网信办发布第一版指南,数据出境安全评估申报流程全梳理
欢迎点击上方 TMT法律论坛 关注我们
导读
Law
★
NEWS
★
2022年8月31日,国家互联网信息办公室发布《数据出境安全评估申报指南(第一版)》(以下简称“《指南》”),在已正式施行的《数据出境安全评估办法》(以下简称“《办法》”)基础上,进一步明确了数据出境安全评估的适用范围、申报方式及流程、应当提交的申报材料以及申报咨询的官方渠道,并提供了数据出境安全评估申报书模板以及数据出境风险自评估报告模板等附件,以指导和帮助数据处理者规范、有序申报数据出境安全评估。
了解《数据出境安全评估办法》焦点问题,请点击此处。
“一图读懂《数据出境安全评估办法》”,请点击此处。
要点摘录
01
明确数据出境行为的具体情形
《指南》明确了数据出境行为的具体情形包括:
数据处理者将在境内运营中收集和产生的数据传输、存储至境外;
数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;
国家网信办规定的其他数据出境行为。
相较于网信办就《办法》答记者问中的回复,《指南》将远程访问场景下的“访问或者调用”更新为“查询、调取、下载、导出”,并新增“国家网信办规定的其他数据出境行为”作为兜底性条款,拓宽了数据出境的解释口径。
02
细化省级网信办和国家网信办的两级分工
《指南》在表述上细化了申报阶段中省级网信办和国家网信办的两级分工流程,即:
省级网信办:查收申报材料,仅对申报材料进行完备性查验,不决定是否受理(形式审查);如通过完备性查验,则上报申报材料至国家网信办。
国家网信办:确定是否受理。
03
明确数据出境安全评估的申报材料及要求
《指南》明确了数据处理者申报时应当提交的材料及要求,并提供了相应模板,具体包括:
数据出境安全评估申报材料要求
经办人授权委托书(模板)
数据出境安全评估申报书(模板)
数据出境风险自评估报告(模板)
我们梳理了《指南》与《办法》要求提供的申报材料,对比如下:
《数据出境安全评估办法》 | 《数据出境安全评估申报指南 (第一版)》 |
1.申报书2.数据出境风险自评估报告3.数据处理者与境外接收方拟订立的法律文件4.安全评估工作需要的其他材料(第六条) | 1.统一社会信用代码证件影印件2.法定代表人身份证件影印件3.经办人身份证件影印件4.经办人授权委托书5.数据出境安全评估申报书6.与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件影印件7.数据出境风险自评估报告8.其他相关证明材料 |
值得注意的是,《指南》将《办法》所规定的“数据处理者与境外接收方拟订立的法律文件”更新为“与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件影印件”,明确法律文件即“数据出境相关合同或者其他具有法律效力的文件”。同时,针对该法律文件:
数据处理者应对文件中数据出境相关约定条款作高亮、线框等显著标识。
法律文件以中文版本为准,若仅有非中文版本,须同步提交准确的中文译本。
此外,《指南》与《办法》相比,删除了提交虚假材料的追责要件中“故意”这一要件,强化了对申报材料真实性的要求。
04
提供网信办官方的申报咨询窗口
电子邮箱:sjcj@cac.gov.cn
联系电话:010-55627135
05
《数据出境安全评估申报表》及填表说明
《数据出境安全评估申报表》(以下简称“《申请表》”)含14个板块,涉及数据出境业务描述,数据出境的目的、方式、链路,拟出境数据情况,境外接收方情况,法律文件及条款索引,以及数据处理者遵守中国法律、行政法规、部门规章情况等。附后填表说明对《申请表》内容进行了澄清,重点摘录如下:
数据出境目的:如开展业务合作、技术研究、经营管理等。
数据出境方式:如公共互联网传输、专线传输等。
数据出境链路:如链路提供商、链路数量与带宽、境内外落地数据中心名称及机房物理位置、IP地址等。
拟出境数据情况:关于“个人信息的敏感程度”,可参照国家标准《信息安全技术 个人信息安全规范》。“涉及行业/领域”填写出境数据涉及的行业领域范围,如工业、电信、金融、交通、自然资源、卫生健康、能源、教育、科技、国防科工等。
遵守中国法律、行政法规、部门规章情况:简述近2年在业务经营活动中受到行政处罚和有关主管监管部门调查及整改情况,重点说明数据和网络安全方面相关情况。
06
明确可以聘请外部机构开展自评估
根据《数据出境风险自评估报告 (模板)》的说明,数据处理者可以聘请外部机构开展数据出境风险自评估。如有第三方机构参与自评估,须在自评估报告中说明第三方机构的基本情况及参与评估的情况,并在相关内容页上加盖第三方机构公章。
07
自评估报告的完成时间
数据出境风险自评估需要在申报前3个月内完成,且至申报之日无重大变化。
程序指引
如前所述,《指南》在表述上细化了申报阶段中省级网信办和国家网信办的两级分工流程,整体上仍遵循《办法》所规定的申报流程,详见下图:
该流程图按照《办法》绘制
我们摘录了《办法》和《指南》中涉及申报流程的条文,对比如下:
《数据出境安全评估办法》 | 《数据出境安全评估申报指南 (第一版)》 |
数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:(第四条第一款) | 数据处理者申报数据出境安全评估,应当通过所在地省级网信办申报数据出境安全评估。申报方式为送达书面申报材料并附带材料电子版。(申报方式及流程) |
省级网信部门应当自收到申报材料之日起5个工作日内完成完备性查验。申报材料齐全的,将申报材料报送国家网信部门;申报材料不齐全的,应当退回数据处理者并一次性告知需要补充的材料。(第七条第一款) | 省级网信办收到申报材料后,在5个工作日内完成申报材料的完备性查验。通过完备性查验的,省级网信办将申报材料上报国家网信办;未通过完备性查验的,数据处理者将收到申报退回通知。(申报方式及流程) |
国家网信部门应当自收到申报材料之日起7个工作日内,确定是否受理并书面通知数据处理者。(第七条第二款) | 国家网信办自收到省级网信办上报申报材料之日起7个工作日内,确定是否受理并书面通知数据处理者。(申报方式及流程) |
国家网信部门受理申报后,根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估。(第十条) | - |
安全评估过程中,发现数据处理者提交的申报材料不符合要求的,国家网信部门可以要求其补充或者更正。数据处理者无正当理由不补充或者更正的,国家网信部门可以终止安全评估。(第十一条第一款) | 数据处理者如被告知补充或者更正申报材料,应当及时按照要求补充或者更正材料。无正当理由不补充或者更正申报材料的,安全评估将会终止。(申报方式及流程) |
数据处理者对所提交材料的真实性负责,故意提交虚假材料的,按照评估不通过处理,并依法追究相应法律责任。(第十一条第二款) | 数据处理者对所提交材料的真实性负责,提交虚假材料的,按照评估不通过处理,并依法追究相应法律责任。(申报材料) |
国家网信部门应当自向数据处理者发出书面受理通知书之日起45个工作日内完成数据出境安全评估;情况复杂或者需要补充、更正材料的,可以适当延长并告知数据处理者预计延长的时间。(第十二条第一款) | 情况复杂的,数据处理者将被告知评估预计延长的时间。(申报方式及流程) |
评估结果应当书面通知数据处理者。(第十二条第二款) | 评估完成后,数据处理者将收到评估结果通知书。(申报方式及流程) |
数据处理者对评估结果有异议的,可以在收到评估结果15个工作日内向国家网信部门申请复评,复评结果为最终结论。(第十三条) | 对评估结果无异议的,数据处理者须按照数据出境安全管理相关法律法规和评估结果通知书的有关要求,规范相关数据出境活动;对评估结果有异议的,数据处理者可以在收到评估结果通知书15个工作日内向国家网信办申请复评,复评结果为最终结论。(申报方式及流程) |
通过数据出境安全评估的结果有效期为2年,自评估结果出具之日起计算。在有效期内出现以下情形之一的,数据处理者应当重新申报评估:(第十四条第一款) | - |
有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申报评估。(第十四条第二款) | - |
数据出境风险自评估报告
《指南》提供了数据出境风险自评估报告模板,供企业参照适用。
报告框架
一、自评估工作简述
自评估工作开展情况,包括起止时间、组织情况、实施过程、实施方式等内容。
二、出境活动整体情况
(一)数据处理者基本情况
(二)数据出境涉及业务及信息系统情况
(三)拟出境数据情况
(四)数据处理者数据安全保障能力情况
(五)境外接收方情况
(六)法律文件约定数据安全保护责任义务的情况
(七)数据处理者认为需要说明的其他情况
三、拟出境活动的风险评估情况
就《办法》第五条所列事项逐项说明风险评估情况,重点说明评估发现的问题和风险隐患,以及相应采取的整改措施及整改效果。
四、出境活动风险自评估结论
评估结论及其理由、论据等。
✦
正文
Law
★
通知
★
国家互联网信息办公室发布
《数据出境安全评估申报指南(第一版)》
2022年08月31日
为了指导和帮助数据处理者规范、有序申报数据出境安全评估,国家互联网信息办公室编制了《数据出境安全评估申报指南(第一版)》,对数据出境安全评估申报方式、申报流程、申报材料等具体要求作出了说明。
数据处理者因业务需要确需向境外提供数据,符合数据出境安全评估适用情形的,应当根据《数据出境安全评估办法》规定,按照申报指南申报数据出境安全评估。
★
《数据出境安全评估申报指南(第一版)》
★
获取PDF版本,请点击阅读原文。
作者往期文章推荐
中伦解读
域外关注
本期编辑:陈瑊 陈煜烺 张媛媛