监管动态 | 《浙江省数据出境安全评估申报工作问答(二)》
编者按
2023年3月9日,浙江省互联网信息办公室(以下简称“浙江网信办”)公布了《浙江省数据出境安全评估申报工作问答(二)》(以下简称《问答》),对十个常见问题发布了实务回答。
主要内容
我们对《问答》中十个常见问题的实务回答进行了总结:
(点击可查看大图)
简析
问答总体反应了在数据出境安全评估过程中,监管对申报材料趋于精细化的审核要求。企业在完成自评估材料的准备过程中,必须严格按照《数据出境安全评估办法》《数据出境安全评估指南(第一版)》及其附件对申报材料形式上与内容上的要求,明确、充分的回应网信办所关注的各个评估事项。
根据我们的实务经验,监管在审核企业的申报材料时,针对不同企业的不同情形,审核要求往往比问答本身所体现的内容更为精细。例如,企业在说明所触发的申报条件时(CIIO、掌握100万用户、传输重要数据、两年传输10万人的个人信息或两年传输1万人的敏感个人信息),不仅需要说明企业在进行安全评估申报时具体触发的是哪一项或哪几项申报条件,还应当充分说明:
企业是如何触发该项申报条件的;
测算的具体方法是什么;
测算所得结论在评估周期内是否会发生改变以及如何进行改变等。
上述问答要求企业在说明数据链路时,必须一一回应《数据出境安全评估指南(第一版)》当中的要求,逐一说明IP、数据中心等事项。但实际上,监管对企业的要求不仅仅囿于列点式的“逐一说明”,还可能要求企业将不同IP地址与数据中心的对应关系进行深度阐释。
鉴于目前数据安全评估趋于精细化的监管审核要求,企业在做到“完整答题”,不忽视任何评估事项的基础之上,还需要考虑对评估事项进行充分的说明与论证,并准确理解各评估事项之间的对应关系。我们建议有数据出境安全评估需求的企业,可以考虑聘请相关丰富经验的专业机构协助完成自评估,以更为准确的理解监管在各个评估事项当中的要求与“言外之意”,并起到事半功倍的效果。
点击下方“阅读原文”,可获取《问答》全文
本文首发自公众号:数据与电商研究室
如需转发,请注明信息来自数据与电商研究室,如有意见建议或合作,请邮件CPdatalaw@zhonglun.com.
往 期 精 彩
解读文章
Core Issues When Processing Employees’ Personal Information(Q&A)
Landmark Rules on Certification for Cross-Border Data Processing
案例分享
★
长按二维码一键关注