返回研究

国家互联网信息办公室发布《数据出境安全评估申报指南(第一版)》

  发布时间:2022-09-02

《数据出境安全评估办法》自2022年9月1日起施行,要求符合特定情形的数据处理者向境外提供数据前,应进行数据出境安全评估申报。为了指导和帮助数据处理者规范、有序申报数据出境安全评估,国家互联网信息办公室于8月31日发布了《数据出境安全评估申报指南(第一版)》(“《指南》”),对于申报情形、申报方式、申报流程、申报材料等作出了具体说明,并提供了相关模板供数据处理者参考。
 
此前,立方数据合规团队曾就《数据出境安全评估办法》进行分析,可见《<数据出境安全评估办法>解读:从个人信息出境角度》。针对《指南》,我们在此梳理了数据出境安全评估申报相关的要点,以便企业快速了解申报的具体要求。
 
1.什么情况下需要进行数据出境安全评估?
 
数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信办向国家网信办申报数据出境安全评估:
 
(一)数据处理者向境外提供重要数据;
(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
(四)国家网信办规定的其他需要申报数据出境安全评估的情形。
 
  “向境外提供数据”,即数据出境行为,既包括(1)数据处理者将在境内运营中收集和产生的数据传输、存储至境外,也包括(2)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出。
  “重要数据”是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。
  “关键信息基础设施运营者”是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
  关于个人信息出境数量如何累计计算,还可见《<数据出境安全评估办法>解读:从个人信息出境角度》一文。
 
2.向谁申报?
 
数据处理者应向所在地省级网信办申报数据出境安全评估材料,省级网信办对申报材料进行完备性查验,如通过,则上报国家网信办进行实质审查和评估。
 
3.具体受理流程?
 
 
4.应提交哪些申报材料?
 
数据处理者应提交如下材料,具体形式为提交书面申报材料并附带以光盘方式提交材料的电子版文件:
 
(1)统一社会信用代码证件影印件(加盖公章)
(2)法定代表人身份证件影印件(加盖公章)
(3)经办人身份证件影印件(加盖公章)
(4)经办人授权委托书(原件)
(5)数据出境安全评估申报书(原件)
(6)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件影印件(加盖公章)
(7)数据出境风险自评估报告(原件)
(8)其他相关证明材料(原件或影印件加盖公章)
 
为了便于数据处理者申报,国家网信办还在《指南》中提供了经办人授权委托书模板、数据出境安全评估申报书模板和数据出境风险自评估报告模板。
对于第(6)项中数据出境相关合同或其他具有法律效力的文件,数据处理者还应将数据出境相关约定的条款进行高亮、线框等显著标识。文件以中文版本为准,如果仅有外文版本,还须同步提交准确的中文译本。
 
5.自评估报告怎么做?
 
企业可参考国家网信办发布的《数据出境风险自评估报告(模板)》,对自身数据出境活动开展评估,要点如下:
 
(1)简述自评估工作开展情况。
(2)详细说明出境活动整体情况,包括数据处理者基本情况、数据出境涉及的业务和信息系统情况、拟出境数据情况、数据处理者的数据安全保障能力情况、境外数据接收方情况、法律文件约定数据安全保护责任义务的情况以及数据数据处理者认为需要说明的其他情况。
(3)说明拟出境活动的风险评估情况,重点说明发现的问题和风险隐患,以及相应采取的整改措施及整改效果。
(4)总结出境活动风险自评估结论。

作者简介:



特别声明

本文仅供参考,不构成律师的正式意见,不应被看作是采取任何法律行动或进行法律决策的依据。文中所述仅代表作者个人观点,并不反映作者所服务的任何机构或客户的立场。

Copyright © 2020 立方律师     京ICP备09037220号-1      京公网安备11010102000452号