1．评估频率

网络运营者应根据业务发展和网络运营情况，每年对数据出境至少进行一次安全评估，及时将评估情况报行业主管或监管部门。当数据接收方出现变更，数据出境目的、范围、数量、类型等发生较大变化，数据接收方或出境数据发生重大安全事件时，应及时重新进行安全评估。

年度评估为强制性评估义务，其时间的起算应从上次评估的日期计算。对于网络运营者，需要把握年度评估的时间和流程，以免对正常运营造成不利影响。而对于重新评估事项，新规并未明确何为“较大变化”情形，会对企业评估造成模糊和困扰，因此只能等待进一步的细则或规定出台。

2．评估机构

网信办统筹协调数据出境安全评估工作，指导行业主管或监管部门组织开展数据出境安全评估。《评估办法》第十一条第三款也提及了网信办、公安部门、安全部门等有关部门有权认定数据是否可以出境。可以理解为，将来网信办将协调各领域监管部门对各自领域内的数据出境监管工作做进一步的分工和细化，包括中国人民银行、银监会、证监会、保监会和国家工商总局等机构均有可能出台相关领域数据出境的配套细则。

行业主管或监管部门组织的安全评估，应当于 60 个工作日内完成，及时向网络运营者反馈安全评估情况，并报国家网信部门。

3．自我评估

征求意见稿指出，网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据，应当在境内存储。因业务需要，确需向境外提供的，网络运营者应在数据出境前，自行组织对数据出境进行安全评估，并对评估结果负责。数据出境安全评估应遵循公正、客观、有效的原则，保障个人信息和重要数据安全，促进网络信息依法有序自由流动。个人信息出境，应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区，并经其同意。未成年人个人信息出境须经其监护人同意。