大家各種解讀看的也差不多了，我們也討論一些進階問題，為征求意見稿提點意見建議。

　　1、個人信息和重要數(shù)據(jù)出境就這樣合并評估了？

　　是的。盡管貝貝在解讀中明確說“隨著《數(shù)據(jù)出境安全評估辦法（征求意見稿）》征求意見，《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》和《個人信息出境安全評估辦法》已自然廢止”，理由是個人信息保護法和數(shù)據(jù)安全法已經(jīng)頒布施行。但其實還有一個重要的原因貝貝沒有明說，就是個人信息和重要數(shù)據(jù)分別制定出境評估辦法的意義已經(jīng)不大，隨著立法進程的深入和相關(guān)論證測試的磨合，兩者的程序和實質(zhì)差異并沒有之前想象中的辣么大，不再需要進行分別立法——“在國家數(shù)據(jù)出境安全管理制度中，《辦法》的第五條和第九條具有通用性”，而其他的評估程序、內(nèi)容也有很大通用性。如果一企業(yè)就其個人信息和重要數(shù)據(jù)分別基于不同的評估辦法申報評估，恐怕會成為網(wǎng)信部門不能承受之重，堪比DDoS。

　　因此在征求意見稿中，一旦申報中包括重要數(shù)據(jù)，即自動的“重要數(shù)據(jù)”吸收了“個人信息”適用該評估辦法進行“評估”，而不能再適用《個人信息保護法》規(guī)定的認證、標準合同等方式。

　　2、安全評估是實質(zhì)審還是形式審？

　　實審。從征求意見稿看，已經(jīng)非常接近于“實質(zhì)審”（用的是審，但指的都是評估，不是審核、審查）。理由包括：第一，評估時間從之前的“安全評估應(yīng)當在15個工作日內(nèi)完成”（《個人信息出境安全評估辦法（征求意見稿）》）延長到“國家網(wǎng)信部門自出具書面受理通知書之日起45個工作日內(nèi)完成數(shù)據(jù)出境安全評估”，雖然可以認為是因為增加了對重要數(shù)據(jù)的評估時間也相應(yīng)延長，但如果僅為“書面審”、“合同審”無論如何也不需要45個工作日；其二是評估內(nèi)容看，除了“合同審”外還突出對“數(shù)據(jù)安全和個人信息權(quán)益是否能夠得到充分有效保障”的數(shù)據(jù)處理者和境外接收方“管理和技術(shù)措施、能力”的“技術(shù)審”，同時大量消減了對合同內(nèi)容的細化要求——換言之，合同只是安全評估的一個方面。

　　因此，在征求意見稿并沒有限定評估申報主體一定也是評估對象主體的前提下，未來安全評估將會涉及對主體范圍、數(shù)據(jù)內(nèi)容、合同內(nèi)容等實質(zhì)性交易內(nèi)容的評估，也不排除遠程、現(xiàn)場核查等組合的評估方式，企業(yè)可能面臨對交易“穿透”評估的問題。

　　本來實質(zhì)審的“好處”之一應(yīng)該是單次評估的有效期會比較長，而形式審則意味著每年大量、充分的文件傳遞，但這從征求意見稿中沒有看出。這也說明數(shù)據(jù)出境評估具有不同于傳統(tǒng)實質(zhì)審的特點，因此是否是完全的實質(zhì)審，還是就某些方面實質(zhì)審，其他方面形式審，網(wǎng)信部門仍然需要“在一個很長的評估期限內(nèi)，也有了較大的自由裁量的空間內(nèi)”，甚至是在不同的多邊協(xié)定框架下進行持續(xù)的尺度平衡與把握。

　　3、必要性是否還是出境評估的基本原則么？

　　是的。雖然我們又開始討論充分性、必要性的問題。目前的征求意見稿還是“首當其沖”的規(guī)定了安全評估以數(shù)據(jù)出境的“合法性、正當性、必要性”為原則。特別慶幸的是，征求意見稿沒有出現(xiàn)“充分的必要性”的表述！

　　但是作為征求意見稿，不能像《個人信息保護法》一樣還是停留在就必要論證必要的狀態(tài)，還應(yīng)當就企業(yè)如何必要申報進行細化規(guī)定。這里就主要涉及到出境的業(yè)務(wù)（目的）替代性和數(shù)據(jù)出境的形式替代性的問題。

　　企業(yè)如何論證出境的必要性，第一，從目的替代性上，就是需要說明只能進行數(shù)據(jù)出境，而不能僅通過遠程結(jié)果提示、比對、校驗等方式實現(xiàn)業(yè)務(wù)目的，這顯然和企業(yè)在合同中約定的合同目的、交付物的內(nèi)容相關(guān)。換句話說，數(shù)據(jù)應(yīng)為實現(xiàn)合同目的的必要手段，甚至在某些情況下，數(shù)據(jù)的出境本身即是合同目的。其二，從形式替代性上，需要說明必須以網(wǎng)絡(luò)數(shù)據(jù)的形式，而非介質(zhì)、樣本、**計算等方式進行出境。不要忘了，網(wǎng)絡(luò)數(shù)據(jù)只是《數(shù)據(jù)安全法》定義的數(shù)據(jù)的“一小”部分。征求意見稿沒有刻意聲明僅適用網(wǎng)絡(luò)數(shù)據(jù)，但《數(shù)據(jù)安全法》規(guī)定了網(wǎng)信辦只負責網(wǎng)絡(luò)數(shù)據(jù)，反饋的征求意見接收單位也是網(wǎng)信辦網(wǎng)絡(luò)數(shù)據(jù)管理局。在《數(shù)據(jù)安全法》的宏大背景下，特別是結(jié)合重要數(shù)據(jù)分類分級的考慮（數(shù)據(jù)的形式顯然也會影響數(shù)據(jù)的級別），選擇哪種形式的數(shù)據(jù)出境，這些替代性的考慮將并非易事。

　　總結(jié)一下建議，征求意見稿應(yīng)在公開的同時說明之前其他意見稿的失效狀態(tài)，應(yīng)再適當細化評估要求，還應(yīng)高遠的考慮當網(wǎng)絡(luò)數(shù)據(jù)和其他數(shù)據(jù)形式混雜時如何申報和評估等問題。從企業(yè)角度，安全評估只是某一時點或范圍的數(shù)據(jù)出境的合法性評價，評估辦法并不涉及對將來企業(yè)是否仍然符合申報材料要求做出判斷，例如是否持續(xù)履行或滿足數(shù)據(jù)出境合同“約定的數(shù)據(jù)安全保護責任義務(wù)”，這些義務(wù)的評價體現(xiàn)在《數(shù)據(jù)安全法》和《個人信息保護法》的其他條款，而一旦開啟了數(shù)據(jù)出境，就將“不可逆”的踏上出境合規(guī)的征程漫路。