2022年7月7日,国家互联网信息办公室(“国家网信办”)发布《数据出境安全评估办法》(“《办法》”)。《办法》的发布,标志着我国数据出境安全评估制度得以尘埃落定。有关《办法》主要内容的分析,可以参见我们此前的解读文章《数据出境安全评估办法》解读(点击可跳转)。
《办法》已于2022年9月1日起正式施行。为了指导和帮助数据处理者规范、有序申报数据出境安全评估,国家网信办编制并于2022年8月31日发布《数据出境安全评估申报指南(第一版)》(“《指南》”),对数据出境安全评估申报方式、申报流程、申报材料等具体要求作出说明。我们特就相关内容以快问快答的形式做出整理,以供有数据出境需求的企业参考。
问题 1
数据出境安全评估的适用范围包括哪些?
《指南》规定,数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信办向国家网信办申报数据出境安全评估:
(图1 申报数据出境安全评估的情形)
《指南》并未对《办法》中规定的适用范围做出修改,但是对于何为数据出境行为,《指南》对此前《办法》答记者问中的回复做出一些文字上的完善,使得相关规定更加周严。具体如下:
(图2 数据出境行为的范围)
问题 2
数据出境安全评估的流程具体包括哪些?
根据《办法》和《指南》,数据出境安全评估申报流程可总结如下:
(图3 申报数据出境安全评估流程)
问题 3
申报数据出境安全评估需提交哪些材料?
《指南》明确,申报方式为送达书面申报材料并附带材料电子版,电子版以光盘形式提交。其中申报的材料和相关要求具体如下:
表1 申报材料清单
上述材料中,除材料1、2、3、6和8,《指南》均提供了相关模板参考。
问题 4
申报书有哪些内容?
《指南》提供了申报书模板,包括(1)承诺书和(2)数据出境安全评估申报表2个部分。
承诺书又包括以下四个方面的内容:
(图4 承诺书内容)
数据出境安全评估申报表包括14个方面,但可以总结为5个主题,具体如下:
表2 申报表内容
内容 | 主题 | |
01数据处理者情况 | (一)数据处理者相关信息 | |
02法定代表人信息 | ||
03数据安全负责人和管理机构信息 | ||
04经办人信息 | ||
05数据出境业务描述 | (二)数据出境基本信息 | |
06数据出境的目的 | ||
07数据出境的方式 | ||
08数据出境链路 | ||
09拟出境数据情况 | ||
10境外接收方情况 | (三)境外接收方相关信息 | |
11境外接收方数据安全责任人和管理机构情况 | ||
12法律文件 | (四)法律文件相关信息 | |
13相关条款在法律文件中的页码及条款 | ||
14数据处理者遵守中国法律、行政法规、部门规章情况 | (五)数据处理者合规状况 |
值得注意的是,尽管《指南》并未对与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件(“法律文件”)提供模板,但是《办法》第9条对于法律文件应当包括的主要内容进行了规定,具体如下图。《指南》特意在申报书第13项要求数据处理者在申报书中明确《办法》第9条规定的主要内容均已涵盖在法律文件中。
(图5 法律文件主要条款)
此外,申报书第14项数据处理者遵守中国法律、行政法规、部门规章情况,指的是数据处理者近2年在业务经营活动中受到行政处罚和有关主管监管部门调查及整改情况,重点包括数据和网络安全方面相关情况。
问题 5
自评估主要评估哪些内容?
《办法》第5条规定,数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估。为了保障自评估的时效性,《指南》要求,自评估活动应当在申报评估前的3个月之内完成,并要求自评估内容至申报之日未发生重大变化。此外,如果有第三方机构参与自评估,数据处理者须在自评估报告中说明第三方机构的基本情况及参与评估的情况,并在相关内容页上加盖第三方机构公章。
《指南》要求自评估应当包括以下4个方面的内容:自评估工作简述;出境活动整体情况;拟出境活动的风险评估情况;出境活动风险自评估结论。其中,出境活动整体情况和拟出境活动的风险评估情况所占篇幅最重,是自评估的主体部分。
对于出境活动整体情况,应当详细说明数据处理者基本情况、数据出境涉及的业务和信息系统、出境数据情况、数据处理者安全保障能力情况、境外接收方情况、法律文件约定情况等。这些信息多数在前述申报书中已经做出了简述。从自评估所设置的具体内容来看,自评估中不但关注数据出境活动的参与者(数据处理者和境外接收方)的情况,也关注数据出境涉及的业务和系统,意在了解数据出境所牵涉的数据资产和信息系统资产安全性的影响范围。另外,自评估再次在法律文本约定情况中强调,应当对《办法》第9条有关法律文件应当包括的主要内容予以落实。
对于拟出境活动的风险评估情况,如同《办法》第5条,《指南》要求数据处理者应当评估以下事项,重点说明评估发现的问题和风险隐患,以及相应采取的整改措施及整改效果。
(图6 自评估重点评估内容)
问题 6
如果有申报相关问题,是否有咨询途径?
根据《指南》,申报方面的内容可以通过以下方式和国家网信办取得联系:
电子邮箱:sjcj@cac.gov.cn
联系电话:010-55627135
《办法》已经发布一个月有余,并已于今日正式生效。尽管《办法》对其施行前已开展的数据出境活动,提供了6个月的整改期,供数据处理者纠正不符合《办法》规定的实践操作,但如今《指南》发布,说明网信部门已经做好了数据出境安全评估的各项落地工作,因此,建议已经开展数据出境活动的相关企业尽快评估出境活动是否落入《办法》的适用范围,并根据《指南》的相关流程和要求,积极开展申报工作。
作者:薛颖
薛颖律师是北京己任律师事务所主管法律合规业务的高级顾问律师(合伙人级),专长于网络安全和数据保护、竞争法、反商业贿赂、中国社会信用体系等领域的合规业务,对前述法律的交叉领域有深刻的理解。薛律师在美国伊利诺伊大学法学院专门研习竞争法并取得博士学位(J.S.D.);执业之余,还担任湖北省反垄断专家库专家和深圳市公平竞争审查和竞争法专家库专家、辽宁省公平竞争审查专家,并作为中国社会科学院法学所博士后参与多项研究课题,为竞争和数据监管政策的制定踊跃建言献策。加入己任律师事务所之前,薛律师作为合规高级律师服务于两家中国律师事务所。薛律师积极撰写与法律合规相关的文章、评论,还曾担任澳新政府学院主办的The China Competition Bulletin的编辑。薛律师参与组织翻译了第一本GDPR 中文译本,该书于2018 年正式出版发行。
作者:陈 扬
陈扬律师专注于网络安全和数据保护、个人信息保护以及合规监管咨询业务,参与多件疑难复杂案件。陈扬律师具有中国律师执业资格,并获得国际隐私专业协会(IAPP)的注册信息隐私管理师(CIPM)和欧盟注册信息隐私专家(CIPP/E)资质,在数据合规领域有丰富的经验。