中國(guó)《數(shù)據(jù)出境安全評(píng)估辦法》及申報(bào)指南解讀 ?

#本文僅代表作者觀點(diǎn)，不代表IPRdaily立場(chǎng)，未經(jīng)作者許可，禁止轉(zhuǎn)載#

“本文將從《數(shù)據(jù)出境安全評(píng)估辦法》的適用范圍、安全評(píng)估流程、所需提交材料介紹以及企業(yè)合規(guī)建議角度對(duì)《辦法》及申報(bào)指南進(jìn)行簡(jiǎn)要解讀。”

來(lái)源：IPRdaily中文網(wǎng)（iprdaily.cn）

作者：劉海生 夏琳 上海魏和劉律師事務(wù)所

備受關(guān)注的中國(guó)《數(shù)據(jù)出境安全評(píng)估辦法》（以下簡(jiǎn)稱“《辦法》”）已經(jīng)于2022年9月1日起生效，而就在生效前夕中國(guó)國(guó)家網(wǎng)信辦又公布了與《辦法》配套使用的《數(shù)據(jù)出境安全評(píng)估申報(bào)指南（第一版）》（以下簡(jiǎn)稱“指南”），至此，《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》中均有提及的“安全評(píng)估”終于從紙上程序落實(shí)到了實(shí)處。是否需要進(jìn)行數(shù)據(jù)出境安全評(píng)估以及如何開(kāi)展也成了許多涉及數(shù)據(jù)出境場(chǎng)景的公司，尤其是駐華跨國(guó)企業(yè)的重要合規(guī)課題。

本文將從《辦法》的適用范圍、安全評(píng)估流程、所需提交材料介紹以及企業(yè)合規(guī)建議角度對(duì)《辦法》及申報(bào)指南進(jìn)行簡(jiǎn)要解讀。

一、適用范圍

《辦法》中規(guī)定的數(shù)據(jù)出境場(chǎng)景包括哪些呢?根據(jù)《辦法》第2條及指南第一條，數(shù)據(jù)出境包括兩類情形，一種是主動(dòng)出境，即數(shù)據(jù)處理者在日常運(yùn)營(yíng)中收集和產(chǎn)生的數(shù)據(jù)傳輸、存儲(chǔ)至境外，實(shí)踐中常見(jiàn)的場(chǎng)景是境內(nèi)主體通過(guò)軟件包括電子郵件、FTP、跨境搭建的VPN、API等傳輸信道以及硬件包括U盤、移動(dòng)硬盤、甚至裝載數(shù)據(jù)的便攜筆記本等向境外主體提供數(shù)據(jù)，或者境內(nèi)主體使用海外服務(wù)器時(shí)產(chǎn)生的數(shù)據(jù)上傳或存儲(chǔ)；另外一種是被動(dòng)出境，即數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲(chǔ)在境內(nèi)，境外的機(jī)構(gòu)、組織或者個(gè)人可以查詢、調(diào)取、下載、導(dǎo)出，實(shí)踐中常見(jiàn)的場(chǎng)景是境外主體通過(guò)訪問(wèn)境內(nèi)主體部署于境內(nèi)的公開(kāi)網(wǎng)頁(yè)、服務(wù)器、數(shù)據(jù)庫(kù)或信息系統(tǒng)等獲取數(shù)據(jù)。相比于主動(dòng)出境的情形，數(shù)據(jù)被動(dòng)出境的情形更容易被企業(yè)忽略。

什么樣的情況下需要進(jìn)行申報(bào)安全評(píng)估呢？根據(jù)《辦法》第四條，當(dāng)符合以下四個(gè)條件之一時(shí)，便需依照《辦法》的規(guī)定，進(jìn)行申報(bào)：

（1）向境外提供重要數(shù)據(jù)；

（2）關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理100萬(wàn)人以上個(gè)人信息的處理者向境外提供個(gè)人信息；

（3）自上年1月1日起累計(jì)向境外提供10萬(wàn)人個(gè)人信息或者1萬(wàn)人敏感個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息；

（4）網(wǎng)信部門規(guī)定的需要進(jìn)行申報(bào)的情形。

然而，目前現(xiàn)行有效的法律法規(guī)、國(guó)家標(biāo)準(zhǔn)以及指南中并沒(méi)有對(duì)《辦法》中未釋明的部分（比如哪些屬于重要數(shù)據(jù)、個(gè)人信息數(shù)量的計(jì)算標(biāo)準(zhǔn)等）作進(jìn)一步的細(xì)化和解釋，現(xiàn)階段企業(yè)還是需要參考已發(fā)布的相關(guān)信息安全技術(shù)國(guó)家標(biāo)準(zhǔn)的征求意見(jiàn)稿進(jìn)行判斷，這同時(shí)也為企業(yè)在短時(shí)間進(jìn)行數(shù)據(jù)合規(guī)的內(nèi)部排查帶來(lái)了不小的挑戰(zhàn)。

二、申報(bào)安全評(píng)估

若企業(yè)經(jīng)梳理，落入了《辦法》的適用范圍，應(yīng)該依照怎樣的流程開(kāi)展數(shù)據(jù)安全評(píng)估工作呢？

《辦法》明確了安全評(píng)估的具體流程，首先是應(yīng)進(jìn)行自評(píng)估，自評(píng)估結(jié)束形成自評(píng)估報(bào)告后并齊備其他所需材料提交所在地省級(jí)網(wǎng)信部門，省級(jí)網(wǎng)信部門在收到材料后5個(gè)工作日內(nèi)進(jìn)行形式審查并決定是否報(bào)送國(guó)家網(wǎng)信部門進(jìn)行審查。國(guó)家網(wǎng)信部門在收到后7個(gè)工作日內(nèi)確定是否受理，并在發(fā)出受理通知后45個(gè)工作日完成安全評(píng)估并告知申請(qǐng)人結(jié)果。整個(gè)申報(bào)流程最短需57個(gè)工作日。若出現(xiàn)補(bǔ)充、更正材料的，該周期將會(huì)進(jìn)一步延長(zhǎng)。

明白了申報(bào)流程，那么需要進(jìn)行申報(bào)的企業(yè)應(yīng)準(zhǔn)備哪些材料呢？

《辦法》第六條規(guī)定了提交安全評(píng)估所需提交的材料，而指南則進(jìn)一步細(xì)化并提供了相應(yīng)模板。從提交的申報(bào)材料來(lái)看，主要有申報(bào)人身份信息材料、經(jīng)辦人授權(quán)委托書(shū)、申報(bào)表、與數(shù)據(jù)接收方簽訂的數(shù)據(jù)出境相關(guān)合同或其他法律文件、自評(píng)估報(bào)告以及其他證明材料。值得一提的是，申報(bào)表中要求數(shù)據(jù)處理者提供自身基本信息、法定代表人、數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)信息、經(jīng)辦人信息、數(shù)據(jù)出境的業(yè)務(wù)、目的、方式、鏈路、出境數(shù)據(jù)情況、境外接收方信息及接收方數(shù)據(jù)安全責(zé)任人和管理機(jī)構(gòu)信息，且要求數(shù)據(jù)處理者對(duì)于遵守中國(guó)法律、行政法規(guī)、部門規(guī)章情況進(jìn)行說(shuō)明。

本次發(fā)布的指南也附帶了自評(píng)估報(bào)告的模板，模板中要求數(shù)據(jù)處理者對(duì)自身的基本情況、出境數(shù)據(jù)情況、數(shù)據(jù)安全保障能力等進(jìn)行說(shuō)明和評(píng)估。且對(duì)境外接收方的基本情況和數(shù)據(jù)安全保障能力進(jìn)行評(píng)估。同時(shí)，還應(yīng)當(dāng)對(duì)評(píng)估發(fā)現(xiàn)的問(wèn)題和風(fēng)險(xiǎn)隱患采取了怎樣的整改措施及達(dá)到了什么樣的整改效果進(jìn)行說(shuō)明。

需要特別注意的是，安全評(píng)估并非一勞永逸，評(píng)估結(jié)果自通過(guò)之日起兩年內(nèi)有效，若企業(yè)在兩年后仍有數(shù)據(jù)出境活動(dòng)的，則應(yīng)當(dāng)在評(píng)估結(jié)果期滿之前60個(gè)工作日重新申報(bào)安全評(píng)估。由此看來(lái)，定期數(shù)據(jù)安全評(píng)估將成為有數(shù)據(jù)跨境傳輸需求的企業(yè)的常態(tài)化數(shù)據(jù)合規(guī)工作之一。同時(shí)《辦法》給予了尚未進(jìn)行安全評(píng)估的企業(yè)6個(gè)月的整改期限，要求落入適用范圍的企業(yè)在《辦法》生效之日起6個(gè)月內(nèi)完成整改。

三、企業(yè)合規(guī)建議

數(shù)據(jù)出境已成為企業(yè)經(jīng)營(yíng)過(guò)程中需要重點(diǎn)關(guān)注的合規(guī)風(fēng)險(xiǎn)，企業(yè)的數(shù)據(jù)出境合規(guī)必須做到全面有效地識(shí)別出境數(shù)據(jù)，持續(xù)控制和監(jiān)管數(shù)據(jù)出境路徑和出境接口，建立數(shù)據(jù)出境的管理體系和制度，從而實(shí)現(xiàn)企業(yè)全面和常態(tài)化數(shù)據(jù)出境合規(guī)管理。因此，根據(jù)上述內(nèi)容介紹，我們建議企業(yè)可以從以下方面盡快開(kāi)展數(shù)據(jù)合規(guī)管理工作：

1.指南中發(fā)布的申報(bào)表中，要求明確數(shù)據(jù)處理者及境外接收方的數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)信息。為了更加有序高效的開(kāi)展數(shù)據(jù)出境安全評(píng)估工作，建議尚未設(shè)立數(shù)據(jù)安全負(fù)責(zé)人和機(jī)構(gòu)的公司，應(yīng)當(dāng)盡快指定，并明確工作職責(zé)、工作規(guī)程等。對(duì)于落入《辦法》適用范圍的企業(yè)，因安全評(píng)估需要定期進(jìn)行，所以建議設(shè)置常設(shè)崗位。

2.由于《辦法》給予企業(yè)的整改期限僅有6個(gè)月，且申報(bào)周期也較長(zhǎng)，對(duì)于存在數(shù)據(jù)出境場(chǎng)景的企業(yè)，建議盡快開(kāi)展內(nèi)部梳理，估算整體出境數(shù)據(jù)規(guī)模，盡早決定是否申報(bào)安全評(píng)估。而且因提交材料中涉及到境外接收者的很多信息，在企業(yè)內(nèi)部梳理同時(shí)，也應(yīng)當(dāng)并行開(kāi)展跟境外接收方的溝通及基礎(chǔ)資料準(zhǔn)備工作，避免造成因溝通不暢而產(chǎn)生過(guò)多的時(shí)間和精力。

3.本次指南提供的模板中，數(shù)據(jù)處理者需要說(shuō)明自身的“數(shù)據(jù)安全管理能力，包括管理組織體系和制度建設(shè)情況，全流程管理、分類分級(jí)、應(yīng)急處置、風(fēng)險(xiǎn)評(píng)估、個(gè)人信息權(quán)益保護(hù)等制度及落實(shí)情況”。對(duì)于此前未系統(tǒng)開(kāi)展過(guò)數(shù)據(jù)合規(guī)工作的企業(yè)，應(yīng)盡快制定符合前述要求的數(shù)據(jù)安全管理框架及各項(xiàng)數(shù)據(jù)合規(guī)規(guī)章制度，既為了滿足法律法規(guī)的要求，也能夠促進(jìn)數(shù)據(jù)合規(guī)工作的有效順利開(kāi)展?！掇k法》不過(guò)短短20條，指南也只有寥寥幾頁(yè)，但是其中卻涉及了紛繁復(fù)雜的數(shù)據(jù)合規(guī)工作，給企業(yè)的合規(guī)工作帶了巨大的挑戰(zhàn)。數(shù)字化時(shí)代，我們不可能也不應(yīng)該逆流而行，而應(yīng)順應(yīng)時(shí)代要求，切實(shí)重視數(shù)據(jù)合規(guī)工作，并予以落實(shí)。

（原標(biāo)題：中國(guó)《數(shù)據(jù)出境安全評(píng)估辦法》及申報(bào)指南解讀）

來(lái)源：IPRdaily中文網(wǎng)（iprdaily.cn）

作者：劉海生 夏琳 上海魏和劉律師事務(wù)所

編輯：IPRdaily趙甄          校對(duì)：IPRdaily縱橫君

注：原文鏈接：中國(guó)《數(shù)據(jù)出境安全評(píng)估辦法》及申報(bào)指南解讀（點(diǎn)擊標(biāo)題查看原文）

「關(guān)于IPRdaily」

IPRdaily是全球領(lǐng)先的知識(shí)產(chǎn)權(quán)綜合信息服務(wù)提供商，致力于連接全球知識(shí)產(chǎn)權(quán)與科技創(chuàng)新人才。匯聚了來(lái)自于中國(guó)、美國(guó)、歐洲、俄羅斯、以色列、澳大利亞、新加坡、日本、韓國(guó)等15個(gè)國(guó)家和地區(qū)的高科技公司及成長(zhǎng)型科技企業(yè)的管理者及科技研發(fā)或知識(shí)產(chǎn)權(quán)負(fù)責(zé)人，還有來(lái)自政府、律師及代理事務(wù)所、研發(fā)或服務(wù)機(jī)構(gòu)的全球近100萬(wàn)用戶（國(guó)內(nèi)70余萬(wàn)+海外近30萬(wàn)），2019年全年全網(wǎng)頁(yè)面瀏覽量已經(jīng)突破過(guò)億次傳播。

（英文官網(wǎng)：iprdaily.com  中文官網(wǎng)：iprdaily.cn） 

本文來(lái)自IPRdaily中文網(wǎng)（iprdaily.cn）并經(jīng)IPRdaily.cn中文網(wǎng)編輯。轉(zhuǎn)載此文章須經(jīng)權(quán)利人同意，并附上出處與作者信息。文章不代表IPRdaily.cn立場(chǎng)，如若轉(zhuǎn)載，請(qǐng)注明出處：“http://www.islanderfriend.com”