1．境内数据存储分析

存储标准采用属地原则，仅针对境内运营中收集和产生的数据。所有的网络运营者，而非仅仅关键信息基础设施，都是境内存储义务所涵盖的主体。按照《网络安全法》的规定，网络运营者是指网络的所有者、管理者和网络服务提供者。因此，所有涉及网络运营的企业均有新规设定的合规义务。

并不是所有信息都必须在境内存储。个人信息的定义与《网络安全法》所规定的一致，指的是以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。根据《网络安全法》的规定，经过处理无法识别特定个人且不能复原的信息，不属于个人信息之列。

重要数据在此次立法中仅作概括式的表述，确定了重要数据是与国家安全、经济发展以及社会公共利益密切相关的数据，但是其具体范围需参照国家有关标准和重要数据识别指南。可以看出，重要数据的轮廓已日渐清晰，趋向于国计民生、公共利益相关的重大数据资料。但网络运营者仍需要等待指南的出现，才能进一步明确其具体的合规义务。

2．出台数据出境管理办法

数据出境是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据，提供给位于境外的机构、组织、个人。可以看出，“境外”是物理边界，而“提供”的含义较广，不仅包括境内向境外以任何方式提供，也指境外通过相关方式读取、获取规制数据。

细化数据出境的数据内容，并开展自评估。根据新规的规定，安全评估中必须论述规制数据出境的必要性。如基于公司管理的要求、上市公司披露和申报的要求、开展正当业务的要求等，都可以被视为具有必要性。

出台个人信息管理规范。评估不仅包含个人信息的数量、范围、类型、敏感程度，还包括个人信息主体是否同意其个人信息出境等，如书面同意或者任何能够证明其作出同意之意思表示的合法证据。

3．密切配合监督管理机构的工作

新规设定的评估机制是以自我评估为主。在数据出境之前，网络运营者须对自己的评估结果负责。对于缺乏独立自我评估能力的网络运营者，建议聘请专业、有经验的第三方服务机构，按照法规要求对企业进行相应评估。

构成新规第九条规定的特别评估数据的，需要向行业主管和监管部门申请安全评估。如主管或监管部门不明确的，应当向网信办申请评估。值得注意的是，法定安全评估的时限为60个工作日，考虑到主管或监管部门一般为政府机构，如商务部、银监会、保监会等，网络运营者在数据合规机制设定时需考虑特别规制数据出境前法定机构评估的时间跨度和难度。

4．法律责任

新规并未就法律责任进行具体规定，但规定了定期安全检查和举报制度。一旦主管机关查实网络运营者未按照规定履行评估义务，违规者将按照《网络安全法》及有关法律的规定承担行政法律责任和民事责任。