明确数据定义

在个人信息与重要数据出境安全评估里，首先得明确法律所保护的“个人信息”的定义。《网络安全法》及相关法律保护那种与网络用户身份相分离后仍能确定具体信息归属主体的信息。比如说电商平台用户的注册信息，它就属于个人信息范畴。要确定数据定义，这样才能为后续评估做铺垫。还要明确法律所保护的“重要数据”的定义，这同样是为后续评估做铺垫。

什么样的数据能被称作“重要数据”？详细来讲，关键信息基础设施运营者所涉及到的数据等，或许都属于重要数据。弄清楚这些数据的定义，能够协助经营者判断自己的业务有没有涉及到需要评估的数据范围。

判断数据出境行为

进行交易时，存在地址间的数据跨境转移，地址与真实个人联系不公开，可定位的是IP地址或Cookies数据，这种数据转移不属于《评估办法》规定的个人信息与重要数据跨境传输行为。比如，某线上游戏在不同地区服务器间有数据转移，因信息匿名，所以不在此列。

经营者需要判断自身业务的数据转移是不是属于“数据出境” 。比如说企业把数据存放在境外服务器 ，又或者是与境外合作伙伴共享数据等情况 ，在这些情况下要依据法律准确判断 ，以此避免违规风险 。

遵循最少够用原则

依据《信息安全技术 公共及商用服务信息系统个人信息保护指南》，最少够用原则十分关键。经营者仅处理和目的相关的最少信息，达成目的后，会在最短时间内删除个人信息。举例来说，若有一个APP收集用户信息，仅收集必要的注册信息就行，多余的信息不应收集。

这一原则能够对用户个人信息起到保护作用，还能降低数据泄露的风险 。在实际操作的时候，企业需要时刻留意信息收集的数量，也要关注信息使用的时效，以此来保证符合最少够用的原则 。

取得用户授权

经营者要取得消费者授权或同意，需采用合理方式。可在用户协议里写入相关条款，也可采用单独的信息收集协议、隐私采集协议等。很多软件安装时会弹出授权协议，供用户选择是否同意收集信息 。

取得合法授权，这能够保证企业处理用户信息具有合法性。然而，在授权这个过程当中，需要确保用户充分了解信息收集使用的目的等情况，以此来保障用户的知情权。

开展安全自评估

《评估办法》规定，网络运营者应该每年开展安全自评估，启动条件包含涉及数据出境等情况，当已完成自评估的产品或业务在目的、范围等方面出现较大变化，数据接收方变更或者发生重大安全事件时，也需要重新评估。

具体来讲，企业要设置专门的评估流程，还要组建专门的团队，针对数据出境的相关风险展开全面分析。评估必须做到细致且全面，以此来确保数据安全。

进行案例分析

拿某电商平台来说，它是境外网络运营者，用户注册信息里的“地址”“银行卡号”是个人敏感信息。这个案例的安全评估得关注境外总公司对数据的安全保护能力，关注其安全保护水平，还要防止信息泄漏。

从案例分析能够看出，不同企业业务在数据出境安全评估方面有着不同重点。企业需要依据自身实际状况，借鉴案例经验，进而做好评估工作。

在日常业务里，你碰到过类似的数据出境评估方面的问题吗？要是你认为这篇文章有作用，那就记住点赞以及分享！