查看原文
其他

细节决定成败丨上海网信办发布数据出境安全评估申报工作实务问答

蔡荣伟 杨杰 中伦视界
2024-08-26

近日,上海网信办发布两则《数据出境安全评估申报工作实务问答》,细化了数据出境安全评估申报材料及申报流程。本文将解析《实务问答》中提及的重要细节,以期为相关上海企业提供有益参考。

作者丨蔡荣伟 杨杰


一、背景



2022年7月7日,国家互联网信息办公室(“国家网信办”)发布了《数据出境安全评估办法》(“《评估办法》”),对需申报数据出境安全评估的情形、申报材料、评估事项及评估流程等方面进行了规定。《评估办法》已于2022年9月1日生效。


为指导和帮助数据处理者根据《评估办法》规范、有序地申报数据出境安全评估,国家网信办于2022年8月31日发布了《数据出境安全评估申报指南(第一版)》(“《申报指南》”),对数据出境安全评估适用范围、申报方式及流程、申报材料进行了进一步细化。其中,针对申报材料,《申报指南》以附件形式提出了较为详细的数据出境安全评估申报材料要求,并提供了相关模板及相应的填写说明。


根据《评估办法》,目前数据出境安全评估工作落实属地申报原则,数据处理者应通过所在地省级网信部门向国家网信部门申报数据出境安全评估。数据处理者需通过所在地省级网信部门的完备性查验后,申报材料才能通过省级网信部门报送至国家网信办。因此,作为数据出境安全评估的第一站,各省级网信部门也积极结合地方实践,探索地方性的申报指南,如江苏省互联网信息办公室于2022年9月1日发布了《江苏省数据出境安全评估申报工作指引(第一版)》,浙江省互联网信息办公室于2023年1月6日发布了《浙江省数据出境安全评估申报材料指引》。


上海在我国的经济、金融、贸易、科技创新等方面具有重要地位,国际化程度高。因此,上海很多企业都存在数据出境的需求。根据上海市互联网信息办公室(“上海网信办”)公布的数据,自2022年9月1日《评估办法》实施以来,截至2023年1月31日,上海网信办已解答咨询电话1300余通,接收正式申报材料67件,其中通过完备性查验并报送国家网信办35件,正在进行完备性查验17件,主要涉及零售、汽车、金融、医药等领域[1]上海网信办结合上述咨询情况及完备性查验常见问题分别于2022年11月3日及2023年2月1日发布了两则《数据出境安全评估申报工作实务问答》(以下合称“《实务问答》”)[2],进一步细化了数据出境安全评估申报材料及申报流程。


上海网信办发布的《实务问答》中提到了诸多申报过程中需要注意的细节,各拟申报数据出境安全评估的上海企业应充分关注该等细节,以使得申报工作事半功倍。本文将对《实务问答》中的重要细节进行分析,供相关上海企业参考。


二、《实务问答》要点提示



1. 申报材料要求


《申报指南》第三条规定了,数据处理者申报数据出境安全评估,应当提交如下材料,并对以下第(4)、(5)、(7)项材料提供了相应模板以及详细的填写说明[3]


(1) 统一社会信用代码证件影印件

(2) 法定代表人身份证件影印件

(3) 经办人身份证件影印件

(4) 经办人授权委托书

(5) 数据出境安全评估申报书

(6) 与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件影印件

(7) 数据出境风险自评估报告

(8) 其他相关证明材料。


《实务问答》中所列申报材料与《申报指南》中所列的申报材料及具体要求一致,此处不再赘述。值得关注的是,上海市监局在《实务问答》中对准备具体申报材料时的几处细节问题进行了回复:


①数据处理者不得自行变更申报材料模板


数据处理者应严格参照《申报指南》各材料模板填写,不得自行增删修改模板


②经办人授权委托书、承诺书填写注意事项


数据处理者应严格按照《申报指南》模板拟写经办人授权委托书、承诺书,并在对应位置加盖公章、签字、注明日期,其中签字应确保手写笔迹


③《数据出境安全评估申报表》填表原则


《实务问答》指出,数据处理者应按照应填尽填、真实完整原则填写《数据出境安全评估申报表》,同一表格项如存在并列内容均需填写。《申报指南》填表说明中提及的表格项应按说明要求进行填写,例如08项数据链路提及填写要素均需涵盖、13项需正确引用页码并对相关内容进行高亮标注等。


此外,考虑到《数据出境安全评估申报表》中可能涉及无法填写的内容,上海网信办在《实务问答》中进一步指出,对于数据出境安全评估申报表中涉及无法填写的内容,需要形成解释说明材料并加盖数据处理者公章


④与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件形式要求


对于该份法律文件的形式,《实务问答》指出并无明确无限制,数据处理者可结合实际提交合同,也可以提交内部制度等法律文件。此处,上海网信办对于“其他具有法律效力的文件”进行了解释,即可对应合同、企业内部制度。


另外,对于该法律文件,《实务问答》中还强调了,通过数据出境安全评估后,数据处理者开展出境活动前实际签署的法律文件应与此前申报开展数据出境活动实际情形一致。该份法律文件是数据出境安全评估的重要内容,企业应注意保持该份文件在安全评估前后的一致性。


⑤《数据出境风险自评估报报告》撰写注意事项


《申报指南》中提供了《数据出境风险自评估报报告》模板,对自评估报告的要求、框架及主要内容进行了阐述。《实务问答》中强调,数据处理者应严格按照模板进行报告撰写,确保真实完整,不得变更自评估报告框架,同时建议增加目录并注明页码


2. 经办人及第三方机构要求


经办人在数据出境安全评估过程中是一个非常重要的角色。根据《申报指南》中所示《经办人授权委托书》模板,经办人经数据处理者法定代表人的授权,将代表数据处理者进行数据出境安全评估申报工作过程中的一切行为,数据处理者应对经办人所签署和上传的资料予以承认,并承担相应的法律责任


针对经办人这一重要角色,上海网信办也在《实务问答》中明确了经办人必须为数据处理者正式员工。因此,数据处理者并不能直接委托具有相关经验的第三方机构的专业人士担任经办人,而仅可从其正式员工中选择经办人进行委托,并且需提供经办人准确有效的联系方式。


虽然经办人必须为数据处理者的正式员工,但考虑到数据处理者内部人士可能缺乏数据出境安全评估相关专业知识或经验,数据处理者可能需委托第三方机构参与评估流程。《申报指南》及《实务问答》中均提到,数据处理者可委托第三方机构参与其自评估,但需在自评估报告中说明第三方机构的基本情况及参与评估的情况,并在相关内容页上加盖第三方机构公章


3. 数据处理者如何确定拟出境数据情况


《数据出境安全评估申报表》第09项需填写“拟出境数据情况”。对数据类型、敏感程度、数据规模、涉及行业/领域、涉及自然人数量、涉及重要数据数量进行填写申报。对此,《实务问答》中进一步明确了以下两点:


(1) 拟出境数据的统计时间区间


根据《评估办法》第十四条要求,“通过数据出境安全评估的结果有效期为2年,自评估结果出具之日起计算”。因此,《实务问答》进一步明确,数据处理者申报的出境数据应为未来两年的拟出境数据,包括数据规模和涉及自然人数量。这一规定将拟出境数据的统计区间框定在了“未来两年”,为数据处理者统计拟出境数据的区间提供了明确指引。


(2) 涉及自然人数量统计


《实务问答》进一步明确,自然人数量应按人数计算,并标注是否去重。我们理解,标注是否“去重”指的是应标注数据处理者在计算自然人人数时,对于在不同数据处理场景下同一个自然人的行为是否重复计算。


4. 申报材料提交要求


(1) 申报材料纸质件装帧、打包要求


《实务问答》指出,数据处理者装帧申报材料形式无限制,可采用长尾票夹、回形针、订书针、文件袋等,建议不要采用形式奇特、过于精美繁复的装帧。如申报材料较多,请使用无文字及图案标记的纯色纸箱打包


(2) 申报材料电子版的提交要求


《申报指南》中要求在提交书面申报材料的同时,需通过光盘方式提交相应电子版文件。《实务问答》进一步明确了一次提交涉及多个场景的情况下电子版的提交要求。《实务问答》指出,若一次提交涉及多个场景,可刻录在一张光盘中,不同场景设置单独的文件夹,每个场景文件夹内需包含《申报指南》附件1提到的一整套材料。需要确保PDF版本材料和纸质件一致(带公章、签字等)。此外,建议附上WORD版本材料。


(3) 申报材料纸质版的报送方式


根据上海网信办在《实务问答》中的回复,数据处理者可选择邮寄报送或者现场报送两种报送方式。《实务问答》中也提供了相关报送地址、收件人、电话及快递要求。数据处理者在提交报送材料时,应注明“XX单位数据出境安全评估材料”,并在报送请提前电话联系。


三、数据出境安全评估申报相关建议



上海网信办在《实务问答》中已基于目前申报工作实践以及申报企业咨询的普遍问题对企业数据出境安全评估申报工作进行了进一步细化指导,对有数据出境安全评估申报需求的相关上海企业有重要参考价值。结合《实务问答》相关内容及我们已有的经验,我们对相关企业数据出境安全评估申报工作提出以下几点建议:


1. 慎重选择经办人,必要时聘请第三方机构协助


如前所述,经办人在数据出境安全评估申报工作中起到了至关重要的作用。相关企业最好选择有一定数据合规知识和经验的员工担任经办人。同时,必要时应聘请第三方专业机构予以协助,借助第三方专业机构的专业知识和经验,对外更好地与网信部门进行沟通,对内更好地指导评估工作的开展。


2. 善于利用咨询渠道,积极与网信部门进行沟通


《评估办法》自2022年9月1日生效至今不到半年的时间,相关申报企业大多是“摸着石头过河”。各地网信部门也考虑到了各申报企业缺乏申报经验的情况,均开通了相关电话、邮件等咨询渠道。


因此,在申报过程中,申报企业应善于利用咨询渠道,与网信部门保持积极的沟通,以更好领会《评估办法》及《申报指南》的实践标准。《实务问答》也是上海网信办在解答申报企业相关咨询问题的基础上形成的指导意见,为后续申报企业的申报工作提供了便利。


3. 注重细节,事半功倍


《申报指南》已经规定了较为细致的申报文件填写要求,并提供了相关申报文件模板。《实务问答》进一步为上海申报企业提供了实操层面的细化指导。从上述文件不难看出,数据出境安全评估申报工作是一项细致、较为繁琐的工作,大到拟出境数据情况的统计,小到申报材料页码格式,方方面面均需数据处理者注意符合相关规定和要求。


虽然依据《实务问答》,上海网信办对于申报材料被退回后,重新提交申报的次数没有限制,但是,对于申报企业来讲,申报的时间、效率关系到商业机会及商业运营,尤其是对于《评估办法》施行前已经开展的数据出境活动,在《评估办法》施行后仅有6个月的整改时间。因此,申报企业应在申报工作中特别注重细节问题,以期事半功倍,避免多次提交申报材料,贻误商机。


[注] 

[1]《发布丨数据出境安全评估申报工作实务问答(二)》,2023年2月1日发表于“网信上海”公众号,网址:https://mp.weixin.qq.com/s/4lYcOmFNVOOtn_YqS6v3HA

[2]《发布丨数据出境安全评估申报工作实务问答(一)》,2022年11月3日发表于“网信上海”公众号,网址:https://mp.weixin.qq.com/s/PEzV4-LLa2WCg3-LBNeRiQ;《发布丨数据出境安全评估申报工作实务问答(二)》参见批注1。

[3]《申报指南》链接:http://www.cac.gov.cn/2022-08/31/c_1663568169996202.htm。其中附件一规定了“数据出境安全评估申报材料要求”;附件二为“经办人授权委托书”模板;附件三为“数据出境安全评估申报书”模板,包括“填表说明”、“承诺书”及“数据出境安全评估申报表”三部分;附件四为“数据出境风险自评估报告”模板。


蔡荣伟  律师


上海办公室  高级顾问

业务领域:投资并购和公司治理, 网络安全和数据保护, 诉讼仲裁

特色行业类别:能源与自然资源, 通讯与技术


杨杰  律师


上海办公室  公司业务部




《美国知识产权保护再出新招,中国企业出海又添挑战——<2022年保护美国知识产权法案>正式签署》

《中国网络安全、数据安全和个人信息保护法概览》

《NFT在中国面临的法律监管》

《<个人信息跨境处理活动认证技术规范(征求意见稿)>要点评析》

《企业数据合规如何迈出第一步——网络数据分类分级新规解读》

特别声明

以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。


如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。

继续滑动看下一个
中伦视界
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存