项目标识为WG7 组重点标准。

《信息安全技术关键信息基础设施安全检查评估指南》由中国互联网络信息中心牵头，国家计算机网络应急技术处理协调中心，国家信息技术安全研究中心、中国信息安全测评中心，工业和信息化部电子科学技术情报研究所（更名为国家工业信息安全发展研究中心）等单位共同参与起草。

1.2主要工作过程2017年1月至3月，《信息安全技术关键信息基础设施安全检查评估指南》由中国互联网络信息中心牵头，国家计算机网络应急技术处理协调中心，国家信息技术安全研究中心、中国信息安全测评中心，工业和信息化部电子科学技术情报研究所等单位共同参与讨论，讨论研究指南的编制，并形成标准讨论稿，向中央网信办领导汇报标准编制进展，并向全国信息安全标准化技术委员会提交项目申请。

2017年4月，标准通过全国信息安全标准化技术委员会WG7组会议讨论。

2017年4月，本标准获得由全国信息安全标准化技术委员会立项。

《信息安全技术数据出境安全评估指南》编制说明一、任务来源《信息安全技术数据出境安全评估指南》是国家标准化管理委员会批准的信息安全国家标准制定项目，国标计划号为XXX。

本标准为自主制定标准，牵头单位为上海华东电信研究院，参与标准申请单位有工业和信息化部电信研究院、公安部第一研究所、阿里巴巴（北京）软件服务有限公司、北京大学互联网发展研究中心、中国电子技术标准化研究院、中国电子信息产业发展研究院、国家信息技术安全研究中心、深圳市腾讯计算机系统有限公司、阿里云计算有限公司、蚂蚁金服、国信优易数据有限公司等11家单位，归口单位为全国信息安全标准化技术委员会（简称信安标委）。

二、项目的目的与意义数据出境安全评估指南是针对网络运营者开展个人信息和重要数据出境安全自评估，以及国家网信部门、行业主管部门组织开展的个人信息和重要数据出境安全评估的规范指引，指南旨在提供个人信息和重要数据出境的安全评估的流程、要点和方法，指导网络运营者开展数据出境安全评估工作，为国家相关政策法律的落地实施奠定基础，有助于促进数据出境安全评估有序开展，维护国家安全、经济发展，保障社会公共利益、个人隐私安全。

数据出境安全评估指南可以帮助数据出境各方参与主体：●明确数据出境安全评估管理流程●建立数据出境安全风险评估模型●衡量数据出境活动风险程度●判定网络运营者是否可以开展数据出境活动三、主要工作过程《数据出境安全评估指南》国家标准制定项目：（一）立项准备阶段1、2017年1月19日，标准牵头单位组织召开第一次研讨会，明确标准基本定位，研讨完善标准框架；2、2017年2月21日，标准牵头单位组织召开第二次研讨会，明确标准主要研究内容及要求；3、2017年3月，标准牵头单位组织召开第三次研讨会，进一步明确企业需求，深入了解典型企业数据出境场景；4、2017年4月，立项在大数据安全特别工作组获得通过；（二）编制起草阶段1、2017年5月10日，标准编制组召开第一次封闭研讨会，并对标准草案进行修改完善；2、2017年5月25日、26日，标准编制组召开第二次封闭研讨会，并对标准草案进行修改完善；3、2017年6月19日、20日，标准编制组召开第三次封闭研讨会，并对标准草案进行修改完善；4、2017年6月27日，召开专家评审会，收集到对标准草案的修改完善的意见；5、2017年6月28日，召开大数据安全特别工作组会议，同意根据会议意见，对标准文稿修改后，作为征求意见稿提交；6、2017年7月3日、4日，标准编制组召开第四次封闭研讨会，并对标准草案进行修改完善，形成了《信息安全技术数据出境安全评估指南》的征求意见稿。

数据出境安全评估申报指南（第一版）《数据出境安全评估办法》自2022年9月1日起施行。

为指导和帮助数据处理者规范、有序申报数据出境安全评估，特制定本指南。

一、适用范围数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信办向国家网信办申报数据出境安全评估：（一）数据处理者向境外提供重要数据；（二）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；（三）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；（四）国家网信办规定的其他需要申报数据出境安全评估的情形。

以下情形属于数据出境行为：（一）数据处理者将在境内运营中收集和产生的数据传输、存储至境外；（二）数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；（三）国家网信办规定的其他数据出境行为。

二、申报方式及流程数据处理者申报数据出境安全评估，应当通过所在地省级网信办申报数据出境安全评估。

申报方式为送达书面申报材料并附带材料电子版。

省级网信办收到申报材料后，在5个工作日内完成申报材料的完备性查验。

通过完备性查验的，省级网信办将申报材料上报国家网信办；未通过完备性查验的，数据处理者将收到申报退回通知。

国家网信办自收到省级网信办上报申报材料之日起7个工作日内，确定是否受理并书面通知数据处理者。

数据处理者如被告知补充或者更正申报材料，应当及时按照要求补充或者更正材料。

无正当理由不补充或者更正申报材料的，安全评估将会终止。

情况复杂的，数据处理者将被告知评估预计延长的时间。

评估完成后，数据处理者将收到评估结果通知书。

对评估结果无异议的，数据处理者须按照数据出境安全管理相关法律法规和评估结果通知书的有关要求，规范相关数据出境活动；对评估结果有异议的，数据处理者可以在收到评估结果通知书15个工作日内向国家网信办申请复评，复评结果为最终结论。

信息安全技术数据出境安全评估标准随着信息技术的快速发展以及互联网的普及，数据安全问题越来越受到人们的重视。

特别是在跨境数据交换与流转的背景下，数据出境安全评估成为了一项重要的技术和管理工作。

本文将围绕信息安全技术、数据出境安全评估的概念和标准进行探讨，旨在为相关从业人员提供参考和借鉴。

一、信息安全技术的重要性1.1 信息安全概念信息安全是指对信息系统和信息的保护，包括保证信息系统的可靠性、保密性、可用性、完整性和认证性等方面。

信息安全技术是为了保护信息的安全而采取的技术手段和措施，包括加密技术、防火墙、访问控制等。

1.2 信息安全在数据出境中的重要性数据出境涉及到跨国数据流转，如果数据在转移过程中受到攻击、泄露或篡改，将对企业和个人的利益造成重大损失。

在数据出境的过程中，信息安全技术的应用至关重要，可以有效保障数据的安全性，避免信息泄露和风险。

二、数据出境安全评估概念2.1 数据出境安全评估定义数据出境安全评估是指对数据出境过程中的安全风险、隐患和管理措施进行的一种评估工作。

其目的是发现和分析数据出境过程中的安全问题，评估数据出境的安全性，进而提供建议和措施，保证数据出境的安全。

2.2 数据出境安全评估主要内容数据出境安全评估主要包括以下内容：数据出境管理制度、数据传输加密技术、数据出境安全管理措施、数据出境安全保障机制等方面的评估。

评估的重点在于发现数据出境过程中存在的安全隐患，提出改进措施以及制定防范措施。

三、数据出境安全评估标准3.1 国际标准目前，数据出境安全评估领域的国际标准主要由ISO/IEC xxx国际标准和ISO/IEC xxx国际标准等制定。

这些标准主要针对信息安全体系的建立、实施、监督和改进，为数据出境安全评估提供了国际化的指导。

3.2 国家标准我国对于数据出境的安全评估工作也进行了一定的标准化工作，国家标准主要由《信息安全技术数据出境安全评估通用要求》和《信息安全技术数据出境安全评估指南》等相应标准制定。

《数据出境安全评估指南》
《数据出境安全评估指南》是一份针对数据出境的安全评估指南，旨在帮助组织评估和管理在数据出境过程中可能面临的安全风险。

该指南提供了一套方法论和步骤，用于帮助组织全面了解和评估数据出境的风险，并制定相应的控制措施来保护数据的安全。

该指南主要包括以下几个方面的内容：
1. 数据出境流程的梳理：该部分介绍了数据出境的常见流程和相关的关键步骤，帮助组织对数据出境的整个过程有一个清晰的认识。

2. 风险评估方法：该部分介绍了一些常用的风险评估方法，包括定性风险评估和定量风险评估等，用于帮助组织对潜在的安全风险进行评估和分类。

3. 安全控制措施：该部分列举了一些常见的安全控制措施，如访问控制、加密、审计和监控等，帮助组织选择合适的安全控制措施来降低数据出境的安全风险。

4. 法律和合规性要求：该部分介绍了一些涉及数据出境的法律法规和合规要求，帮助组织确保在数据出境过程中遵守相关的法律和规定。

通过使用《数据出境安全评估指南》，组织可以更好地评估和管理数据出境的安全风险，从而保护数据的机密性、完整性和
可用性。

同时，该指南也可以作为一份参考，帮助组织建立适应自身情况的数据出境安全管理策略。

国家互联网信息办公室公布《数据出境安全评估办法》文章属性•【公布机关】国家互联网信息办公室,国家互联网信息办公室,国家互联网信息办公室•【公布日期】2022.07.07•【分类】法规、规章解读正文国家互联网信息办公室公布《数据出境安全评估办法》7月7日，国家互联网信息办公室公布《数据出境安全评估办法》（以下简称《办法》），自2022年9月1日起施行。

国家互联网信息办公室有关负责人表示，出台《办法》旨在落实《网络安全法》、《数据安全法》、《个人信息保护法》的规定，规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动，切实以安全保发展、以发展促安全。

近年来，随着数字经济的蓬勃发展，数据跨境活动日益频繁，数据处理者的数据出境需求快速增长。

明确数据出境安全评估的具体规定，是促进数字经济健康发展、防范化解数据跨境安全风险的需要，是维护国家安全和社会公共利益的需要，是保护个人信息权益的需要。

《办法》规定了数据出境安全评估的范围、条件和程序，为数据出境安全评估工作提供了具体指引。

《办法》明确，数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估适用本办法。

提出数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合等原则。

《办法》规定了应当申报数据出境安全评估的情形，包括数据处理者向境外提供重要数据、关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息以及国家网信部门规定的其他需要申报数据出境安全评估的情形。

《办法》提出了数据出境安全评估的具体要求，规定数据处理者在申报数据出境安全评估前应当开展数据出境风险自评估并明确了重点评估事项。

规定数据处理者在与境外接收方订立的法律文件中明确约定数据安全保护责任义务，在数据出境安全评估有效期内发生影响数据出境安全的情形应当重新申报评估。

数据出境安全的“知”与“行”全球数字经济的发展催生海量的跨境数据流动，已经从个人信息泛化到包括非个人信息的一切数据范围，且在世界网络空间安全论坛中，数据跨境已经成为最重要的话题之一。

数据跨境包括国内的数据出境、国外的数据入境以及第三国的数据过境，今天且先聊一聊我国的数据出境。

我国对于数据出境的监管早在2017年，随着全球竞争格局的变化，我国数据出境的管辖法律法规体系日趋成熟，2022年7月7日正式发布了《数据出境安全评估办法》，使得出境要求日渐清晰明朗，如：出境情形、开展安全评估、签订法律文件、安全技术保障等，有效指导出海组织降低安全风险，提升数据保护整体水平。

数据安全出境的“知”与“行”知红线、行安全，知行合一，保数据安全出境。

一、数据出境安全“知多少”数据出境的定义《信息安全技术数据出境安全评估指南（草案）》中数据出境的定义：将在中华人民共和国境内收集和产生的电子形式的个人信息和重要数据，提供给境外机构、组织、个人的一次性活动或连续性活动。

（注：境外数据经由中华人民共和国中转，未经任何变动或加工处理的情形不属于数据出境。

）哪些行为是数据出境？1、地域转移：数据通过网络传输或物理转移到境外；2、远程访问：在境外通过网络访问境内的数据；3、其他情况：国外机构获取境内数据，例如境内的驻华使馆通过网络传输或者网络访问获取数据。

哪些数据可以出境，哪些不可以？数据处理者在境内收集和产生的个人信息和重要数据，如需出境，需要根据要求进行安全评估，根据评估结果确定是否可以出境。

（法律、行政法规另有规定的，依照其规定。

）1、严禁出境：国家秘密等；2、评估/审查/许可后出境：重要数据、敏感个人信息、大量个人信息、出境管制技术数据等；3、可自由流动：其他类型数据、国际/区域协议明示数据。

二、数据出境安全“如何行”数据安全出境保障做哪些，怎么做？组织可根据自身实际情况和需出境数据，由法务和技术人员进行基础的保障判断，可参考如下保障措施进行数据出境准备：第一步：数据出境安全评估要求确认严格按照国家法律法规要求，在重要数据和个人信息的出境活动之前履行数据出境安全评估责任和义务，并将评估结果报送监管单位；根据《数据出境安全评估办法》，符合以下情形，需要进行安全评估：① 数据处理者向境外提供重要数据；② 关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；③ 自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；④ 国家网信部门规定的其他需要申报数据出境安全评估的情形。

企业数据出境安全评估规则依据与申报指引数据出境不仅关乎国家安全，对于企业服从部门监管、预判经营风险、建立内部合规也至关重要。

自2016年《网络安全法》颁布，国家首次提出数据出境安全评估，将数据出境安全监管工作提上计划和日程，至2022年9月《数据出境安全评估办法》颁布，国家互联网信息办公室发布第一版《数据出境安全评估申报指南》，犹如靴子落地，标志着我国数据出境安全制度初步形成，企业数据出境正式被纳入统一管理范畴，依托企业自主申报数据出境安全评估的方式，国家互联网信息办公室将协同各行业主管部门审查与监管企业数据出境业务，维护数据安全与数据利用的平衡。

《数据出境安全评估申报指南》的出台意味着企业在进行数据运营和数据出境活动时必须考虑在什么情况下会触发出境安全评估机制，在预判可能或必然触发出境安全评估时，企业应当如何开展准备工作、对其数据业务进行合规化管理是十分有必要的。

应对和顺利通过安全评估才能维护其数据出境业务的正常进行。

本文基于相关法律法规，重点结合《数据出境安全评估申报指南》的实务要求，针对企业开展数据安全评估申报关键问题展开逐一梳理，为企业准备数据出境安全评估工作提供一些参考。

一、数据出境企业合规的法律依据《网络安全法》《个人信息保护法》《数据安全法》三部法律奠定了数据出境的法律框架和基础，从法律层面规范了数据出境的合规机制。

《中华人民共和国网络安全法》（“《网络安全法》”）最早提出了对于“关键信息基础设施运营者”（“CIIO”）的数据（无论是个人信息还是重要数据）均有本地化存储和必要情况下跨境传输时的评估义务要求，并授权国家网信部门会同国务院有关部门制定安全评估办法。

随后《数据安全法》和《个人信息保护法》也依次出台并生效，进一步完善了数据出境安全评估的上位法依据，拓展了申报数据出境安全评估的主体范围，即在CIIO基础上加入“处理个人信息达到国家网信部门规定数量的个人信息处理者”。

这两部法律从不同层面和角度规范了数据出境的合规机制，并通过《数据出境安全评估办法》最终落实了需要申报数据出境安全评估的规制对象即“个人信息及重要数据”和适用情形，根据不同情形参考不同上位法。

数据出境安全评估办法
数据出境安全评估办法是指用于评估数据出境过程中的安全风险和保护措施是否符合相关法律法规和标准的方法和规定。

数据出境安全评估办法通常包括以下内容：
1. 风险评估：对数据出境过程中的各个环节进行全面评估，识别可能存在的安全风险和潜在问题。

2. 安全控制要求：根据法律法规和标准要求，明确数据出境的安全控制要求，包括数据加密、访问控制、审计跟踪等。

3. 安全措施评估：评估组织已经采取的安全措施是否足够，能够满足数据出境安全的要求，包括物理安全、技术安全、管理安全等方面。

4. 安全风险评估：评估出境数据可能受到的各种安全风险，包括数据泄露、数据被篡改、数据遭到未授权访问等。

5. 隐私保护评估：评估数据出境过程中是否存在侵犯个人隐私权的风险，并提出相应的保护措施。

6. 合规性评估：评估组织是否符合相关法律法规和标准的要求，包括数据保护法规、跨境数据转移要求等。

7. 安全报告：根据评估结果，生成数据出境安全评估报告，明确评估结论和建议，为组织提供风险控制和改进意见。

数据出境安全评估办法的目的是帮助组织识别和解决数据出境过程中的安全隐患，确保数据出境的合规性和安全性。

数据出境安全评估办法解读2022年7月7日，国家互联网信息办公室（以下简称“网信办”）正式发布《数据出境安全评估办法》（以下简称《评估办法》），并将于2022年9月1日起施行。

《数据出境安全评估办法》的出台，落实了《网络安全法》《数据安全法》和《个人信息保护法》中关于数据出境安全管理的相关规定，使我国数据安全、个人信息保护方面法律体系进一步完善，标志着数据出境安全评估制度的正式落地。

数据出境安全评估制度的沿革2016年11月7日发布的《网络安全法》（2017年6月1日起施行）第三十七条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。

因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

”这一规定确立了我国的数据出境安全评估制度。

后来，网信办分别于2017年4月11日和2019年6月13日就数据出境安全评估先后发布两个办法的征求意见稿，即《个人信息和重要数据出境安全评估办法（征求意见稿）》和《个人信息出境安全评估办法（征求意见稿）》。

2021年6月10日发布的《数据安全法》（2021年9月1日起施行）第三十一条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。

”2021年8月20日发布的《个人信息保护法》（2021年11月1日起施行）第三十六条、第三十八条、第四十条都规定了个人信息跨境提供的安全评估制度。

《数据安全法》和《个人信息保护法》分别从重要数据和个人信息角度完成了数据出境安全管理顶层框架的搭建。

2021年10月29日网信办发布了《数据出境安全评估办法（征求意见稿）》，向社会公开征求意见后，2022年5月19日国家互联网信息办公室2022年第10次室务会议审议通过《数据出境安全评估办法》，2022年7月7日公布，2022年9月1日起施行，自此确立了数据出境评估的常态化机制。

信息出境安全评估办法
信息出境安全评估办法是指对国内企业、机构等向境外传输信息时的安全风险进行评估的方法和规定。

其目的是确保在信息出境过程中能够保护国家安全、维护社会利益，并规范信息出境行为。

信息出境安全评估办法通常包括以下内容：
1. 安全评估的范围：确定需要进行评估的信息类别和出境方式，例如涉及国家安全、经济安全、军事安全等重要信息的出境。

2. 安全评估的流程：明确评估的步骤和程序，包括申请评估、信息收集、风险分析、评估报告撰写等。

3. 安全评估的要求：规定评估所需的资质和条件，如评估机构需要获得相应的资质或认证。

4. 信息安全风险防范措施：要求对评估结果中发现的安全风险进行详细的分析，并提出相应的防范措施和建议。

5. 监管和管理：明确相关部门的监管职责和管理措施，对未经评估或超出评估范围的信息出境行为进行处罚。

信息出境安全评估办法的实施对于保护国家信息安全、防范境外信息渗透具有重要意义。

同时，它也为企业和机构在信息出境过程中提供了明确的指导和规定，有助于降低信息出境带来的安全风险，维护国家和个人的利益。

数据出境安全评估报告
根据对数据出境安全情况的评估，以下是数据出境安全评估报告的主要内容。

1. 数据分类和敏感程度评估：对企业数据进行分类，确定每种数据的敏感程度和对安全的要求。

2. 数据出境流程分析：对数据出境的各个环节和流程进行分析，包括数据的产生、处理、存储和传输等环节，确定数据在这些环节中的安全风险。

3. 数据出境风险评估：评估数据出境过程中存在的各种风险，包括数据泄露、数据篡改、数据滥用等风险，并对每种风险进行定量评估和等级划分。

4. 数据出境安全控制措施评估：评估企业已经实施的数据出境安全控制措施的有效性和完整性，包括网络安全防护、身份认证、数据加密、访问控制等措施。

5. 数据出境合规性评估：评估企业的数据出境行为是否符合法律、法规和合同约束，包括数据保护法、隐私保护法等相关法律法规的要求。

6. 数据出境应急预案评估：评估企业是否具备应对数据出境安全事件的应急预案和响应能力，包括数据泄露事件的处理流程、应急响应团队的组建等。

7. 数据出境合作伙伴评估：评估企业与数据出境合作伙伴之间的安全合作，包括合作伙伴的安全管理制度、安全技术措施等。

8. 数据出境安全培训评估：评估企业对员工进行数据出境安全培训的效果和覆盖率。

9. 数据出境安全风险治理建议：根据评估结果提出数据出境安全风险治理的建议和改进措施，包括加强数据出境安全控制措施、完善数据出境合规性管理等。

10. 数据出境安全评估报告总结：对整个评估过程和评估结果
进行总结，提供报告的主要结论和建议。

根据以上内容，数据出境安全评估报告可以帮助企业识别并解决数据出境安全方面存在的问题，提升数据的出境安全性，并保护企业的利益和声誉。

《信息安全技术数据出境安全评估指南》编制说明一、任务来源《信息安全技术数据出境安全评估指南》是国家标准化管理委员会批准的信息安全国家标准制定项目，国标计划号为XXX。

本标准为自主制定标准，牵头单位为上海华东电信研究院，参与标准申请单位有工业和信息化部电信研究院、公安部第一研究所、阿里巴巴（北京）软件服务有限公司、北京大学互联网发展研究中心、中国电子技术标准化研究院、中国电子信息产业发展研究院、国家信息技术安全研究中心、深圳市腾讯计算机系统有限公司、阿里云计算有限公司、蚂蚁金服、国信优易数据有限公司等11家单位，归口单位为全国信息安全标准化技术委员会（简称信安标委）。

二、项目的目的与意义数据出境安全评估指南是针对网络运营者开展个人信息和重要数据出境安全自评估，以及国家网信部门、行业主管部门组织开展的个人信息和重要数据出境安全评估的规范指引，指南旨在提供个人信息和重要数据出境的安全评估的流程、要点和方法，指导网络运营者开展数据出境安全评估工作，为国家相关政策法律的落地实施奠定基础，有助于促进数据出境安全评估有序开展，维护国家安全、经济发展，保障社会公共利益、个人隐私安全。

数据出境安全评估指南可以帮助数据出境各方参与主体：●明确数据出境安全评估管理流程●建立数据出境安全风险评估模型●衡量数据出境活动风险程度●判定网络运营者是否可以开展数据出境活动三、主要工作过程《数据出境安全评估指南》国家标准制定项目：（一）立项准备阶段1、2017年1月19日，标准牵头单位组织召开第一次研讨会，明确标准基本定位，研讨完善标准框架；2、2017年2月21日，标准牵头单位组织召开第二次研讨会，明确标准主要研究内容及要求；3、2017年3月，标准牵头单位组织召开第三次研讨会，进一步明确企业需求，深入了解典型企业数据出境场景；4、2017年4月，立项在大数据安全特别工作组获得通过；（二）编制起草阶段1、2017年5月10日，标准编制组召开第一次封闭研讨会，并对标准草案进行修改完善；2、2017年5月25日、26日，标准编制组召开第二次封闭研讨会，并对标准草案进行修改完善；3、2017年6月19日、20日，标准编制组召开第三次封闭研讨会，并对标准草案进行修改完善；4、2017年6月27日，召开专家评审会，收集到对标准草案的修改完善的意见；5、2017年6月28日，召开大数据安全特别工作组会议，同意根据会议意见，对标准文稿修改后，作为征求意见稿提交；6、2017年7月3日、4日，标准编制组召开第四次封闭研讨会，并对标准草案进行修改完善，形成了《信息安全技术数据出境安全评估指南》的征求意见稿。

数据出境安全评估指南随着全球化的发展，数据出境已经成为企业日常运营的一部分。

然而，数据出境的安全性一直是企业面临的重要挑战。

为了确保数据的安全性和隐私性，在进行数据出境之前，企业应该进行数据出境安全评估。

下面是一个数据出境安全评估指南，以帮助企业确保数据出境的安全性。

首先，企业需要对数据出境的目的和需要进行明确的规划。

企业需要明确数据出境的目的是什么，有哪些数据需要出境，以及出境数据的频率和数量。

这样可以帮助企业更好地了解其数据出境的需求和预期结果。

其次，企业需要评估目的地国家或地区的数据保护法律和隐私保护措施。

不同国家和地区的数据保护法律和隐私保护措施可能存在差异，企业需要了解目的地国家或地区的法律要求和数据保护措施，以确保数据在出境过程中受到适当的保护。

接下来，企业需要评估数据出境的风险。

风险评估可以帮助企业确定潜在的安全威胁和漏洞，并采取相应的安全措施来减轻风险。

风险评估应该包括对数据的敏感性和重要性的评估，以及对可能的威胁和漏洞的分析。

然后，企业需要考虑数据出境的安全措施。

安全措施包括物理安全、技术安全和组织安全等方面。

物理安全措施可以包括访问控制和监控措施，以防止未经授权的人员访问数据。

技术安全措施可以包括加密、身份验证和数据备份等，以确保数据的机密性、完整性和可用性。

组织安全措施可以包括制定和执行数据保护政策和程序，培训员工和建立内部审计机制等。

最后，企业还需考虑数据出境后的监控和审计。

企业应该建立有效的监控和审计机制，定期检查数据出境的情况，并确保数据出境的合规性和安全性。

总结而言，数据出境安全评估是保护企业数据安全和隐私的重要步骤。

通过遵循上述指南，企业可以有效评估数据出境的安全性，并采取相应的安全措施来减轻风险。

只有确保数据出境的安全性，企业才能更好地利用数据，推动业务的发展。

数据出境安全评估办法第一条为了规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规，制定本办法。

第二条数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估，适用本办法。

法律、行政法规另有规定的，依照其规定。

第三条数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合，防范数据出境安全风险，保障数据依法有序自由流动。

第四条数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：（一）数据处理者向境外提供重要数据；（二）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；（三）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；（四）国家网信部门规定的其他需要申报数据出境安全评估的情形。

第五条数据处理者在申报数据出境安全评估前，应当开展数据出境风险自评估，重点评估以下事项：（一）数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；（二）出境数据的规模、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；（三）境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全；（四）数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险，个人信息权益维护的渠道是否通畅等；（五）与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等（以下统称法律文件）是否充分约定了数据安全保护责任义务；（六）其他可能影响数据出境安全的事项。

第六条申报数据出境安全评估，应当提交以下材料：（一）申报书；（二）数据出境风险自评估报告；（三）数据处理者与境外接收方拟订立的法律文件；（四）安全评估工作需要的其他材料。

数据出境安全评估方法
数据出境安全评估是指对组织内的数据进行出境前的风险评估，主要关注数据泄露、丢失、被篡改等安全问题，以制定出境方案和保障出境数据的安全。

下面介绍一种数据出境安全评估方法。

一、审查数据种类和级别
数据种类和级别不同，涉及的风险也不同。

因此需要针对不同的数据类型和级别进行评估，制定出不同的出境方案和安全保障措施。

具体包括以下几个方面：
1. 数据种类：包括个人身份信息、财务信息、公司业务资料等。

个人身份信息和财务信息属于敏感信息，容易引起黑客等攻击，需要特别关注。

2. 数据级别：包括机密、秘密、绝密等级别，需要依据其级别分别制定出不同安全保护措施。

二、审查数据出境目的和流向
数据出境目的和流向是数据出境的关键，需要评估出境地的信誉度和法律条款，以及目标国家的保护措施和申请条件等。

具体需要考虑以下几个方面：
1. 评估出境国家：需要对出境国家的监管机构和法律条款进行评估，了解该国家对数据的管理和保护措施，确保数据的安全。

2. 评估出境流程：需要评估数据出境前的审批流程、安全措施和保障措施，确保数据出境的合法性和安全性。

三、审查数据安全控制措施
数据安全控制措施是数据出境的核心步骤，需要全面评估各种数据安全控制措施，制定出最佳出境方案，确保数据安全。

具体需要考虑以下几个方面：
1. 安全控制技术：需要评估数据加密技术、访问控制技术和认证技术等安全控制技术，以确保数据的安全。

3. 数据备份管理：需要评估备份数据的存储和管理方式，以确保数据的完整性和安全性。

数据出境安全评估公告
尊敬的用户：
为了保障您的个人信息安全，我们进行了数据出境安全评估。

经过评估，我们确认您的个人数据将会出境，并提前告知您相关事项如下：
1. 出境目的地：我们会将您的个人数据出境至位于（目的地国家/地区）的服务器或数据中心。

2. 数据类型：出境的个人数据类型包括但不限于您的姓名、联系方式、身份证号码、银行账户等个人敏感信息。

3. 出境方式：我们会通过加密通道或其他安全手段将个人数据传输至目的地国家/地区。

4. 目的地国家/地区法律法规：目的地国家/地区的法律法规可能与您所在国家/地区的规定不同，导致对个人数据的保护程度可能不一样。

5. 风险评估：我们已经对目的地国家/地区的信息安全环境进行评估，确保个人数据的安全性和保密性。

6. 个人数据使用用途：个人数据出境后，将根据法律法规和合同约定，用于提供产品或服务、进行市场调研、分析统计等合法用途。

7. 共享与披露：个人数据可能会与合作伙伴或第三方服务提供商共享，以实现服务功能。

我们会与这些合作伙伴签署保密协议，以确保数据的安全性。

您的个人数据出境将在您同意的基础上进行。

若您对此有任何疑问或担忧，请随时联系我们。

同时，请您仔细阅读并理解相关协议和政策，以保障您的权益和数据安全。

感谢您对我们的信任和支持！
此公告自发布之日起生效。

日期：（公告发布日期）。

数据出境安全评估落地
数据出境安全评估的落地是指将数据出境安全评估的结果实施和应用的过程。

具体来说，数据出境安全评估落地需要经过以下步骤：
1. 确定评估的目标和范围：确定需要评估的数据出境情况，包括出境数据的种类和数量，以及出境的目的地和方式等。

2. 收集相关信息：收集与数据出境相关的信息，包括数据的敏感程度、出境的风险和安全要求等。

3. 进行风险评估：根据收集到的信息，对数据出境的风险进行评估，包括出境目的地的国家政治、经济和法律环境等方面的风险。

4. 制定安全策略：根据风险评估的结果，制定相应的数据出境安全策略，包括控制数据出境的方式和条件，加强数据加密和防护措施等。

5. 实施控制措施：根据安全策略，实施相应的控制措施，包括限制数据出境的权限，加强数据的加密和防护等。

6. 监控和审计：建立监控和审计机制，对数据出境的情况进行实时监控和定期审计，发现并及时应对异常情况。

7. 培训和意识提升：加强员工的安全意识培训，提升其对数据出境安全的重视和防范意识。

8. 定期评估和改进：定期对数据出境安全控制措施进行评估，发现问题并及时改进，以提高数据出境安全性。

通过以上步骤的实施，数据出境安全评估的结果可以得到有效的落地，保障数据出境的安全。