中新网北京7月12日电 (张吾文 张素)数据出境安全评估办法(下称《办法》)日前发布，将从今年9月1日施行，其中明确，“本办法施行前已经开展的数据出境活动，不符合本办法规定的，应当自本办法施行之日起6个月内完成整改”。

　　同盾科技总法律顾问兼安全负责人赵冉冉曾参与个人信息安全规范、数据出境安全评估指南等标准的起草。他在解读《办法》时首先表示，安全评估和国际数据出境规则普遍兼容，并且国际经验对企业落地安全评估落地提供了借鉴。

　　《办法》曾三次征求意见。有媒体对比本次出台的《办法》和征求意见稿发现，在申报数据出境安全评估情形中新增“自上年1月1日起”。

　　“为申报安全评估的个人信息出境规模积累设定了非常明确的时间节点。”赵冉冉分析说，新规使用个人信息主体数量作为单位，定义清晰且计算结果统一。此次发布稿进一步明确了累计的周期，“企业就可以非常精确地识别出哪些需要申报安全评估”。

　　对于长达半年的“整改期”，赵冉冉认为，这保障了已有业务的连续性，避免一些重要跨境服务被打断。“通过6个月的过渡，一方面可以尽快完成安全评估，另一方面也有时间对业务进行调整，避免不必要的重要数据和过量个人信息出境。”他说。

　　外界同时注意到，《办法》将“合同”扩大到“法律文件”。赵冉冉表示，这在一定程度上减轻实现新规要求的难度，扩大可被安全评估纳入评估范围的材料类型，也能解决一些诸如科研机构合作等一般没有签订合同的数据出境场景的评估问题。

　　此外，《办法》进一步完善安全评估申报的流程，使申报流程的时间节点、顺序等更加清晰及符合逻辑。“特别是加入了复评程序，为企业侧提出不同意见提供了一条可能的渠道。”赵冉冉说。

　　他进一步分析称，根据贯穿于各个过程稿中的识别标准，数据出境的定义是比较宽泛的。如果是境内业务与境外业务的关联比较单一的企业，可以通过问卷的方式，根据场景、目的逐项梳理数据出境情况。如果是业务场景较为复杂的全球化企业，则应借助技术手段识别数据的跨境传输，以此避免遗漏。

　　“识别出数据跨境传输的基础后，可以进一步判断传输所涉数据的属性。”赵冉冉举例说，包括个人信息的，应关注连续两个公历年内已发生或可能发生的传输所涉个人信息主体人数。同时，通过对数据的属性、数据传输行为特征及数据接收方利用及再利用等因素的判断，确定数据中是否包含重要数据。根据以上工作的结论，一方面判断哪些数据跨境传输需要安全评估申报，另一方面可以充分利用“整改期”进行调整。

　　他提醒说还需对各个评估流程进行整合，既要考虑数据处理行为的影响，也要考虑通过与影响相匹配的技术手段和管理措施降低风险发生的可能。比如，企业侧可以在自评估的基础上，再增加安全评估的国家个人信息保护水平等宏观评估点，从而可以更好地预测安全评估结果，保障自身业务的合规性及连续性。(完)