近年来，国家高度重视数据安全问题，针对数据安全的法律法规陆续出台，相关工作机制逐步明确。其中政务数据由于其涉及面广、影响程度高，成为相关法律法规和政策文件关注的焦点，也成为国家监管的重点。

2022年12月9日，深圳数据交易所联合深圳市信息服务业区块链协会召开了《数据安全合规评估方法》标准编制征求意见工作启动会。该会议旨在进一步健全完善我国数据安全合规评估体系，促进数据有序流通和安全应用。深圳市安证企业合规管理（集团）有限公司旗下核心子公司广东安证计算机司法鉴定所作为参编单位参与了本次会议，副所长魏智煌作为特邀专家出席了本次会议，为标准编制提出了重要的意见和建议。

2022年12月19日，《中共中央国务院构建数据基础制度更好发挥数据要素作用的意见》首次对外发布。《意见》由八个部分组成，分为二十条，也被称为“数据二十条”，数据安全治理制度成为“四梁八柱”中一个关键支撑因素，具体可总结为“三位一体”的制度体系。从政府层面，创新政府治理机制，守住安全底线，明确监管红线；企业层面，压实企业责任意识和自律意识；社会层面，充分发挥行业协会等社会性力量，规范市场发展秩序等方面阐述建立数据安全治理制度体系的重要性。

在这样的大背景下，由深圳市信息服务业区块链协会组织发起并编写了《数据安全合规评估方法》标准。该标准于2023年1月19日发布。本标准的参编团队堪称豪华，包括多家数据交易所，深圳数据交易所有限公司、贵阳大数据交易所有限责任公司、上海数据交易所有限公司、华东江苏大数据交易中心股份有限公司、山东数据交易有限公司等；多家大型科技公司，京东科技信息技术有限公司、中国移动通信集团设计院有限公司、金蝶软件（中国）有限公司、顺丰科技有限公司等；多家金融机构，深圳前海微众银行股份有限公司、中国光大银行股份有限公司深圳分行等；此外还有若干家知名律所、研究机构等也参与编写。《数据安全合规评估方法》团体标准的编写和发布实施是一项重要的举措，为保障数据安全提供了个科学的评估体系。此标准自2023年1月25日起实施。

深圳市安证企业合规管理（集团）有限公司旗下核心子公司、合作法律机构：广东安证计算机司法鉴定所、深圳市网安计算机安全检测技术有限公司、广东北源律师事务所，受邀参与了本标准的制订。

广东安证计算机司法鉴定所（以下简称“安证鉴定所”）于2005年经广东省司法厅批准成立，安证鉴定所参与研发第三方电子数据保全系统，目前孵化出前海安证深港第三方电子数据保全服务平台、电信天翼云安全证据存储云、安证电子联盟链。安证鉴定所从司法鉴定工作角度出发，以电子数据以及知识产权为根基，对《数据安全合规评估方法》中的个人信息和重要数据提出了重要意见和建议。

广东北源律师事务所立足于以法律+科技之全程参与式服务模式，依托国内顶尖高校法学院的研究成果和研究力量、国内领先的第三方计算机司法鉴定机构和网络安全服务团队的技术能力，提供数据合规（个人信息保护）、网络安全和知识产权等业务的多元化解决方案。同时全面深度参与国家某监管部门“个人信息保护措施法律符合性评估”试点工作，由多个专业律师专家共同支撑北源律所相关业务。从法律角度对数据合规标准提供了不同角度的见解。

深圳市网安计算机安全检测技术有限公司成立于2001年，是华南地区最专业的网络安全应急处置和风险管理服务提供商。专业从事商用密码应用安全性评估、网络安全等级保护测评等网络安全服务的第三方公司。于2022年12月27日入选工业和信息化部商用密码应用推进标准工作组首批成员名单。

同时，深圳市安证企业合规管理（集团）有限公司（以下简称“安证合规集团”）在数据治理方面也有着充足的经验。安证合规集团通过系统化、规范化、标准化的流程和措施，促进企业数据的深度挖掘和有效利用的同时，根据《网络安全法》、《个人信息保护法》、《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）、《信息安全技术 网络安全等级保护测评要求》（GB/T 28448-2019）、《信息安全技术 网络安全等级保护安全设计技术要求》（GB/T 25070-2019）等法律法规要求，针对企事业客户、相关数据产品等，开展个人信息安全合规评估咨询服务、个人信息安全合规管理与认证服务、个人信息合规审计、个人信息安全合规评估、个人信息合规管理体系建设、数据合规顾问、人脸识别合规评估服务、数据争议解决等业务。

在参与《数据安全合规评估方法》标准制定过程中，安证鉴定所副所长魏智煌会同中南财经政法大学法学院院长、教育部公安技术教指委副主任委员兼最高院、司法部、环保部特聘专家胡向阳进行深入探讨，结合安证合规集团的业务实践、数据安全合规及技术可行性进行综合评估、研判。

标准起草人

《数据安全合规评估方法》团体标准的实施有利于规范数据安全合规评估工作，促进数据高效流通，推动数字经济赋能产业发展。在文件的第七章数据出境安全合规相关内容中提到：

适用时，应对评估对象数据出境的情况进行评估，评估内容包括：

• 向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。
• 组织指定个人信息安全影响评估的责任部门或责任人员，自行开展或聘请外部独立第三方进行个人信息保护影响评估，个人信息保护影响评估报告和处理情况记录应当至少保存三年。
• 按照网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务。合同中应当至少约定数据出境的目的及方式、境外数据保存情况、境外数据再转移、不可抗力以及其他违约或侵权事宜及其解决途径与方式。
• 评估对象的数据出境处理活动是否需向网信部门等管理机构申报数据出境安全评估，如需要申报，应开展数据出境风险自评估，并向网信部门申报数据出境安全评估。国家安全、公共利益等权益带来的风险，以及其他可能影响数据出境安全的事项。
• 未达到申报数据出境安全评估条件的，是否经专业认证机构进行个人信息保护认证。
• 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。
• 符合境外地区相关规定和要求的情况。
• 评估依据要求的禁止出境的情况。网信部门认定不得出境的数据，是否已停止数据出境，并采取有效措施对已出境数据的安全予以补救。
• 适用时，使用境外的服务供应商和第三方组件（SDK）可能引起的潜在数据传输链路的数据出境风险情况。
• 必要时，跨境传输相关的管理记录，包括传输发送方、接收方及所在区域、传输机制、信息类型、处理目的、合同条款、数据主体同意的相关记录

附：《数据安全合规评估方法》标准