#本文僅代表作者觀點(diǎn),不代表IPRdaily立場,未經(jīng)作者許可,禁止轉(zhuǎn)載#
“本文將從《數(shù)據(jù)出境安全評(píng)估辦法》的適用范圍、安全評(píng)估流程、所需提交材料介紹以及企業(yè)合規(guī)建議角度對(duì)《辦法》及申報(bào)指南進(jìn)行簡要解讀?!?/strong>
來源:IPRdaily中文網(wǎng)(iprdaily.cn)
作者:劉海生 夏琳 上海魏和劉律師事務(wù)所
備受關(guān)注的中國《數(shù)據(jù)出境安全評(píng)估辦法》(以下簡稱“《辦法》”)已經(jīng)于2022年9月1日起生效,而就在生效前夕中國國家網(wǎng)信辦又公布了與《辦法》配套使用的《數(shù)據(jù)出境安全評(píng)估申報(bào)指南(第一版)》(以下簡稱“指南”),至此,《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》中均有提及的“安全評(píng)估”終于從紙上程序落實(shí)到了實(shí)處。是否需要進(jìn)行數(shù)據(jù)出境安全評(píng)估以及如何開展也成了許多涉及數(shù)據(jù)出境場景的公司,尤其是駐華跨國企業(yè)的重要合規(guī)課題。
本文將從《辦法》的適用范圍、安全評(píng)估流程、所需提交材料介紹以及企業(yè)合規(guī)建議角度對(duì)《辦法》及申報(bào)指南進(jìn)行簡要解讀。
一、適用范圍
《辦法》中規(guī)定的數(shù)據(jù)出境場景包括哪些呢?根據(jù)《辦法》第2條及指南第一條,數(shù)據(jù)出境包括兩類情形,一種是主動(dòng)出境,即數(shù)據(jù)處理者在日常運(yùn)營中收集和產(chǎn)生的數(shù)據(jù)傳輸、存儲(chǔ)至境外,實(shí)踐中常見的場景是境內(nèi)主體通過軟件包括電子郵件、FTP、跨境搭建的VPN、API等傳輸信道以及硬件包括U盤、移動(dòng)硬盤、甚至裝載數(shù)據(jù)的便攜筆記本等向境外主體提供數(shù)據(jù),或者境內(nèi)主體使用海外服務(wù)器時(shí)產(chǎn)生的數(shù)據(jù)上傳或存儲(chǔ);另外一種是被動(dòng)出境,即數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲(chǔ)在境內(nèi),境外的機(jī)構(gòu)、組織或者個(gè)人可以查詢、調(diào)取、下載、導(dǎo)出,實(shí)踐中常見的場景是境外主體通過訪問境內(nèi)主體部署于境內(nèi)的公開網(wǎng)頁、服務(wù)器、數(shù)據(jù)庫或信息系統(tǒng)等獲取數(shù)據(jù)。相比于主動(dòng)出境的情形,數(shù)據(jù)被動(dòng)出境的情形更容易被企業(yè)忽略。
什么樣的情況下需要進(jìn)行申報(bào)安全評(píng)估呢?根據(jù)《辦法》第四條,當(dāng)符合以下四個(gè)條件之一時(shí),便需依照《辦法》的規(guī)定,進(jìn)行申報(bào):
(1)向境外提供重要數(shù)據(jù);
(2)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理100萬人以上個(gè)人信息的處理者向境外提供個(gè)人信息;
(3)自上年1月1日起累計(jì)向境外提供10萬人個(gè)人信息或者1萬人敏感個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息;
(4)網(wǎng)信部門規(guī)定的需要進(jìn)行申報(bào)的情形。
然而,目前現(xiàn)行有效的法律法規(guī)、國家標(biāo)準(zhǔn)以及指南中并沒有對(duì)《辦法》中未釋明的部分(比如哪些屬于重要數(shù)據(jù)、個(gè)人信息數(shù)量的計(jì)算標(biāo)準(zhǔn)等)作進(jìn)一步的細(xì)化和解釋,現(xiàn)階段企業(yè)還是需要參考已發(fā)布的相關(guān)信息安全技術(shù)國家標(biāo)準(zhǔn)的征求意見稿進(jìn)行判斷,這同時(shí)也為企業(yè)在短時(shí)間進(jìn)行數(shù)據(jù)合規(guī)的內(nèi)部排查帶來了不小的挑戰(zhàn)。
二、申報(bào)安全評(píng)估
若企業(yè)經(jīng)梳理,落入了《辦法》的適用范圍,應(yīng)該依照怎樣的流程開展數(shù)據(jù)安全評(píng)估工作呢?
《辦法》明確了安全評(píng)估的具體流程,首先是應(yīng)進(jìn)行自評(píng)估,自評(píng)估結(jié)束形成自評(píng)估報(bào)告后并齊備其他所需材料提交所在地省級(jí)網(wǎng)信部門,省級(jí)網(wǎng)信部門在收到材料后5個(gè)工作日內(nèi)進(jìn)行形式審查并決定是否報(bào)送國家網(wǎng)信部門進(jìn)行審查。國家網(wǎng)信部門在收到后7個(gè)工作日內(nèi)確定是否受理,并在發(fā)出受理通知后45個(gè)工作日完成安全評(píng)估并告知申請(qǐng)人結(jié)果。整個(gè)申報(bào)流程最短需57個(gè)工作日。若出現(xiàn)補(bǔ)充、更正材料的,該周期將會(huì)進(jìn)一步延長。
明白了申報(bào)流程,那么需要進(jìn)行申報(bào)的企業(yè)應(yīng)準(zhǔn)備哪些材料呢?
《辦法》第六條規(guī)定了提交安全評(píng)估所需提交的材料,而指南則進(jìn)一步細(xì)化并提供了相應(yīng)模板。從提交的申報(bào)材料來看,主要有申報(bào)人身份信息材料、經(jīng)辦人授權(quán)委托書、申報(bào)表、與數(shù)據(jù)接收方簽訂的數(shù)據(jù)出境相關(guān)合同或其他法律文件、自評(píng)估報(bào)告以及其他證明材料。值得一提的是,申報(bào)表中要求數(shù)據(jù)處理者提供自身基本信息、法定代表人、數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)信息、經(jīng)辦人信息、數(shù)據(jù)出境的業(yè)務(wù)、目的、方式、鏈路、出境數(shù)據(jù)情況、境外接收方信息及接收方數(shù)據(jù)安全責(zé)任人和管理機(jī)構(gòu)信息,且要求數(shù)據(jù)處理者對(duì)于遵守中國法律、行政法規(guī)、部門規(guī)章情況進(jìn)行說明。
本次發(fā)布的指南也附帶了自評(píng)估報(bào)告的模板,模板中要求數(shù)據(jù)處理者對(duì)自身的基本情況、出境數(shù)據(jù)情況、數(shù)據(jù)安全保障能力等進(jìn)行說明和評(píng)估。且對(duì)境外接收方的基本情況和數(shù)據(jù)安全保障能力進(jìn)行評(píng)估。同時(shí),還應(yīng)當(dāng)對(duì)評(píng)估發(fā)現(xiàn)的問題和風(fēng)險(xiǎn)隱患采取了怎樣的整改措施及達(dá)到了什么樣的整改效果進(jìn)行說明。
需要特別注意的是,安全評(píng)估并非一勞永逸,評(píng)估結(jié)果自通過之日起兩年內(nèi)有效,若企業(yè)在兩年后仍有數(shù)據(jù)出境活動(dòng)的,則應(yīng)當(dāng)在評(píng)估結(jié)果期滿之前60個(gè)工作日重新申報(bào)安全評(píng)估。由此看來,定期數(shù)據(jù)安全評(píng)估將成為有數(shù)據(jù)跨境傳輸需求的企業(yè)的常態(tài)化數(shù)據(jù)合規(guī)工作之一。同時(shí)《辦法》給予了尚未進(jìn)行安全評(píng)估的企業(yè)6個(gè)月的整改期限,要求落入適用范圍的企業(yè)在《辦法》生效之日起6個(gè)月內(nèi)完成整改。
三、企業(yè)合規(guī)建議
數(shù)據(jù)出境已成為企業(yè)經(jīng)營過程中需要重點(diǎn)關(guān)注的合規(guī)風(fēng)險(xiǎn),企業(yè)的數(shù)據(jù)出境合規(guī)必須做到全面有效地識(shí)別出境數(shù)據(jù),持續(xù)控制和監(jiān)管數(shù)據(jù)出境路徑和出境接口,建立數(shù)據(jù)出境的管理體系和制度,從而實(shí)現(xiàn)企業(yè)全面和常態(tài)化數(shù)據(jù)出境合規(guī)管理。因此,根據(jù)上述內(nèi)容介紹,我們建議企業(yè)可以從以下方面盡快開展數(shù)據(jù)合規(guī)管理工作:
1.指南中發(fā)布的申報(bào)表中,要求明確數(shù)據(jù)處理者及境外接收方的數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)信息。為了更加有序高效的開展數(shù)據(jù)出境安全評(píng)估工作,建議尚未設(shè)立數(shù)據(jù)安全負(fù)責(zé)人和機(jī)構(gòu)的公司,應(yīng)當(dāng)盡快指定,并明確工作職責(zé)、工作規(guī)程等。對(duì)于落入《辦法》適用范圍的企業(yè),因安全評(píng)估需要定期進(jìn)行,所以建議設(shè)置常設(shè)崗位。
2.由于《辦法》給予企業(yè)的整改期限僅有6個(gè)月,且申報(bào)周期也較長,對(duì)于存在數(shù)據(jù)出境場景的企業(yè),建議盡快開展內(nèi)部梳理,估算整體出境數(shù)據(jù)規(guī)模,盡早決定是否申報(bào)安全評(píng)估。而且因提交材料中涉及到境外接收者的很多信息,在企業(yè)內(nèi)部梳理同時(shí),也應(yīng)當(dāng)并行開展跟境外接收方的溝通及基礎(chǔ)資料準(zhǔn)備工作,避免造成因溝通不暢而產(chǎn)生過多的時(shí)間和精力。
3.本次指南提供的模板中,數(shù)據(jù)處理者需要說明自身的“數(shù)據(jù)安全管理能力,包括管理組織體系和制度建設(shè)情況,全流程管理、分類分級(jí)、應(yīng)急處置、風(fēng)險(xiǎn)評(píng)估、個(gè)人信息權(quán)益保護(hù)等制度及落實(shí)情況”。對(duì)于此前未系統(tǒng)開展過數(shù)據(jù)合規(guī)工作的企業(yè),應(yīng)盡快制定符合前述要求的數(shù)據(jù)安全管理框架及各項(xiàng)數(shù)據(jù)合規(guī)規(guī)章制度,既為了滿足法律法規(guī)的要求,也能夠促進(jìn)數(shù)據(jù)合規(guī)工作的有效順利開展。《辦法》不過短短20條,指南也只有寥寥幾頁,但是其中卻涉及了紛繁復(fù)雜的數(shù)據(jù)合規(guī)工作,給企業(yè)的合規(guī)工作帶了巨大的挑戰(zhàn)。數(shù)字化時(shí)代,我們不可能也不應(yīng)該逆流而行,而應(yīng)順應(yīng)時(shí)代要求,切實(shí)重視數(shù)據(jù)合規(guī)工作,并予以落實(shí)。
(原標(biāo)題:中國《數(shù)據(jù)出境安全評(píng)估辦法》及申報(bào)指南解讀)
來源:IPRdaily中文網(wǎng)(iprdaily.cn)
作者:劉海生 夏琳 上海魏和劉律師事務(wù)所
編輯:IPRdaily趙甄 校對(duì):IPRdaily縱橫君
注:原文鏈接:中國《數(shù)據(jù)出境安全評(píng)估辦法》及申報(bào)指南解讀(點(diǎn)擊標(biāo)題查看原文)
「關(guān)于IPRdaily」
IPRdaily是全球領(lǐng)先的知識(shí)產(chǎn)權(quán)綜合信息服務(wù)提供商,致力于連接全球知識(shí)產(chǎn)權(quán)與科技創(chuàng)新人才。匯聚了來自于中國、美國、歐洲、俄羅斯、以色列、澳大利亞、新加坡、日本、韓國等15個(gè)國家和地區(qū)的高科技公司及成長型科技企業(yè)的管理者及科技研發(fā)或知識(shí)產(chǎn)權(quán)負(fù)責(zé)人,還有來自政府、律師及代理事務(wù)所、研發(fā)或服務(wù)機(jī)構(gòu)的全球近100萬用戶(國內(nèi)70余萬+海外近30萬),2019年全年全網(wǎng)頁面瀏覽量已經(jīng)突破過億次傳播。
(英文官網(wǎng):iprdaily.com 中文官網(wǎng):iprdaily.cn)
本文來自IPRdaily中文網(wǎng)(iprdaily.cn)并經(jīng)IPRdaily.cn中文網(wǎng)編輯。轉(zhuǎn)載此文章須經(jīng)權(quán)利人同意,并附上出處與作者信息。文章不代表IPRdaily.cn立場,如若轉(zhuǎn)載,請(qǐng)注明出處:“http://islanderfriend.com”
文章不錯(cuò),犒勞下辛苦的作者吧