×

打开微信,扫一扫二维码
订阅我们的微信公众号

×

扫码分享

EN
首页>汉盛研究>汉盛法评 | 数据出境热点问答(二):《数据出境安全评估申报指南》要点简析

汉盛法评 | 数据出境热点问答(二):《数据出境安全评估申报指南》要点简析

2022-09-07   赵冲、张乐钧

引言

2022年7月7日,国家互联网信息办公室公布《数据出境安全评估办法》(以下简称《办法》),自2022年9月1日起施行。8月31日,为配合《办法》的施行,国家网信办发布了《数据出境安全评估申报指南(第一版)》(以下简称《指南》),对数据出境安全评估申报方式、申报流程、申报材料、咨询方式等进行了细化规定,并提供了模板范例,作为数据处理者申报数据出境安全评估的指导性文件。

笔者团队针对《指南》的若干重点内容进行评析,并结合《办法》的相关内容进行解读,就其中的热点问题进行解析,作为“数据出境热点问答”系列之文章进行分享。本文为该系列文章之第二篇。

问:《指南》对“数据出境行为”的情境做了哪些具体规定?

答:《指南》第一部分“适用范围”,明确了“数据出境行为”包括:(一)数据处理者将在境内运营中收集和产生的数据传输、存储至境外;(二)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;(三)国家网信办规定的其他数据出境行为。

值得注意的是,与今年7月国家网信办就《办法》答记者问中的回复内容相比,《指南》将远程访问场景下的“访问或者调用”明确为“查询、调取、下载、导出”,并新增了“国家网信办规定的其他数据出境行为”作为兜底条款,拓宽了“数据出境行为”的涵盖范围,相关数据处理者应对此特别关注。

问:《指南》对国家网信办和省级网信办的流程分工做了哪些规定?

答:《指南》第二部分“申报方式及流程”,对申报阶段中省级网信办和国家网信办的两级流程分工进行了细化规定,具体包括:1、省级网信办:查收申报材料,对申报材料进行完备性查验(仅为形式审查)。若通过完备性查验,再将申报材料上报至国家网信办;2、国家网信办:确定是否受理,具有实质审查权限。

问:《指南》对数据出境安全评估的申报材料及要求做了哪些具体规定?

答:《指南》第三部分“申报材料”及附件1《数据出境安全评估申报材料要求》,对数据处理者申报时应当提交的材料及要求做了具体规定,并提供了部分材料的模板,包括:

1、统一社会信用代码证件影印件

2、法定代表人身份证件影印件

3、经办人身份证件影印件

4、经办人授权委托书(模板见《指南》附件2)

5、数据出境安全评估申报书(模板见《指南》附件3)

6、与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件影印件

7、数据出境风险自评估报告(模板见《指南》附件4)

8、其他相关证明材料

上述申报材料要求和《办法》第6条的规定相比,更加具体与明确。

除此之外,《指南》还将《办法》第6条所规定的“数据处理者与境外接收方拟订立的法律文件”更新为“与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件影印件”,明确法律文件即“数据出境相关合同或者其他具有法律效力的文件”,并在《指南》附件1中对该法律文件做了更详细的要求:(1)应对数据出境相关约定条款作高亮、线框等显著标识;(2)法律文件以中文版本为准,若仅有非中文版本,须同步提交准确的中文译本。

此外,与《办法》相比,《指南》删除了提交虚假材料的责任要件中的“故意”表述,强化了对材料真实性的严格要求。

问:《指南》对附件3中的《数据出境安全评估申报表》的填写做了哪些说明?

答:《指南》附件3中的《数据出境安全评估申报表》(以下简称《申请表》)包含14项内容,即数据处理者情况、法定代表人信息、数据安全负责人和管理机构信息、经办人信息、数据出境业务描述、数据出境的目的、数据出境的方式、数据出境链路、拟出境数据情况、境外接收方情况、境外接收方数据安全责任人和管理机构情况、法律文件、相关条款在法律文件中的页码及条款,以及数据处理者遵守中国法律、行政法规、部门规章情况等。

《指南》附件3中的“填表说明”对《申请表》的填写做了具体说明,要点如下:

(1) 数据出境目的:如开展业务合作、技术研究、经营管理等。

(2) 数据出境方式:如公共互联网传输、专线传输等。

(3) 数据出境链路:如链路提供商、链路数量与带宽、境内外落地数据中心名称及机房物理位置、IP地址等。

(4) 拟出境数据情况:关于“个人信息的敏感程度”,可参照国家标准《信息安全技术 个人信息安全规范》。“涉及行业/领域”填写出境数据涉及的行业领域范围,如工业、电信、金融、交通、自然资源、卫生健康、能源、教育、科技、国防科工等。

(5) 遵守中国法律、行政法规、部门规章情况:简述近2年在业务经营活动中受到行政处罚和有关主管监管部门调查及整改情况,重点说明数据和网络安全方面相关情况。

问:《指南》对数据处理者聘请外部机构开展自评估做了哪些规定?

答:根据《指南》附件4《数据出境风险自评估报告 (模板)》的“说明”第(四)条之规定,数据处理者可以聘请外部机构开展数据出境风险自评估。如有第三方机构参与自评估,须在自评估报告中说明第三方机构的基本情况及参与评估的情况,并在相关内容页上加盖第三方机构公章。

问:《指南》对数据处理者进行自评估活动的时间要求做了哪些规定?

答:依照《指南》附件4《数据出境风险自评估报告 (模板)》的“说明”第(三)条之规定,数据出境风险自评估活动需要在申报前3个月内完成。


相关研究