國家互聯網信息辦公室7月7日公布《數據出境安全評估辦法》（以下簡稱《辦法》），自2022年9月1日起施行。較之征求意見稿，我們發現，《辦法》表述更到位細膩，細則詮釋也更為清楚。那么，《辦法》為我們的數據出境設置了幾道安全閥？數據出境有哪些需要注意的問題？

作為個人信息安全規范、數據出境安全評估指南等國家標準的起草組成員，同盾科技總法律顧問兼安全負責人趙冉冉在接受本報記者采訪時表示，5年來，安全評估的主旨和根本思路一脈相承，突出強調了國內國際規則的普遍兼容。

對比征求意見稿，趙冉冉表示，“自上年1月1日”這一“最后時刻”的變化，為申報安全評估的個人信息出境規模積累設定了非常明確的時間節點。“個人信息數量的計算一直以來都是難題。有些此類計算是以個人信息的條數作為單位的，但什么才算作‘一條個人信息’本身就存在很大爭議，導致計算結果存在很大的不確定性。《辦法》使用個人信息主體數量作為單位，這個單位定義清晰，計算結果統一；與此同時，《辦法》還進一步明確了累計周期，這樣企業就可以精確識別出哪一時段的數據需要申報安全評估。例如很多跨國企業服務器設在境外的辦公、人力、郵件等系統，只要在連續兩個公歷年期間內所傳輸出境的數據相關個人信息主體數量在新規所規定的門檻之下，就可以確定為不必進行安全評估申報。”趙冉冉這樣說。

與此同時，《辦法》特別強調了“自2022年9月1日起施行。本辦法施行前已經開展的數據出境活動，不符合本辦法規定的，應當自本辦法施行之日起6個月內完成整改”。對此趙冉冉表示，6個月的整改期保障了已有業務的連續性，也給予企業充分時間進行業務調整，防止不必要的重要數據和過量個人信息出境。

另外，《辦法》新增條款中包括，“安全評估過程中，發現數據處理者提交的申報材料不符合要求的，國家網信部門可以要求其補充或者更正。數據處理者無正當理由不補充或者更正的，國家網信部門可以終止安全評估。數據處理者對所提交材料的真實性負責，故意提交虛假材料的，按照評估不通過處理，并依法追究相應法律責任”。

“從實際操作角度說這項工作完成起來并不容易，因為如果是境內業務與境外業務的關聯比較單一的企業，我們尚可以通過問卷的方式，根據場景、目的逐項梳理數據出境情況；如是業務場景較為復雜的全球化企業，則更應借助技術手段識別數據的跨境傳輸，以避免遺漏。”對此，趙冉冉這樣說。

談及在數據出境有限放開背景下，居民個人、企業或者其他產生數據的機構如何維護自身信息安全，趙冉冉建議，企業機構應建立起覆蓋全生命周期的數據安全治理體系，明確分級管控的安全防護手段，提升企業數據安全評估能力，通過隱私計算、加密算法等技術實現“數據可用不可見”，滿足當前國家、行業對數據安全的建設要求；個人用戶在享受數字技術便利的同時，也要不斷提升防范意識，提升自身的數字素養與技能水平。