第四章和第五章从法律、制度和技术措施层面分享了出境合规实务中可参考的有效或较优经验。

其中第四章结合公开信息和作者们从事相关业务的实践，对特别是数据出境安全评估中的典型问题、范式写法，按照指南文件的标准顺序，逐次提供了一些更具粒度的澄清和参考，包括如何判定和基于“应合尽合”原则确定境内外数据处理者和接收方，如何规范表达出境方式、出境链路、甚至如何差异化表述出境目的和用途、描述境外数据安全法律政策环境等等。尽管这些内容可能是非官方解答，但应能符合申报、备案的实际需要，组织可根据自身情况进行选择性的引用或借鉴。

第五章对整体数据出境规则的实质性符合问题——数据安全保障能力，从制度和技术措施层面给出了联盟角度的建议，并注重将联盟在技术和策略领域的最佳实践和技术优势赋能与组织。这些建议创设性的整合了监管对规范制度和技术措施分别要求，并保持了对数据生命周期不同阶段的不同关注，涵盖了从收集、存储、传输、直至删除、处置的全周期过程，并将国内可用的对应标准、指南等辅助性文件进行了对照或映射，这些标准、指南类文件均进行了最新版本的检索，应可经受合规评审的考验。

第六章汇总了实践中可用的、有效的资质认证，涵盖了从经典的ISO 27001、网络安全等级保护，到GB/T 41479数据安全管理认证、SOC、HIPAA，直到BCR等，这些经过验证的资质、认证，对通过出境监管规则的评估、备案，乃至企业日常运营的数据安全合规都有裨益，尽管并非出境评估、备案的必要前提条件，但是出境监管的各类指南文件中为监管机构所首肯的加分项。

受限于年鉴的篇幅，以及各类引述文件的结构性差异，报告中难免有删减、过度抽象简化导致的表述瑕疵缺陷和不当问题，特别是由于报告资料主要来源于公开信息，且不同技术路线和业务场景也错综复杂，必有不准确、不完备甚至挂一漏万之处，欢迎读者指正！在此也向围绕中国数据出境规则完备性建设付出努力的监管方、合规方、服务机构等在一年中的辛勤努力和规则共筑工作表示敬佩！

进入数据安全3.0时代后，CSA大中华区通过制定数据安全标准规范、输出研究报告、人才培养等措施，提升行业与从业人员对数据安全的认识和水平，引导行业共同解决数据安全3.0时代的问题。

2020年至今，CSA大中华区发布了20+指南与产业研究报告，提出“控密双态”技术理念，开展新一代数据安全实践。此外，CSA大中华区已发布数据安全认证专家CDSP认证课程。

现阶段，CSA大中华区正在进行隐私保护认证专家课程、数据跨境合规认证专家课程的开发工作，以及开展数据要素流通与跨境安全方向的研究工作，有意向参与单位可联系CSA大中华区秘书处叶女士 19925407556。

CSA大中华区办公室微信