国家互联网信息办公室有关负责人指出，《办法》所称数据出境活动主要包括

一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。

二是数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以访问或者调用。

《办法》明确了4种应当申报数据出境安全评估的情形：

????向境外提供重要数据（数据维度）

????关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；（数据处理者类型维度）

????自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；（数据量级维度）

????国家网信部门规定的其他需要申报数据出境安全评估的情形。

《办法》第三条规定：数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合，防范数据出境安全风险，保障数据依法有序自由流动。

申报数据出境安全前，企业/组织应开展数据出境安全自评估，主要包括业务合规性、接收方能力、双方责任、出境风险、个人权益保障等几个维度开展。

企业/组织申报数据出境安全评估需要提供申报书、自评估报告、拟定的法律文件、其他佐证材料等；

省级网信部门收到申报材料后，5个工作日内完成完备性查验，通过后报国家网信部门；未通过企业/组织应按照要求补充材料。

数据出境一般情况下在国家网信部门受理之日起45个工作日完成，情况复杂或需要补充、更正材料的可能延期；

企业/组织对评估结果存在异议，15个工作日内申请复评，复评结果为最终结论。

企业/组织未落实《办法》的各项规定，未开展数据出境安全评估，将面临如下处罚：

企业/组织根据严重程度，轻则面临责任改正、给予警告，并面临10万-100万的罚金；严重将面临100万以上-1000万以下的罚款，并且面临暂停相关业务、停业整顿、吊销相关业务许可或吊销营业执照等严重后果；如审计个人信息最高可处5000万以上下或上一年营业额5%以下的罚款。

直接负责人或其他直接负责人最高面临10万以上，100万以下的罚款；涉及个人信息的相关人员在一定期限内可能被限制从事相关职业，如企业董事、监事等。

企业/组织应根据管理办法要求，完善自身数据安全管理制度；修订相关法律文件，确保满足办法要求；开展数据分类分级，理清自身数据分布情况，建立数据分类分级清单和重要数据目录；建立数据自评估机制，对自评估实施全流程管理；根据不同数据级别实施差异化安全管控，如数据脱敏、数据加密、风险监测等；在现有投诉举报机制、渠道的基础上，完善数据出境相关投诉举报流程和处理机制。

通过数据分类分级识别理清企业/组织敏感数据分布情况，形成分类分级清单和重要数据目录，并通过API等方式赋能给业务和安全措施，为数据出境自评估、数据出境管理和技术管理提供依据。