@全体法律人:一文读懂数据出境安全评估申报指南(附资料合集)
《数据出境安全评估办法》(下称《评估办法》)于2022年7月7日发布,自今日起(2022年9月1日)正式施行。
2022年8月31日,国家网信办发布《数据出境安全评估申报指南(第一版)》(下称《申报指南》),对数据出境安全评估申报方式、申报流程、申报材料、咨询方式等做了进一步明确,并提供2份评估申报模板,以指导和帮助数据处理者规范、有序申报数据出境安全评估。
本文旨在对《申报指南》的重点内容进行摘录解析,并根据《评估办法》进行对照解读,以期帮助大家更好的理解新规的落地细则及企业的申报要点。
《申报指南》原文解析
(一)适用范围
数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信办向国家网信办申报数据出境安全评估:
(一)数据处理者向境外提供重要数据;
(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息; (2021年1月1日起累计)
(四)国家网信办规定的其他需要申报数据出境安全评估的情形。 (兜底条款)
以下情形属于数据出境行为:
(一)数据处理者将在境内运营中收集和产生的数据传输、存储至境外; (主动往外送和存)
(二)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出; (可理解为允许外面来拿和存,相较于网信办就《评估办法》答记者问中的回复,《申报指南》将远程访问场景下的“访问或者调用更新为”“查询、调取、下载、导出”)
(三)国家网信办规定的其他数据出境行为。(新增兜底条款)
(二)申报方式及流程
第一步,交材料: 数据处理者申报数据出境安全评估,应当通过所在地省级网信办(接受材料)申报数据出境安全评估。申报方式为送达书面申报材料并附带材料电子版。
第二步,完备性查验: 省级网信办收到申报材料后,在 5 个工作日内完成申报材料的完备性查验。通过完备性查验的,省级网信办将申报材料上报国家网信办 (实际评估单位);未通过完备性查验的,数据处理者将收到申报退回通知。
第三步,上报受理: 国家网信办自收到省级网信办上报申报材料之日起 7 个工作日内,确定是否受理并书面通知数据处理者。数据处理者如被告知补充或者更正申报材料,应当及时按照要求补充或者更正材料。无正当理由不补充或者更正申报材料的,安全评估将会终止。情况复杂的,数据处理者将被告知评估预计延长的时间。
第四步,出结果,可申请复评: 评估完成后,数据处理者将收到评估结果通知书。对评估结果无异议的,数据处理者须按照数据出境安全管理相关法律法规和评估结果通知书的有关要求,规范相关数据出境活动;对评估结果有异议的,数据处理者可以在收到评估结果通知书 15 个工作日内向国家网信办申请复评,复评结果为最终结论。
值得注意的是《申报指南》中细化了省级网信办和国家网信办的两级分工流程
1、省级网信办:接收申报材料,进行完备性查验,仅做形式审查;
2、国家网信办:决定是否受理,做实质审查。
(三)申报材料
数据处理者申报数据出境安全评估,应当(必须)提交如下材料:(具体要求见「附件 1」)
1.统一社会信用代码证件影印件
2.法定代表人身份证件影印件
3.经办人身份证件影印件
4.经办人授权委托书(模版见「附件2」)
5.数据出境安全评估申报书(模版见「附件3」)
6.与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件影印件
7.数据出境风险自评估报告(模版见「附件4」)
8.其他相关证明材料 (可选)
数据处理者对所提交材料的真实性负责,提交虚假材料的,按照评估不通过处理,并依法追究相应法律责任。(与《评估办法》相比,删除了提交虚假材料的追责要件中「故意」二字,强化了对申报材料真实性的要求。)
《申报指南》与《评估办法》要求提供的申报材料,对比如下:
(四)申报咨询
电子邮箱:sjcj@cac.gov.cn
联系电话:010-55627135
(扫码添加小助理,凭此图领取资料)
《申报指南》附件申报模板
(一)《数据出境安全评估申报表》及填写说明
1、《数据出境安全评估申报表》一共包含14个板块,具体参照如下:
2、填写说明
《数据出境安全评估申报表》填写说明通过9个Q&A的形式,对《数据出境安全评估申报表》进行了具体填报说明,重点摘录如下:
• 数据出境目的:如开展业务合作、技术研究、经营管理等。
• 数据出境方式:如公共互联网传输、专线传输等。
• 数据出境链路:如链路提供商、链路数量与带宽、境内外落地数据中心名称及机房物理位置、IP地址等。
• 拟出境数据情况:关于「个人信息的敏感程度」,可参照国家标准《信息安全技术 个人信息安全规范》。「涉及行业/领域」填写出境数据涉及的行业领域范围,如工业、电信、金融、交通、自然资源、卫生健康、能源、教育、科技、国防科工等。
• 遵守中国法律、行政法规、部门规章情况:简述近2年在业务经营活动中受到行政处罚和有关主管监管部门调查及整改情况,重点说明数据和网络安全方面相关情况。
(二)《数据出境风险自评估报告》及填写说明
1、《数据出境风险自评估报告》
《评估指南》提供了数据出境风险自评估报告模板,供企业参照适用,大体框架如下:
一、自评估工作简述
自评估工作开展情况,包括起止时间、组织情况、实施过程、实施方式等内容。
二、出境活动整体情况
(一)数据处理者基本情况
(二)数据出境涉及业务及信息系统情况
(三)拟出境数据情况
(四)数据处理者数据安全保障能力情况
(五)境外接收方情况
(六)法律文件约定数据安全保护责任义务的情况
(七)数据处理者认为需要说明的其他情况
三、拟出境活动的风险评估情况
就《办法》第五条所列事项逐项说明风险评估情况,重点说明评估发现的问题和风险隐患,以及相应采取的整改措施及整改效果。
四、出境活动风险自评估结论
评估结论及其理由、论据等。
2、填写说明
《数据出境安全评估申报表》开篇强调了4点填写说明,比如明确数据处理者可以聘请外部机构开展数据出境风险自评估,具体如下:
(一)数据处理者申报数据出境安全评估时需提供自评估报告;
(二)数据处理者须对所提交的自评估报告及附件材料真实性负责;
(三)本报告所述自评估活动为本次申报前3个月内完成;
(四)如有第三方机构参与自评估,须在自评估报告中说明第三方机构的基本情况及参与评估的情况,并在相关内容页上加盖第三方机构公章。
