2022年7月7日��,國家互聯網信息辦公室(以下簡稱“國家網信辦”。)針對數據出境問題出台了《數據出境安全評估辦法》(以下簡稱“《評估辦法》”)。在《評估辦法》正式生效的前夜���,國家網信辦發布了《數據出境安全評估申報指南(第一版)》(以下簡稱“《申報指南》”)���,對於數據出境安全評估申報的適用範圍����、申報流程��、申報方式����、申報材料��、申報書和自評估報告的模板等企業關心的具體問題進行了明確。
數據出境監管體係與《申報指南》
關於數據出境�,除了作為頂層立法的三部基礎法律����,即《中華人民共和國網絡安全法》(以下簡稱“《網絡安全法》”)���、《中華人民共和國數據安全法》(以下簡稱“《數據安全法》”)和《中華人民共和國個人信息保護法》(以下簡稱“《個人信息保護法》”)之外�����,國家網信辦和全國信息安全標準化技術委員會等有關部門還先後嚐試並製定發布了一係列規範性文件���、推薦性國家標準等�,主要包括《個人信息和重要數據出境安全評估辦法(征求意見稿)》�、《信息安全技術 數據出境安全評估指南(征求意見稿)》���、《數據安全管理辦法(征求意見稿)》����、《個人信息出境安全評估辦法(征求意見稿)》�、《網絡數據安全管理條例(征求意見稿)》����、《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規範》�、《個人信息出境標準合同規定(征求意見稿)》和《評估辦法》。
目前《評估辦法》和《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規範》已經開始施行�,《個人信息出境標準合同規定(征求意見稿)》預計也將在近期正式出台�����,在三部法律的基礎上�,明確了以重要數據和個人信息為對象�,通過“經網信部門安全評估”��、“經專業機構進行個人信息保護認證”或“簽訂由網信部門製定的標準合同”三種方式實現的現行數據出境的監管體係。本次發布的《申報指南》正是在該等體係下��,針對“經網信部門安全評估”這一出境方式下數據處理者應當如何具體進行申報的指導文件。
今年9月1日開始正式施行的《評估辦法》中明確了安全評估實施的對象���、申報方式和流程。本次出台的《申報指南》����,zaizhongshenhemingxianquanpinggudeshiyongfanweidejichushang��,zhongdianjizhongzaishenbaofangshiheliucheng���,tebieshishenbaohuanjiezhongdejutineirong�����,jinyibumingqueleshenbaocailiaodeyaoqiu�����、申報書和自評估報告的內容��,為企業正式開始進行自評估和申報的準備工作提供了參考。
《申報指南》重點內容解讀
1. 適用範圍���、申報方式與申報流程
本次出台的《申報指南》內容可分為兩部分�����,一是《申報指南》的適用範圍以及申報的方式與流程�,二是對申報材料的要求及相關文件模板。第一部分內容中����,除《評估辦法》中已經明確的信息���,如申報主體(《評估辦法》第四條)�、審查受理申報的時限和補正要求(《評估辦法》第七條)�����、評估終止(《評估辦法》第十一條)和延長(《評估辦法》第十二條)的情形及申請複評(《評估辦法》第十三條)的相關內容外�,還對《評估辦法》中未明確的部分內容作出了解釋。具體包括數據出境行為的定義���,即數據處理者將在境內運營中收集和產生的數據傳輸����、存儲至境外����,以及數據處理者收集和產生的數據存儲在境內但境外的機構���、組織或者個人可以查詢�����、調取�、下載�����、導出的情形都屬於數據出境行為(參見《申報指南》一����、適用範圍)。《評估辦法》出台後���,國家網信辦舉行的答記者問中同樣涉及了此內容����,本次通過《申報指南》再次進行書麵形式的確定�����,使得《評估辦法》的適用範圍更加清晰。另外��,對於申報方式�����,《申報指南》明確申報材料應當通過書麵與電子版兩種方式同時提交���,也是對《評估辦法》中未提及的具體問題作出了回應。
2. 申報材料要求與文件模板
# 申報材料
《申報指南》的第二部分內容��,即申報材料要求及相關文件模板����,是對《評估辦法》第六條中的規定進行的詳細展開。《評估辦法》第六條規定��,申報材料應包括申報書��、數據出境風險自評估報告�����、數據處理者與境外接收方擬訂立的法律文件和安全評估工作需要的其他材料。《申報指南》中的附件1《數據出境安全評估申報材料要求》還要求數據處理者提供其統一社會信用代碼證件���、法定代表人身份證件�����、經辦人身份證件和授權委托書(模板參見《申報指南》附件2)等文件�����,明確了申報材料的基本範圍。
# 安全評估申報書
本次《申報指南》附件中��,對於申報書及數據出境風險自評估報告兩份文件提供了模板。通過《申報指南》附件3可以看出�,申報書的內容組成包括三部分�,即承諾書����、數據出境安全評估申報表和填表說明。對於承諾書�����,需要注意的是�,除了要求申報單位對申報材料內容的真實���、完整�����、準確和有效性作出承諾外��,還明確提到自評估工作應當為申報之日前3個月內完成����,且至申報之日未發生重大變化(這一內容也在附件4《數據出境風險自評估報告(模板)》中有所體現)。
keyikanchu�����,anquanpinggufangshixiadefengxianzipinggubaogaoyouxiaoxingweisangeyue。yinci���,duiyuyoujihuatongguoanquanpinggufangshijinxingshujuchujingdeqiyeeryan�,xuyaozhuyizipinggugongzuoyushenbaozhijiandeshijianxianjie����,bimianzipinggugongzuozaishenbaoshibubeirenke。duiyushenbaoshudedierbufen���,jishujuchujinganquanpinggushenbaobiaozhongdeneirong���,keyicankaoshenbaoshumobandisanbufentianbiaoshuomingzhongdejutijieshi。congshenbaobiaodejiegouneironghetianbiaoshuoming����,womenjianyishenbaoqiyetebiezhuyiyixianeirong:
出境業務描述應與法律文件中涉及業務名稱一致;
數據出境目的可以包括開展業務合作�、技術研究�、經營管理等�����,但要求具體進行闡述;
擬出境數據需要明確數據類型�、敏感程度�����、數據規模��、涉及行業/領域���、涉及自然人數量和涉及重要數據數量���,其中對於個人信息的敏感程度識別可以參照《信息安全技術 個人信息安全規範》(GB/T35273-2020)���;
對於境外接收方的信息要求除了基本情況之外���,要求對其數據安全責任人和管理機構的情況進行記述�;
法律文件需要對重點審核的內容的頁碼和條款內容進行記述�����,並在提交的法律文件中對相關條款做高亮�����、線框等顯著標識���;
申報表中涉及的遵守中國法律�、行政法規�、部門規章的考查期間是2年���,需要企業說明在業務經營活動中受到行政處罰和有關主管部門調查及整改情況�����,重點關注數據和網絡安全方麵。
# 自評估報告
對於風險自評估工作����,《申報指南》附件4中提供了《數據出境風險自評估報告(模板)》供參考。風險自評估是安全評估流程中必備和最重要的環節�,可以說自評估工作的質量直接關係安全評估的通過與否。《評估辦法》中�����,就風險自評估中的重點事項作出了規定�����,而通過《申報指南》中(zhong)的(de)報(bao)告(gao)模(mo)板(ban)�,數(shu)據(ju)處(chu)理(li)者(zhe)能(neng)夠(gou)更(geng)直(zhi)觀(guan)地(di)理(li)解(jie)該(gai)等(deng)重(zhong)點(dian)事(shi)項(xiang)應(ying)當(dang)如(ru)何(he)體(ti)現(xian)。根(gen)據(ju)模(mo)板(ban)�,自(zi)評(ping)估(gu)報(bao)告(gao)應(ying)當(dang)包(bao)括(kuo)四(si)部(bu)分(fen)內(nei)容(rong)��,分(fen)別(bie)為(wei)自(zi)評(ping)估(gu)工(gong)作(zuo)簡(jian)述(shu)�����、出境活動整體情況����、nichujinghuodongdefengxianpingguqingkuanghechujinghuodongfengxianzipinggujielun。qizhongmeiyibufenneirongyingdangbaohandejutipingguneirong���,youyubenwenpianfuyouxian��,buzuojutizhankai��,pingguqiyekeyishijicanzhaomoban。
danshixuyaotishideshi���,pingguqiyexuyaomingquezipinggudemudeyingdangjujiaozaixiangjinxinganquanpinggudewangxinbumentigongbiyaoxinxihepingguyiju�,yincisuoyouzipingguneirongchuleguanzhu《評估辦法》第五條自評估重點評估事項之外�����,應當圍繞《評估辦法》第八條安全評估的重點評估內容即數據出境活動可能對國家安全�����、公共利益����、個人或者組織合法權益帶來的風險展開�����,包括該條中的評估內容如何在自評估報告中體現也是特別需要注意的重點。這一點在《申報指南》列出的評估內容中有具體體現。例如�����,自評估報告關於境外接收方情況的評估點中��,要求說明“境外接收方所在國家或地區數據安全保護政策法規和網絡安全環境情況”就是為了對應《評估辦法》第八條第(二)項的評估事項。我們建議評估企業結合上述的注意點提示內容�����,參照自評估報告的模板內容認真���、完整地實施自評估工作。
《申報指南》與數據出境安全評估流程
通過本次出台的《申報指南》�,可以總結出現行法規體係下數據出境安全評估的流程如下:
第一步:進行風險自評估(申報前3個月以內完成)�;
第二步:按照《申報指南》附件1中的要求填寫����、準備申報材料並向省級網信部門進行申報�����;
第三步:省級網信部門進行完備性審查並報送國家網信辦(5個工作日內完成��,根據審查結果可能退回申報)��,我們認為完備性審查不同於形式性審查����,需要充分予以重視��;
第四步:國家網信辦確定是否受理申報並發送書麵通知(7個工作日內完成)�;
第五步:國家網信辦進行審查(發出書麵受理通知書之日起45個工作日內完成。需要數據處理者補正材料的���,根據補正情況可能終止安全評估或延長評估時間)�����;
第六步:國家網信辦完成評估�����,向數據處理者發送評估結果通知書���;
第七步:數據處理者申請複評(收到評估結果通知書15個工作日內進行�����,如需)。考慮到根據評估結果進行資料的補充和整改工作可能較難在15個工作日內完成�����,且複評結果是終局的�����,我們建議盡量將溝通和準備工作在前期工作中進行。
2022年9月1日起����,隨著《評估辦法》的正式施行�����,其中規定的六個月整改期也正式進入倒計時。雖然《申報指南》旨在指導和幫助數據處理者規範���、有序申報�,並非直接反映監管部門進行安全評估時的評估標準的文件���,但根據《評估辦法》中規定的安全評估具體事項����,結合《申報指南》中要求數據處理者提供的信息和材料��,以及其中透露出的相關信息�,數據處理者可以更好地通過具體信息���、材料體現能夠反映和說明安全評估具體事項所涉及的內容��,從而配合監管部門�,以期更加順利地通過安全評估。伴隨《申報指南》的發布�,國家網信辦等還公開了谘詢電話��,根據谘詢和各界關注�����、反應的問題�,未來還有可能發布後續指南��,我們也會持續關注�,助力企業順利實施評估工作。
注:原文首發於公眾號“數據安全推進計劃”
