为支持落实《中华人民共和国网络安全法》的实施，国家互联网信息办公室于2019年5月28日发布《数据安全管理办法（征求意见稿）》，并于2019年6月13日发布《个人信息出境安全评估办法（征求意见稿）》，向社会公开征求意见。征求意见反馈截止时间分别为2019年6月28日和7月13日。

通过公布两份征求意见稿，网信办对重要数据和个人信息的跨境传输提出了不同的要求。在跨境传输这两种类型的信息时，网络运营者需要遵循不同的安全评估流程。 

重要数据出境

重要数据，广义上是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据。

根据《数据安全管理办法（征求意见稿）》，网络运营者跨境提供重要数据前，必须进行安全评估，并报经相关行业主管监管部门或者省级网信部门的批准。 

个人信息出境

个人信息，广义上是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的性名、出生日期、身份证件号码、个人生物识别信息、地址、电话号码等。

根据《个人信息出境安全评估办法（征求意见稿）》,网络运营者向境外传输个人数据前应当：1. 与个人信息接收者签订关于个人信息出境的合同或者其他有法律效力的文件；2. 对个人信息出境可能存在的安全风险以及为解决这些风险而采取的安全保障措施进行自我评估；3. 形成安全评估报告。

网络运营者与个人信息接收者签订的合同或者其他有法律效力的文件，应当明确： 

个人信息出境的目的、类型、保存时限；个人信息主体拥有的合法权益；

个人信息主体合法权益受到损害时的补救措施；

当个人信息接收者履行合同的能力发生变化时，应当终止合同或者重新进行安全评估；

合同的终止不能免除合同中涉及个人信息主体合法权益条款中规定的网络运营者和个人信息接收者的责任和义务。

在进行自我评估并编制安全评估报告后，网络运营者应当向所在地省级网信部门提交安全评估报告及其他要求提供的材料，以便对个人信息出境进行安全评估审查。与网信办以前出台的征求意见稿不同，《个人信息出境安全评估办法（征求意见稿）》要求网络运营者在向境外提供从中国境内运营收集的所有个人信息，都必须经过安全自我评估和网信部门的安全评估审查。这两个步骤的安全评估流程也同样适用于境外机构在中国境内收集的个人信息。

要点回顾

安全评估措施草案提出的安全评估流程可能给公司带来管理和运营负担。特别是对于开展国际业务或与境外公司进行沟通的中国公司，以及日常与境外母公司和关联公司共享个人信息（如员工个人信息等）的外商投资企业，都可能带来较大的运营方面的挑战。

然而，目前尚不清楚这两项措施草案是否适用于企业正常经营过程中共享的员工个人信息。雇主应时刻监测这两项措施草案在正式稿出台后的最终规定和解释。