《数据出境安全评估申报指南(第二版)》
数据出境安全评估申报指南(第二版)
根据《数据出境安全评估办法》、《促进和规范数据跨境流动规定》,为指导和帮助数据处理者规范有序申报数据出境安全评估,特制定本指南。
数据处理者向境外提供数据,有下列情形之一的,应当申报数据出境安全评估:
(一)关键信息基础设施运营者向境外提供个人信息或者重要数据;
(二)关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。
属于《促进和规范数据跨境流动规定》第三条、第四条、第五条、第六条规定情形的,从其规定。
以下情形属于数据出境行为:
(一)数据处理者将在境内运营中收集和产生的数据传输至境外;
(二)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;
(三)符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他数据处理活动。(第三条第二款:“分析、评估境内自然人的行为”)
二、申报方式及流程
数据处理者申报数据出境安全评估,应当通过数据出境申报系统提交申报材料,系统网址为https://sjcj.cac.gov.cn。关键信息基础设施运营者或者其他不适合通过数据出境申报系统申报数据出境安全评估的,采用线下方式通过所在地省级网信办向国家网信办申报数据出境安全评估,申报方式为送达书面申报材料并附带材料电子版,书面申报材料需装订成册。
省级网信办在数据处理者提交申报材料之日起5个工作日内完成申报材料的完备性查验,并向数据处理者告知查验结果。通过完备性查验的,省级网信办将申报材料提请国家网信办受理;未通过完备性查验的,省级网信办向数据处理者告知未通过完备性查验原因。
国家网信办自收到省级网信办提交的申报材料之日起7个工作日内,确定是否受理并书面通知数据处理者。
需要补充或者更正申报材料的,数据处理者应当按照告知要求及时补充或者更正材料。无正当理由不补充或者更正申报材料的,国家网信办可以终止安全评估。情况复杂或者需要补充、更正材料的,国家网信办可以适当延长评估时间,并告知数据处理者预计延长的时间。
评估完成后,国家网信办向数据处理者出具评估结果通知书。数据处理者应当按照数据出境安全管理相关法律法规和评估结果通知书的有关要求,规范相关数据出境活动。数据处理者对评估结果有异议的,可以在收到评估结果通知书15个工作日内向国家网信办申请复评,复评结果为最终结论。
数据处理者申报数据出境安全评估,应当提交如下材料(材料要求见附件1):
1.统一社会信用代码证件影印件
2.法定代表人身份证件影印件
3.经办人身份证件影印件
4.经办人授权委托书(模板见附件2)
5.数据出境安全评估申报书(模板见附件3)
6.与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件
7.数据出境风险自评估报告(模板见附件4)
8.其他相关证明材料
数据处理者对所提交材料的真实性负责,提交虚假材料的,按照评估不通过处理,并依法追究相应法律责任。
四、咨询、举报联系方式
联系电话:010-55627135
电子邮箱:sjcj@cac.gov.cn
附件:1.数据出境安全评估申报材料要求
2.经办人授权委托书(模板)
3.数据出境安全评估申报书(模板)
4.数据出境风险自评估报告(模板)
附件1
附件2
经办人授权委托书
本人 姓名(身份证件号码: )系 数据处理者名称 的法定代表人,现授权我单位 姓名(身份证件号码: )为数据出境安全评估申报工作经办人。经办人代表我单位进行数据出境安全评估申报工作过程中的一切行为,包括所签署和上传的资料,我单位均予以承认,并将承担相应的法律责任。
授权委托期限: 年 月 日至 年 月 日
经办人无转委托权。
单位名称(盖章):
法定代表人(签字):
经 办 人(签字):
年 月 日
附件3
数据出境安全评估申报书(模板)
填写说明:
一、由数据处理者法定代表人或其授权的数据出境安全评估申报工作经办人填写。
二、有选择的地方请勾选左侧“o”符号,有横线的部分应当填写相关信息。
三、承诺书和申报表严格按照模板填写。申报表必须使用中文填写,字体四号“仿宋”,数字、字母统一使用四号“Times New Roman”字体,行距固定值16磅,段落首行缩进2字符。页面设置:A4纸,上下页边距为2.54cm,左右页边距为3.18cm。
四、所涉及的用语,可参考《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《数据出境安全评估办法》和《促进和规范数据跨境流动规定》等法律法规和部门规章。
五、由国家互联网信息办公室制定并负责解释。
一、承 诺 书
本单位郑重承诺:
一、申报出境数据的收集、使用符合中华人民共和国有关法律法规规定;
二、申报材料所有内容真实、完整、准确和有效;
三、为国家网信办组织实施的数据出境安全评估工作提供必要的配合和支持;
四、自评估工作为申报之日前3个月内完成,且至申报之日未发生重大变化。
本单位知晓并充分理解上述承诺内容,若承诺不实或者违背承诺,愿意承担相应法律责任。
法定代表人(签字):
单位(盖章):
年 月 日
二、数据出境安全评估申报表
注:1.其他申报材料内容应与申报表内容保持一致。
2.申报表第6项应按场景分项描述,可根据实际申报的出境场景
数量增加申报表第6项。出境个人信息涉及自然人范围一致的
场景应当合并。
3.境外接收方数量众多、范围不确定、无法逐一列举的,申报表
第6项境外接收方情况可填写统计数据。
附件4
数据出境风险自评估报告(模板)
数据处理者名称: (盖章)
年 月 日
说明:
(一)数据处理者申报数据出境安全评估时需提供自评估报告,并对所提交的自评估报告及附件材料真实性负责;
(二)报告所述自评估活动为本次申报前3个月内完成;
(三)如有第三方机构参与自评估,须在自评估报告中说明第三方机构的基本情况及参与评估的情况;
(四)自评估报告严格按照模板撰写。自评估报告必须使用中文撰写,正文字体四号“仿宋”(其中,正文一级标题黑体、二级标题楷体加黑、三级标题仿宋加黑),数字、字母使用四号“Times New Roman”字体,行距固定值26磅,段落首行缩进2字符。页面设置:A4纸,上下页边距为2.54cm,左右页边距为3.18cm。
一、自评估工作情况
简要概述自评估工作开展情况,包括起止时间、组织情况、实施过程、实施方式等内容。
二、出境活动整体情况
简要说明数据处理者基本情况、数据处理者安全保障能力情况、境外接收方情况、法律文件约定情况等,详细说明拟出境数据情况。包括不限于:
(一)数据处理者基本情况
1.基本情况简介,包括股权结构、实际控制人、境内外投资情况等;
2.组织架构和数据安全管理机构信息;
3.整体业务与数据资产情况。
(二)拟出境数据情况
1.数据出境涉及业务、数据资产等情况;
2.数据出境及境外接收方处理数据的目的、范围、方式,及其合法性、正当性、必要性;
3.按照申报业务场景梳理对应的出境数据项情况,以列表形式呈现数据项清单并逐一说明(如下表所示),同一场景下的数据项需去重;
|
序号 |
数据项名称 |
内容描述 |
出境必要性 |
示例 |
备注 |
|
1 |
|
|
|
|
|
|
2 |
|
|
|
|
|
|
...... |
|
|
|
|
|
4.拟出境数据在境内存储的系统平台、数据中心(包含云服务)等情况,数据出境链路相关情况,计划出境后存储的系统平台、数据中心等;
5.数据出境后向境外其他接收方提供的情况;
6.涉及个人信息的,按照自然人(去重)统计当年的出境数量,预估未来3年的出境数量。
(三)数据处理者数据安全保障能力情况
1.数据安全管理能力,包括管理组织体系和制度建设情况,全流程管理、分类分级、应急处置、风险评估、个人信息权益保护等制度及落实情况;
(涉及个人信息出境的,需提供履行《个人信息保护法》第三十九条规定的情况说明及佐证材料,包括告知义务和取得个人的单独同意等,若属于《个人信息保护法》第十三条第一款第二项至第七项规定情形的,不需取得个人同意)
2.数据安全技术能力,包括数据收集、存储、使用、加工、传输、提供、公开、删除等全流程所采取的安全技术措施等;
3.数据安全保障措施有效性证明,例如开展的数据安全风险评估、数据安全认证、数据安全检查测评、数据安全合规审计、网络安全等级保护测评等情况;
4.遵守数据和网络安全相关法律法规的情况。
(如涉及受到行政处罚和监管整改的,可以提供证明整改完成的相关佐证材料)
(四)境外接收方情况
1.境外接收方基本情况;
2.境外接收方处理数据的用途、方式等;
3.境外接收方履行责任义务的管理和技术措施、能力等。
(五)法律文件约定数据安全保护责任义务的情况
1.数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;
2.数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;
3.对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;
4.境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化,以及发生其他不可抗力情形,导致难以保障数据安全时,应当采取的安全措施;
5.违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;
6.出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。
(六)数据处理者认为需要说明的其他情况
三、出境活动的风险自评估情况及结论
对照《数据出境安全评估办法》第五条规定事项,说明数据出境风险自评估情况,重点说明自评估发现的问题和整改情况。
综合风险自评估情况和相应整改情况,对拟申报的数据出境活动作出客观的风险自评估结论,充分说明得出自评估结论的理由。
