中國《數(shù)據(jù)出境安全評估辦法》及申報指南解讀 ?

#本文僅代表作者觀點(diǎn)，不代表IPRdaily立場，未經(jīng)作者許可，禁止轉(zhuǎn)載#

“本文將從《數(shù)據(jù)出境安全評估辦法》的適用范圍、安全評估流程、所需提交材料介紹以及企業(yè)合規(guī)建議角度對《辦法》及申報指南進(jìn)行簡要解讀?！?/strong>

來源：IPRdaily中文網(wǎng)（iprdaily.cn）

作者：劉海生 夏琳 上海魏和劉律師事務(wù)所

備受關(guān)注的中國《數(shù)據(jù)出境安全評估辦法》（以下簡稱“《辦法》”）已經(jīng)于2022年9月1日起生效，而就在生效前夕中國國家網(wǎng)信辦又公布了與《辦法》配套使用的《數(shù)據(jù)出境安全評估申報指南（第一版）》（以下簡稱“指南”），至此，《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個人信息保護(hù)法》中均有提及的“安全評估”終于從紙上程序落實(shí)到了實(shí)處。是否需要進(jìn)行數(shù)據(jù)出境安全評估以及如何開展也成了許多涉及數(shù)據(jù)出境場景的公司，尤其是駐華跨國企業(yè)的重要合規(guī)課題。

本文將從《辦法》的適用范圍、安全評估流程、所需提交材料介紹以及企業(yè)合規(guī)建議角度對《辦法》及申報指南進(jìn)行簡要解讀。

一、適用范圍

《辦法》中規(guī)定的數(shù)據(jù)出境場景包括哪些呢?根據(jù)《辦法》第2條及指南第一條，數(shù)據(jù)出境包括兩類情形，一種是主動出境，即數(shù)據(jù)處理者在日常運(yùn)營中收集和產(chǎn)生的數(shù)據(jù)傳輸、存儲至境外，實(shí)踐中常見的場景是境內(nèi)主體通過軟件包括電子郵件、FTP、跨境搭建的VPN、API等傳輸信道以及硬件包括U盤、移動硬盤、甚至裝載數(shù)據(jù)的便攜筆記本等向境外主體提供數(shù)據(jù)，或者境內(nèi)主體使用海外服務(wù)器時產(chǎn)生的數(shù)據(jù)上傳或存儲；另外一種是被動出境，即數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲在境內(nèi)，境外的機(jī)構(gòu)、組織或者個人可以查詢、調(diào)取、下載、導(dǎo)出，實(shí)踐中常見的場景是境外主體通過訪問境內(nèi)主體部署于境內(nèi)的公開網(wǎng)頁、服務(wù)器、數(shù)據(jù)庫或信息系統(tǒng)等獲取數(shù)據(jù)。相比于主動出境的情形，數(shù)據(jù)被動出境的情形更容易被企業(yè)忽略。

什么樣的情況下需要進(jìn)行申報安全評估呢？根據(jù)《辦法》第四條，當(dāng)符合以下四個條件之一時，便需依照《辦法》的規(guī)定，進(jìn)行申報：

（1）向境外提供重要數(shù)據(jù)；

（2）關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理100萬人以上個人信息的處理者向境外提供個人信息；

（3）自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數(shù)據(jù)處理者向境外提供個人信息；

（4）網(wǎng)信部門規(guī)定的需要進(jìn)行申報的情形。

然而，目前現(xiàn)行有效的法律法規(guī)、國家標(biāo)準(zhǔn)以及指南中并沒有對《辦法》中未釋明的部分（比如哪些屬于重要數(shù)據(jù)、個人信息數(shù)量的計算標(biāo)準(zhǔn)等）作進(jìn)一步的細(xì)化和解釋，現(xiàn)階段企業(yè)還是需要參考已發(fā)布的相關(guān)信息安全技術(shù)國家標(biāo)準(zhǔn)的征求意見稿進(jìn)行判斷，這同時也為企業(yè)在短時間進(jìn)行數(shù)據(jù)合規(guī)的內(nèi)部排查帶來了不小的挑戰(zhàn)。

二、申報安全評估

若企業(yè)經(jīng)梳理，落入了《辦法》的適用范圍，應(yīng)該依照怎樣的流程開展數(shù)據(jù)安全評估工作呢？

《辦法》明確了安全評估的具體流程，首先是應(yīng)進(jìn)行自評估，自評估結(jié)束形成自評估報告后并齊備其他所需材料提交所在地省級網(wǎng)信部門，省級網(wǎng)信部門在收到材料后5個工作日內(nèi)進(jìn)行形式審查并決定是否報送國家網(wǎng)信部門進(jìn)行審查。國家網(wǎng)信部門在收到后7個工作日內(nèi)確定是否受理，并在發(fā)出受理通知后45個工作日完成安全評估并告知申請人結(jié)果。整個申報流程最短需57個工作日。若出現(xiàn)補(bǔ)充、更正材料的，該周期將會進(jìn)一步延長。

明白了申報流程，那么需要進(jìn)行申報的企業(yè)應(yīng)準(zhǔn)備哪些材料呢？

《辦法》第六條規(guī)定了提交安全評估所需提交的材料，而指南則進(jìn)一步細(xì)化并提供了相應(yīng)模板。從提交的申報材料來看，主要有申報人身份信息材料、經(jīng)辦人授權(quán)委托書、申報表、與數(shù)據(jù)接收方簽訂的數(shù)據(jù)出境相關(guān)合同或其他法律文件、自評估報告以及其他證明材料。值得一提的是，申報表中要求數(shù)據(jù)處理者提供自身基本信息、法定代表人、數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)信息、經(jīng)辦人信息、數(shù)據(jù)出境的業(yè)務(wù)、目的、方式、鏈路、出境數(shù)據(jù)情況、境外接收方信息及接收方數(shù)據(jù)安全責(zé)任人和管理機(jī)構(gòu)信息，且要求數(shù)據(jù)處理者對于遵守中國法律、行政法規(guī)、部門規(guī)章情況進(jìn)行說明。

本次發(fā)布的指南也附帶了自評估報告的模板，模板中要求數(shù)據(jù)處理者對自身的基本情況、出境數(shù)據(jù)情況、數(shù)據(jù)安全保障能力等進(jìn)行說明和評估。且對境外接收方的基本情況和數(shù)據(jù)安全保障能力進(jìn)行評估。同時，還應(yīng)當(dāng)對評估發(fā)現(xiàn)的問題和風(fēng)險隱患采取了怎樣的整改措施及達(dá)到了什么樣的整改效果進(jìn)行說明。

需要特別注意的是，安全評估并非一勞永逸，評估結(jié)果自通過之日起兩年內(nèi)有效，若企業(yè)在兩年后仍有數(shù)據(jù)出境活動的，則應(yīng)當(dāng)在評估結(jié)果期滿之前60個工作日重新申報安全評估。由此看來，定期數(shù)據(jù)安全評估將成為有數(shù)據(jù)跨境傳輸需求的企業(yè)的常態(tài)化數(shù)據(jù)合規(guī)工作之一。同時《辦法》給予了尚未進(jìn)行安全評估的企業(yè)6個月的整改期限，要求落入適用范圍的企業(yè)在《辦法》生效之日起6個月內(nèi)完成整改。

三、企業(yè)合規(guī)建議

數(shù)據(jù)出境已成為企業(yè)經(jīng)營過程中需要重點(diǎn)關(guān)注的合規(guī)風(fēng)險，企業(yè)的數(shù)據(jù)出境合規(guī)必須做到全面有效地識別出境數(shù)據(jù)，持續(xù)控制和監(jiān)管數(shù)據(jù)出境路徑和出境接口，建立數(shù)據(jù)出境的管理體系和制度，從而實(shí)現(xiàn)企業(yè)全面和常態(tài)化數(shù)據(jù)出境合規(guī)管理。因此，根據(jù)上述內(nèi)容介紹，我們建議企業(yè)可以從以下方面盡快開展數(shù)據(jù)合規(guī)管理工作：

1.指南中發(fā)布的申報表中，要求明確數(shù)據(jù)處理者及境外接收方的數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)信息。為了更加有序高效的開展數(shù)據(jù)出境安全評估工作，建議尚未設(shè)立數(shù)據(jù)安全負(fù)責(zé)人和機(jī)構(gòu)的公司，應(yīng)當(dāng)盡快指定，并明確工作職責(zé)、工作規(guī)程等。對于落入《辦法》適用范圍的企業(yè)，因安全評估需要定期進(jìn)行，所以建議設(shè)置常設(shè)崗位。

2.由于《辦法》給予企業(yè)的整改期限僅有6個月，且申報周期也較長，對于存在數(shù)據(jù)出境場景的企業(yè)，建議盡快開展內(nèi)部梳理，估算整體出境數(shù)據(jù)規(guī)模，盡早決定是否申報安全評估。而且因提交材料中涉及到境外接收者的很多信息，在企業(yè)內(nèi)部梳理同時，也應(yīng)當(dāng)并行開展跟境外接收方的溝通及基礎(chǔ)資料準(zhǔn)備工作，避免造成因溝通不暢而產(chǎn)生過多的時間和精力。

3.本次指南提供的模板中，數(shù)據(jù)處理者需要說明自身的“數(shù)據(jù)安全管理能力，包括管理組織體系和制度建設(shè)情況，全流程管理、分類分級、應(yīng)急處置、風(fēng)險評估、個人信息權(quán)益保護(hù)等制度及落實(shí)情況”。對于此前未系統(tǒng)開展過數(shù)據(jù)合規(guī)工作的企業(yè)，應(yīng)盡快制定符合前述要求的數(shù)據(jù)安全管理框架及各項(xiàng)數(shù)據(jù)合規(guī)規(guī)章制度，既為了滿足法律法規(guī)的要求，也能夠促進(jìn)數(shù)據(jù)合規(guī)工作的有效順利開展。《辦法》不過短短20條，指南也只有寥寥幾頁，但是其中卻涉及了紛繁復(fù)雜的數(shù)據(jù)合規(guī)工作，給企業(yè)的合規(guī)工作帶了巨大的挑戰(zhàn)。數(shù)字化時代，我們不可能也不應(yīng)該逆流而行，而應(yīng)順應(yīng)時代要求，切實(shí)重視數(shù)據(jù)合規(guī)工作，并予以落實(shí)。

（原標(biāo)題：中國《數(shù)據(jù)出境安全評估辦法》及申報指南解讀）

來源：IPRdaily中文網(wǎng)（iprdaily.cn）

作者：劉海生 夏琳 上海魏和劉律師事務(wù)所

編輯：IPRdaily趙甄          校對：IPRdaily縱橫君

注：原文鏈接：中國《數(shù)據(jù)出境安全評估辦法》及申報指南解讀（點(diǎn)擊標(biāo)題查看原文）

「關(guān)于IPRdaily」

IPRdaily是全球領(lǐng)先的知識產(chǎn)權(quán)綜合信息服務(wù)提供商，致力于連接全球知識產(chǎn)權(quán)與科技創(chuàng)新人才。匯聚了來自于中國、美國、歐洲、俄羅斯、以色列、澳大利亞、新加坡、日本、韓國等15個國家和地區(qū)的高科技公司及成長型科技企業(yè)的管理者及科技研發(fā)或知識產(chǎn)權(quán)負(fù)責(zé)人，還有來自政府、律師及代理事務(wù)所、研發(fā)或服務(wù)機(jī)構(gòu)的全球近100萬用戶（國內(nèi)70余萬+海外近30萬），2019年全年全網(wǎng)頁面瀏覽量已經(jīng)突破過億次傳播。

（英文官網(wǎng)：iprdaily.com  中文官網(wǎng)：iprdaily.cn） 

本文來自IPRdaily中文網(wǎng)（iprdaily.cn）并經(jīng)IPRdaily.cn中文網(wǎng)編輯。轉(zhuǎn)載此文章須經(jīng)權(quán)利人同意，并附上出處與作者信息。文章不代表IPRdaily.cn立場，如若轉(zhuǎn)載，請注明出處：“http://islanderfriend.com”