“本文將從《數據出境安全評估辦法》的適用范圍、安全評估流程、所需提交材料介紹以及企業合規建議角度對《辦法》及申報指南進行簡要解讀。”
備受關注的中國《數據出境安全評估辦法》(以下簡稱“《辦法》”)已經于2022年9月1日起生效,而就在生效前夕中國國家網信辦又公布了與《辦法》配套使用的《數據出境安全評估申報指南(第一版)》(以下簡稱“指南”),至此,《網絡安全法》、《數據安全法》、《個人信息保護法》中均有提及的“安全評估”終于從紙上程序落實到了實處。是否需要進行數據出境安全評估以及如何開展也成了許多涉及數據出境場景的公司,尤其是駐華跨國企業的重要合規課題。
本文將從《辦法》的適用范圍、安全評估流程、所需提交材料介紹以及企業合規建議角度對《辦法》及申報指南進行簡要解讀。
一、適用范圍
《辦法》中規定的數據出境場景包括哪些呢?根據《辦法》第2條及指南第一條,數據出境包括兩類情形,一種是主動出境,即數據處理者在日常運營中收集和產生的數據傳輸、存儲至境外,實踐中常見的場景是境內主體通過軟件包括電子郵件、FTP、跨境搭建的VPN、API等傳輸信道以及硬件包括U盤、移動硬盤、甚至裝載數據的便攜筆記本等向境外主體提供數據,或者境內主體使用海外服務器時產生的數據上傳或存儲;另外一種是被動出境,即數據處理者收集和產生的數據存儲在境內,境外的機構、組織或者個人可以查詢、調取、下載、導出,實踐中常見的場景是境外主體通過訪問境內主體部署于境內的公開網頁、服務器、數據庫或信息系統等獲取數據。相比于主動出境的情形,數據被動出境的情形更容易被企業忽略。
什么樣的情況下需要進行申報安全評估呢?根據《辦法》第四條,當符合以下四個條件之一時,便需依照《辦法》的規定,進行申報:
(1)向境外提供重要數據;
(2)關鍵信息基礎設施運營者和處理100萬人以上個人信息的處理者向境外提供個人信息;
(3)自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息;
(4)網信部門規定的需要進行申報的情形。
然而,目前現行有效的法律法規、國家標準以及指南中并沒有對《辦法》中未釋明的部分(比如哪些屬于重要數據、個人信息數量的計算標準等)作進一步的細化和解釋,現階段企業還是需要參考已發布的相關信息安全技術國家標準的征求意見稿進行判斷,這同時也為企業在短時間進行數據合規的內部排查帶來了不小的挑戰。
二、申報安全評估
若企業經梳理,落入了《辦法》的適用范圍,應該依照怎樣的流程開展數據安全評估工作呢?
《辦法》明確了安全評估的具體流程,首先是應進行自評估,自評估結束形成自評估報告后并齊備其他所需材料提交所在地省級網信部門,省級網信部門在收到材料后5個工作日內進行形式審查并決定是否報送國家網信部門進行審查。國家網信部門在收到后7個工作日內確定是否受理,并在發出受理通知后45個工作日完成安全評估并告知申請人結果。整個申報流程最短需57個工作日。若出現補充、更正材料的,該周期將會進一步延長。
明白了申報流程,那么需要進行申報的企業應準備哪些材料呢?
《辦法》第六條規定了提交安全評估所需提交的材料,而指南則進一步細化并提供了相應模板。從提交的申報材料來看,主要有申報人身份信息材料、經辦人授權委托書、申報表、與數據接收方簽訂的數據出境相關合同或其他法律文件、自評估報告以及其他證明材料。值得一提的是,申報表中要求數據處理者提供自身基本信息、法定代表人、數據安全負責人和管理機構信息、經辦人信息、數據出境的業務、目的、方式、鏈路、出境數據情況、境外接收方信息及接收方數據安全責任人和管理機構信息,且要求數據處理者對于遵守中國法律、行政法規、部門規章情況進行說明。
本次發布的指南也附帶了自評估報告的模板,模板中要求數據處理者對自身的基本情況、出境數據情況、數據安全保障能力等進行說明和評估。且對境外接收方的基本情況和數據安全保障能力進行評估。同時,還應當對評估發現的問題和風險隱患采取了怎樣的整改措施及達到了什么樣的整改效果進行說明。
需要特別注意的是,安全評估并非一勞永逸,評估結果自通過之日起兩年內有效,若企業在兩年后仍有數據出境活動的,則應當在評估結果期滿之前60個工作日重新申報安全評估。由此看來,定期數據安全評估將成為有數據跨境傳輸需求的企業的常態化數據合規工作之一。同時《辦法》給予了尚未進行安全評估的企業6個月的整改期限,要求落入適用范圍的企業在《辦法》生效之日起6個月內完成整改。
三、企業合規建議
數據出境已成為企業經營過程中需要重點關注的合規風險,企業的數據出境合規必須做到全面有效地識別出境數據,持續控制和監管數據出境路徑和出境接口,建立數據出境的管理體系和制度,從而實現企業全面和常態化數據出境合規管理。因此,根據上述內容介紹,我們建議企業可以從以下方面盡快開展數據合規管理工作:
1.指南中發布的申報表中,要求明確數據處理者及境外接收方的數據安全負責人和管理機構信息。為了更加有序高效的開展數據出境安全評估工作,建議尚未設立數據安全負責人和機構的公司,應當盡快指定,并明確工作職責、工作規程等。對于落入《辦法》適用范圍的企業,因安全評估需要定期進行,所以建議設置常設崗位。
2.由于《辦法》給予企業的整改期限僅有6個月,且申報周期也較長,對于存在數據出境場景的企業,建議盡快開展內部梳理,估算整體出境數據規模,盡早決定是否申報安全評估。而且因提交材料中涉及到境外接收者的很多信息,在企業內部梳理同時,也應當并行開展跟境外接收方的溝通及基礎資料準備工作,避免造成因溝通不暢而產生過多的時間和精力。
3.本次指南提供的模板中,數據處理者需要說明自身的“數據安全管理能力,包括管理組織體系和制度建設情況,全流程管理、分類分級、應急處置、風險評估、個人信息權益保護等制度及落實情況”。對于此前未系統開展過數據合規工作的企業,應盡快制定符合前述要求的數據安全管理框架及各項數據合規規章制度,既為了滿足法律法規的要求,也能夠促進數據合規工作的有效順利開展。《辦法》不過短短20條,指南也只有寥寥幾頁,但是其中卻涉及了紛繁復雜的數據合規工作,給企業的合規工作帶了巨大的挑戰。數字化時代,我們不可能也不應該逆流而行,而應順應時代要求,切實重視數據合規工作,并予以落實。
(原標題:中國《數據出境安全評估辦法》及申報指南解讀)
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
