版權聲明:本文版權歸文章作者所有,僅代表作者觀點,本文不用於商業用途,僅為學習交流之用,如文中的內容、圖片、音頻、視頻等如有侵權,請及時聯系本站站長刪除。
本文來源於【網信辦】
Law ★ NEWS ★ 2022年8月31日,國家互聯網信息辦公室發布《數據出境安全評估申報指南(第一版)》(以下簡稱“《指南》”),在已正式施行的《數據出境安全評估辦法》(以下簡稱“《辦法》”)基礎上,進一步明確了數據出境安全評估的適用範圍、申報方式及流程、應當提交的申報材料以及申報諮詢的官方渠道,並提供了數據出境安全評估申報書模板以及數據出境風險自評估報告模板等附件,以指導和幫助數據處理者規範、有序申報數據出境安全評估。 要點摘錄 01 明確數據出境行為的具體情形 《指南》明確了數據出境行為的具體情形包括: 數據處理者將在境內運營中收集和產生的數據傳輸、存儲至境外; 數據處理者收集和產生的數據存儲在境內,境外的機構、組織或者個人可以查詢、調取、下載、導出; 國家網信辦規定的其他數據出境行為。 相較於網信辦就《辦法》答記者問中的回複,《指南》將遠程訪問場景下的“訪問或者調用”更新為“查詢、調取、下載、導出”,並新增“國家網信辦規定的其他數據出境行為”作為兜底性條款,拓寬了數據出境的解釋口徑。 02 細化省級網信辦和國家網信辦的兩級分工 《指南》在表述上細化了申報階段中省級網信辦和國家網信辦的兩級分工流程,即: 省級網信辦:查收申報材料,僅對申報材料進行完備性查驗,不決定是否受理(形式審查);如通過完備性查驗,則上報申報材料至國家網信辦。 國家網信辦:確定是否受理。 03 明確數據出境安全評估的申報材料及要求 《指南》明確了數據處理者申報時應當提交的材料及要求,並提供了相應模板,具體包括: 數據出境安全評估申報材料要求 經辦人授權委托書(模板) 數據出境安全評估申報書(模板) 數據出境風險自評估報告(模板) 我們梳理了《指南》與《辦法》要求提供的申報材料,對比如下: 《數據出境安全評估辦法》 《數據出境安全評估申報指南 (第一版)》 1.申報書2.數據出境風險自評估報告3.數據處理者與境外接收方擬訂立的法律文件4.安全評估工作需要的其他材料(第六條) 1.統一社會信用代碼證件影印件2.法定代表人身份證件影印件3.經辦人身份證件影印件4.經辦人授權委托書5.數據出境安全評估申報書6.與境外接收方擬訂立的數據出境相關合同或者其他具有法律效力的文件影印件7.數據出境風險自評估報告8.其他相關證明材料 值得注意的是,《指南》將《辦法》所規定的“數據處理者與境外接收方擬訂立的法律文件”更新為“與境外接收方擬訂立的數據出境相關合同或者其他具有法律效力的文件影印件”,明確法律文件即“數據出境相關合同或者其他具有法律效力的文件”。同時,針對該法律文件: 數據處理者應對文件中數據出境相關約定條款作高亮、線框等顯著標識。 法律文件以中文版本為準,若僅有非中文版本,須同步提交準確的中文譯本。 此外,《指南》與《辦法》相比,刪除了提交虛假材料的追責要件中“故意”這一要件,強化了對申報材料真實性的要求。 04 提供網信辦官方的申報諮詢窗口 電子郵箱:sjcj@cac.gov.cn 聯系電話:010-55627135 05 《數據出境安全評估申報表》及填表說明 《數據出境安全評估申報表》(以下簡稱“《申請表》”)含14個板塊,涉及數據出境業務描述,數據出境的目的、方式、鏈路,擬出境數據情況,境外接收方情況,法律文件及條款索引,以及數據處理者遵守中國法律、行政法規、部門規章情況等。附後填表說明對《申請表》內容進行了澄清,重點摘錄如下: 數據出境目的:如開展業務合作、技術研究、經營管理等。 數據出境方式:如公共互聯網傳輸、專線傳輸等。 數據出境鏈路:如鏈路提供商、鏈路數量與帶寬、境內外落地數據中心名稱及機房物理位置、IP地址等。 擬出境數據情況:關於“個人信息的敏感程度”,可參照國家標準《信息安全技術 個人信息安全規範》。“涉及行業/領域”填寫出境數據涉及的行業領域範圍,如工業、電信、金融、交通、自然資源、衛生健康、能源、教育、科技、國防科工等。 遵守中國法律、行政法規、部門規章情況:簡述近2年在業務經營活動中受到行政處罰和有關主管監管部門調查及整改情況,重點說明數據和網絡安全方面相關情況。 06 明確可以聘請外部機構開展自評估 根據《數據出境風險自評估報告 (模板)》的說明,數據處理者可以聘請外部機構開展數據出境風險自評估。如有第三方機構參與自評估,須在自評估報告中說明第三方機構的基本情況及參與評估的情況,並在相關內容頁上加蓋第三方機構公章。 07 自評估報告的完成時間 數據出境風險自評估需要在申報前3個月內完成,且至申報之日無重大變化。 程序指引 如前所述,《指南》在表述上細化了申報階段中省級網信辦和國家網信辦的兩級分工流程,整體上仍遵循《辦法》所規定的申報流程,詳見下圖: 該流程圖按照《辦法》繪制 我們摘錄了《辦法》和《指南》中涉及申報流程的條文,對比如下: 《數據出境安全評估辦法》 《數據出境安全評估申報指南 (第一版)》 數據處理者向境外提供數據,有下列情形之一的,應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估:(第四條第一款) 數據處理者申報數據出境安全評估,應當通過所在地省級網信辦申報數據出境安全評估。申報方式為送達書面申報材料並附帶材料電子版。(申報方式及流程) 省級網信部門應當自收到申報材料之日起5個工作日內完成完備性查驗。申報材料齊全的,將申報材料報送國家網信部門;申報材料不齊全的,應當退回數據處理者並一次性告知需要補充的材料。(第七條第一款) 省級網信辦收到申報材料後,在5個工作日內完成申報材料的完備性查驗。通過完備性查驗的,省級網信辦將申報材料上報國家網信辦;未通過完備性查驗的,數據處理者將收到申報退回通知。(申報方式及流程) 國家網信部門應當自收到申報材料之日起7個工作日內,確定是否受理並書面通知數據處理者。(第七條第二款) 國家網信辦自收到省級網信辦上報申報材料之日起7個工作日內,確定是否受理並書面通知數據處理者。(申報方式及流程) 國家網信部門受理申報後,根據申報情況組織國務院有關部門、省級網信部門、專門機構等進行安全評估。(第十條) - 安全評估過程中,發現數據處理者提交的申報材料不符合要求的,國家網信部門可以要求其補充或者更正。數據處理者無正當理由不補充或者更正的,國家網信部門可以終止安全評估。(第十一條第一款) 數據處理者如被告知補充或者更正申報材料,應當及時按照要求補充或者更正材料。無正當理由不補充或者更正申報材料的,安全評估將會終止。(申報方式及流程) 數據處理者對所提交材料的真實性負責,故意提交虛假材料的,按照評估不通過處理,並依法追究相應法律責任。(第十一條第二款) 數據處理者對所提交材料的真實性負責,提交虛假材料的,按照評估不通過處理,並依法追究相應法律責任。(申報材料) 國家網信部門應當自向數據處理者發出書面受理通知書之日起45個工作日內完成數據出境安全評估;情況複雜或者需要補充、更正材料的,可以適當延長並告知數據處理者預計延長的時間。(第十二條第一款) 情況複雜的,數據處理者將被告知評估預計延長的時間。(申報方式及流程) 評估結果應當書面通知數據處理者。(第十二條第二款) 評估完成後,數據處理者將收到評估結果通知書。(申報方式及流程) 數據處理者對評估結果有異議的,可以在收到評估結果15個工作日內向國家網信部門申請複評,複評結果為最終結論。(第十三條) 對評估結果無異議的,數據處理者須按照數據出境安全管理相關法律法規和評估結果通知書的有關要求,規範相關數據出境活動;對評估結果有異議的,數據處理者可以在收到評估結果通知書15個工作日內向國家網信辦申請複評,複評結果為最終結論。(申報方式及流程) 通過數據出境安全評估的結果有效期為2年,自評估結果出具之日起計算。在有效期內出現以下情形之一的,數據處理者應當重新申報評估:(第十四條第一款) - 有效期屆滿,需要繼續開展數據出境活動的,數據處理者應當在有效期屆滿60個工作日前重新申報評估。(第十四條第二款) - 數據出境風險自評估報告 《指南》提供了數據出境風險自評估報告模板,供企業參照適用。 報告框架 一、自評估工作簡述 自評估工作開展情況,包括起止時間、組織情況、實施過程、實施方式等內容。 二、出境活動整體情況 (一)數據處理者基本情況 (二)數據出境涉及業務及信息系統情況 (三)擬出境數據情況 (四)數據處理者數據安全保障能力情況 (五)境外接收方情況 (六)法律文件約定數據安全保護責任義務的情況 (七)數據處理者認為需要說明的其他情況 三、擬出境活動的風險評估情況 就《辦法》第五條所列事項逐項說明風險評估情況,重點說明評估發現的問題和風險隱患,以及相應采取的整改措施及整改效果。 四、出境活動風險自評估結論 評估結論及其理由、論據等。 ✦ 正文 Law ★ 通知 ★ 國家互聯網信息辦公室發布 《數據出境安全評估申報指南(第一版)》 2022年08月31日 為了指導和幫助數據處理者規範、有序申報數據出境安全評估,國家互聯網信息辦公室編制了《數據出境安全評估申報指南(第一版)》,對數據出境安全評估申報方式、申報流程、申報材料等具體要求作出了說明。 數據處理者因業務需要確需向境外提供數據,符合數據出境安全評估適用情形的,應當根據《數據出境安全評估辦法》規定,按照申報指南申報數據出境安全評估。 ★ 《數據出境安全評估申報指南(第一版)》 ★
導讀
發表評論 取消回複