大家各種解讀看的也差不多了，我們也討論一些進階問題，為征求意見稿提點意見建議。

　　1、個人信息和重要數據出境就這樣合并評估了？

　　是的。盡管貝貝在解讀中明確說“隨著《數據出境安全評估辦法（征求意見稿）》征求意見，《個人信息和重要數據出境安全評估辦法（征求意見稿）》和《個人信息出境安全評估辦法》已自然廢止”，理由是個人信息保護法和數據安全法已經頒布施行。但其實還有一個重要的原因貝貝沒有明說，就是個人信息和重要數據分別制定出境評估辦法的意義已經不大，隨著立法進程的深入和相關論證測試的磨合，兩者的程序和實質差異并沒有之前想象中的辣么大，不再需要進行分別立法——“在國家數據出境安全管理制度中，《辦法》的第五條和第九條具有通用性”，而其他的評估程序、內容也有很大通用性。如果一企業就其個人信息和重要數據分別基于不同的評估辦法申報評估，恐怕會成為網信部門不能承受之重，堪比DDoS。

　　因此在征求意見稿中，一旦申報中包括重要數據，即自動的“重要數據”吸收了“個人信息”適用該評估辦法進行“評估”，而不能再適用《個人信息保護法》規定的認證、標準合同等方式。

　　2、安全評估是實質審還是形式審？

　　實審。從征求意見稿看，已經非常接近于“實質審”（用的是審，但指的都是評估，不是審核、審查）。理由包括：第一，評估時間從之前的“安全評估應當在15個工作日內完成”（《個人信息出境安全評估辦法（征求意見稿）》）延長到“國家網信部門自出具書面受理通知書之日起45個工作日內完成數據出境安全評估”，雖然可以認為是因為增加了對重要數據的評估時間也相應延長，但如果僅為“書面審”、“合同審”無論如何也不需要45個工作日；其二是評估內容看，除了“合同審”外還突出對“數據安全和個人信息權益是否能夠得到充分有效保障”的數據處理者和境外接收方“管理和技術措施、能力”的“技術審”，同時大量消減了對合同內容的細化要求——換言之，合同只是安全評估的一個方面。

　　因此，在征求意見稿并沒有限定評估申報主體一定也是評估對象主體的前提下，未來安全評估將會涉及對主體范圍、數據內容、合同內容等實質性交易內容的評估，也不排除遠程、現場核查等組合的評估方式，企業可能面臨對交易“穿透”評估的問題。

　　本來實質審的“好處”之一應該是單次評估的有效期會比較長，而形式審則意味著每年大量、充分的文件傳遞，但這從征求意見稿中沒有看出。這也說明數據出境評估具有不同于傳統實質審的特點，因此是否是完全的實質審，還是就某些方面實質審，其他方面形式審，網信部門仍然需要“在一個很長的評估期限內，也有了較大的自由裁量的空間內”，甚至是在不同的多邊協定框架下進行持續的尺度平衡與把握。

　　3、必要性是否還是出境評估的基本原則么？

　　是的。雖然我們又開始討論充分性、必要性的問題。目前的征求意見稿還是“首當其沖”的規定了安全評估以數據出境的“合法性、正當性、必要性”為原則。特別慶幸的是，征求意見稿沒有出現“充分的必要性”的表述！

　　但是作為征求意見稿，不能像《個人信息保護法》一樣還是停留在就必要論證必要的狀態，還應當就企業如何必要申報進行細化規定。這里就主要涉及到出境的業務（目的）替代性和數據出境的形式替代性的問題。

　　企業如何論證出境的必要性，第一，從目的替代性上，就是需要說明只能進行數據出境，而不能僅通過遠程結果提示、比對、校驗等方式實現業務目的，這顯然和企業在合同中約定的合同目的、交付物的內容相關。換句話說，數據應為實現合同目的的必要手段，甚至在某些情況下，數據的出境本身即是合同目的。其二，從形式替代性上，需要說明必須以網絡數據的形式，而非介質、樣本、**計算等方式進行出境。不要忘了，網絡數據只是《數據安全法》定義的數據的“一小”部分。征求意見稿沒有刻意聲明僅適用網絡數據，但《數據安全法》規定了網信辦只負責網絡數據，反饋的征求意見接收單位也是網信辦網絡數據管理局。在《數據安全法》的宏大背景下，特別是結合重要數據分類分級的考慮（數據的形式顯然也會影響數據的級別），選擇哪種形式的數據出境，這些替代性的考慮將并非易事。

　　總結一下建議，征求意見稿應在公開的同時說明之前其他意見稿的失效狀態，應再適當細化評估要求，還應高遠的考慮當網絡數據和其他數據形式混雜時如何申報和評估等問題。從企業角度，安全評估只是某一時點或范圍的數據出境的合法性評價，評估辦法并不涉及對將來企業是否仍然符合申報材料要求做出判斷，例如是否持續履行或滿足數據出境合同“約定的數據安全保護責任義務”，這些義務的評價體現在《數據安全法》和《個人信息保護法》的其他條款，而一旦開啟了數據出境，就將“不可逆”的踏上出境合規的征程漫路。