● CIIO收集和产生的个人信息和重要数据；
● 出境数据中包含重要数据；
● 处理个人信息达到100万人的个人信息处理者向境外提供个人信息；
● 累计向境外提供超过10万人以上个人信息或者1万人以上敏感个人信息；
● 国家网信部门规定的其他需要申报数据出境安全评估的情形。

● 向境外提供数据的目的、方式、范围、类型和境外接收方处理数据的用途、方式发生变化，或者延长个人信息和重要数据境外保存期限的；
● 境外接收方所在国家或者地区法律环境发生变化，数据处理者或者境外接收方实际控制权发生变化，数据处理者与境外接收方合同变更等可能影响出境数据安全的；
● 出现影响出境数据安全的其他情形。

● 数据出境的目的、方式和数据范围，境外接收方处理数据的用途、方式等；
● 数据在境外保存地点、期限，以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施；
● 限制境外接收方将出境数据再转移给其他组织、个人的约束条款；
● 境外接收方在实际控制权或者经营范围发生实质性变化，或者所在国家、地区法律环境发生变化导致难以保障数据安全时，应当采取的安全措施；
● 违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款。
● 发生数据泄露等风险时，妥善开展应急处置，并保障个人维护个人信息权益的通畅渠道。

该触发情形直接来源于《网安法》第三十七条，也即“数据出境安全评估制度”来源的情形。《数安法》第三十一条中再次强调，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《网安法》的规定。但我们同时注意到，相比于《网安法》第三十七条，该款对个人信息和重要数据的描述中省略了“在中华人民共和国境内运营中收集和产生的”这一用作限定范围的定语短句。

对这一变化的理解，至少在文义解释上存在两个维度：其一是，条款在此处仅是作表述省略，并无实质差异。理由是上位法《网安法》和《数安法》，以及《办法》本身在第二条中均明确要求了“在境内运营中收集和产生的”这一限定性条件，《办法》作为配套性规范，如果将这一限定性条件删除，将可能带来解释上的不当扩张；其二是，条款在此处删除“在境内收集和产生的”这一限定性条件，考虑到部分关键信息基础设施的运营者在向境外提供产品和服务过程中同样可能收集到（至少是）个人信息，而《办法》将此部分收集的个人信息再重新向境外提供的过程纳入数据出境安全评估的监管范畴之内。基于谨慎合规的立场，我们建议已经被相关主管部门认定为“关键信息基础设施的运营者”的数据处理者，在向境外提供个人信息和重要数据前，将申报安全评估作为数据出境的前提为宜。

该情形下的触发条件，主要基于出境数据的敏感程度，即包含重要数据。根据《数安法》，一般从“数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度”等角度来对数据进行分类分级。在前述基础上，各地区、各部门将确定本地区、本部门以及相关行业、领域的重要数据具体目录。而对于列入目录的重要数据，依据此次《办法》，应当严格落实数据出行安全评估申报义务。关于重要数据的定义解读以及其出境安全管理的理解，可参见团队此前文章：《新起点、新征程：〈数据安全法〉时代下的数据安全与发展》。目前较为典型的是在汽车行业内对“汽车重要数据”的官方定义和列举说明，具体分析可参见团队此前文章《道路千万条，数说十九条：〈汽车数据安全管理若干规定（试行）〉重点解读》。

此外，值得数据处理者注意的是，虽然此触发情形中仅说明了“重要数据”，但根据《数安法》相关规定，如果在出境数据中包含了关系国家安全、国民经济命脉、重要民生、重大公共利益等的“国家核心数据”，则根据“举轻以明重”的基本法律逻辑，自然更需要申报并通过安全评估，并不可避免地将面临极为严格的审查。而如工信部在不久前发布的《工业和信息化领域数据安全管理办法（试行）（征求意见稿）》中更是明确规定“核心数据不得出境”。

这两个情形主要规定的是个人信息（包括敏感个人信息）的出境安全评估申报触发条件。根据《个人信息保护法》第四十条，处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

显然，《办法》中规定的个人信息出境安全评估申报规则来源于《个人信息保护法》第四十条。由此，理解这两项触发条件的关键在于如何理解该条中的“处理个人信息达到国家网信部门规定数量”。从《办法》的规定来看，其应该包含两层不同的含义：其一是，在向境外提供个人信息前需申报出境安全评估的个人信息处理者，其本身即掌握、存储、拥有，或者对多达一百万人的个人信息的处理握有事实上的控制权。如前所述，这是基于个人信息处理者身份的特殊性，其从事的个人信息跨境传输活动即意味着事实推定上的高风险；其二是，在个人信息处理者向境外提供的个人信息达到了涉及十万人以上的程度，或者对外提供的敏感个人信息达到了影响一万人以上的规模。相对而言，这是基于个人信息跨境提供活动带来的客观风险而要求的评估情形。顺带而言，理解其中的“以上”一般包含了“十万人”和“一万人”本数，即分别达到了十万人和一万人规模的个人信息和敏感个人信息出境，便意味着需申报安全评估。

理解上述条件中的两层含义其实并不困难，《个人信息保护法》也将个人信息的“存储”和“向境外提供”作为个人信息的处理进行定义，从文义解释而言，情形3和情形4均应作为个人信息、敏感个人信息出境安全评估申报的触发条件。但联系企业的一般实践，我们理解囿于个人信息处理者本身掌握用户基础和跨境传输活动的业务需求，上述触发条件可能会比较常见，因而对于这部分企业而言，意味着进行安全评估申报将属于“规定动作”，而考虑到评估本身的流程性要求，也因此不可避免地将带来更高的合规成本，数据本地化可能将成为长远来看缓解合规压力的替代性方案。

1、数据出境的目的、范围、方式等的合法性、正当性、必要性；
2、境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响；境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规规定和强制性国家标准的要求；
3、出境数据的数量、范围、种类、敏感程度，出境中和出境后泄露、篡改、丢失、破坏、转移或者被非法获取、非法利用等风险；
4、数据安全和个人信息权益是否能够得到充分有效保障；
5、数据处理者与境外接收方订立的合同中是否充分约定了数据安全保护责任义务；
6、遵守中国法律、行政法规、部门规章情况；
7、国家网信部门认为需要评估的其他事项。

不难发现，综合上述事项中，为了达成客观全面的评估结果，需要数据处理者就数据出境的全生命周期流程进行尽可能完整的披露。对于数据出境的合法、正当和必要要求，如评估是否属于法律法规明令禁止的，是否符合我国政府与其他国家、地区签署的关于数据出境条约、协议；基于个人信息主体同意跨境传输时是否已经获得其单独同意，以及还需评估的关键事项，即“是否为从事正常业务活动所必需”（即是否为确需向境外提供数据的情况）。

与此同时，数据出境安全评估不仅需要关注数据传输方的出境动因、传输方式以及数据范围，还需要关注境外的数据接收方所在国家或地区的政治法律环境，以及在境外数据接收方环境中发生数据安全事件、导致数据泄露等不良后果的可能性。此外，一些管理性要求（如数据跨境传输协议）也成为了评估跨境风险的必需事项。

1、数据出境的目的、方式和数据范围，境外接收方处理数据的用途、方式等；
2、数据在境外保存地点、期限，以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施；
3、限制境外接收方将出境数据再转移给其他组织、个人的约束条款；
4、境外接收方在实际控制权或者经营范围发生实质性变化，或者所在国家、地区法律环境发生变化导致难以保障数据安全时，应当采取的安全措施；
5、违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款；
6、发生数据泄露等风险时，妥善开展应急处置，并保障个人维护个人信息权益的通畅渠道。

上述六项应当成为数据跨境传输协议中的必需条款和约定内容。其中，除目前可能已经为数据处理者之间普遍认识并采纳的常规条款之外，需要注意的是，《办法》对限制境外接收方将出境数据进行再次转移提出了特定要求，以及可能需要约定实现前述约束的具体方式。而对于此前常常提及的应当在协议中明确约定双方数据安全保护权利义务关系，也进一步细化于“特殊情况下（接收方变更经营性质或者范围、所在司法辖区发生法律环境变化）采取的数据安全措施”“数据安全违约追责与争端解决条款的可执行性”和“保障个人信息权益响应方式和渠道”以及其他更多方面。

对于《办法》第4条规定的五种数据出境情形（a.关键信息基础设施的运营者收集和产生的个人信息和重要数据、b.出境数据中包含重要数据、b.处理个人信息达到一百万人的个人信息处理者向境外提供个人信息、d.累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息、e.国家网信办规定的其他需要申报数据出境安全评估的情形），数据出境安全评估为数据出境的必要路径。但并非全部数据出境行为都要受制于该评估，因此对于该等数据出境情形，安全评估只是出境路径之一。

数据安全评估不等同于数据管理的全部，但如果满足《办法》第5条规定的自评估要求，显然就应当有一套健全的数据生命周期管理体系。仅从该条来看，数据处理者至少应当具备如下数据管理制度、能力与法律文本：

a）数据分类分级制度；
b）防止数据泄露与损毁的管理制度与技术能力；
c）第三方数据合规尽职调查制度与管理能力；
d）数据泄露应急预案；
e）完备的第三方数据处理协议。

因此，我们认为若企业希望顺利通过数据出境安全评估，首先是需要建立起内部对应的合规体系，完善数据管理能力以及对应的法律文件。

如果企业计划将某一类数据传输出境，首先应当审视该数据出境行为是否可能危及国家安全或个人权益？是否具备合法正当的数据来源？是否有足够的理由和必要性，需要将该数据传输至境外？尤其是针对数据出境的必要性，我们建议企业进行深入的分析与判断。根据我们的经验，仅仅笼统地将数据出境原因归纳为“业务需要”、“全球统一管理需要”等，很难满足监管部门对“必要性”的认定。因此，判断必要性不能是企业一厢情愿，必须结合数据实际处理场景，客观且详细地论证说明，并提供相应支持依据，使得监管部门能够在充分理解企业业务与产品逻辑的基础上，作出认可企业数据出境理由的判断。

目前法律法规并未给出明确答案。我们建议企业参照《信息安全技术 数据出境安全评估指南（征求意见稿）》第3.7条关于“数据出境data cross-border transfer”的内容进行理解，即通过网络等方式，将数据处理者在境内（出于数据合规的分析角度，通说认为此处“境内”不包含香港特别行政区、澳门特别行政区以及台湾地区）运营中收集和产生的数据，通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。

特别需要企业关注如下情形，一般认为属于数据出境：

a）向中国境内，但不属于中国司法管辖或未在境内注册的主体提供个人信息和重要数据；
b）数据未转移存储至本国以外的地方，但被境外的机构、组织、个人访问查看的（公开信息、网页访问除外）；
c）企业集团内部数据由境内转移至境外，涉及其在境内运营中收集和产生的数据的。

此外，如下情形一般认为不属于数据出境：

a）非在境内运营中收集和产生的数据经由本国出境，未经任何变动或加工处理的；
b）非在境内运营中收集和产生的数据在境内存储、加工处理后出境，不涉及境内运营中收集和产生的数据的。

目前法律法规同样没有给出明确范围。2021年9月1日生效的《关键信息基础设施安全保护条例》将CII认定规则的制定授权给了相关行业和领域的主管部门与监督管理部门。

在相关规则尚未出台的情况下，我们建议企业通过如下步骤确定CII的边界：一是确定关键业务，二是确定支撑关键业务的信息系统或工业控制系统，三是根据关键业务对信息系统或工业控制系统的依赖程度，以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。如果上述“业务”、“系统”、“依赖程度”与“损失后果”符合网安法与《关键信息基础设施安全保护条例》对CII的定义与描述，则相关企业很有可能被认定为CIIO。

此外，我们还建议企业参照TC260发布的推荐性国家标准《信息安全技术 关键信息基础设施边界确定方法（征求意见稿）》，尽管该国标尚未生效，但其中详细列明了CII边界的识别原则、识别模型与识别流程可以为企业提供较为明确的参考标准。

如同何为“敏感个人信息”一样，“重要数据”的边界亦是相对模糊的。数安法第21条规定“国家数据安全工作协调机制统筹协调有关部门制定重要数据目录”，而目前可供企业参照的推荐性国标《信息安全技术 数据出境安全评估指南（征求意见稿）》的附录A《重要数据识别指南》，其中列举了27个领域的重要数据。此外，必须强调的是，“重要数据”带有明显的行业特征，前述列表中无法涵盖全部重要数据。例如，在2021年10月1日生效的《汽车数据安全管理若干规定（试行）》中，以下数据就别明确列为“重要数据”：

a）军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据；
b）车辆流量、物流等反映经济运行情况的数据；
c）汽车充电网的运行数据；
d）包含人脸信息、车牌信息等的车外视频、图像数据；
e）涉及个人信息主体超过10万人的个人信息；
f） 国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。

因此，我们认为判断某类数据是否为“重要数据”，必须结合行业与业务领域特点。

《办法》出台之前曾经有多个公开的数据出境相关法规的征求意见稿，其名称不尽相同且内容也存在差异，如2017年《个人信息和重要数据出境安全评估办法（征求意见稿）》规定数据量超过1，000GB的数据出境需经安全评估；2019年《个人信息出境安全评估办法（征求意见稿）》规定网络运营者应当建立个人信息出境记录并且至少保存5年，而这些规定在《办法》中都没有体现。因此也有必要辨析《办法》与先前征求意见稿的关系，是继承还是补充？

我们倾向认为《办法》替代了上述两个的征求意见稿。理由是从立法技术上分析，没有必要也不应当对有着高度重合的事项进行重复立法。我们认为此前一些规定在本次《办法》中没有体现，可能是出于立法不断完善进步的原因，当然也不排除《办法》正式通过审查颁布后，会有新的内容调整。

关于《办法》的生效时间，我们预测不会像之前的征求意见稿一样迟迟未能最终落地，原因在于目前数安法、个保法均已生效，法律实施过程中需要配套法规的支持，因此我们建议企业不必等《办法》最终落地，尽快根据《办法》的要求做出相应的准备。