原题目:韩坤观点|申报要求落地-国家网申处公布《数据出境安全评估申报指南(第一版)》
作者:韩坤律师事务所段志超、蔡克蒙、徐子田、张子谦。
2022年8月31日,国家互联网信息处(“网信处”)发布了《数据出境安全评估申报指南(第一版)》(“《申报指南》”)。《申报指南》进一步细化和实施了《数据出境安全评估办法》 ("《评估办法》 ")的数据出境安全评估("安全评估")相关规定,并详细说明了安全评估的适用范围、报告方法和流程。
在上一句中,我们介绍了《数据出境安全评估申报书》的要点,在此基础上分析了《数据出境风险自评估报告(模板)》明确的新要求,并提出了安全评估申报中应重点关注的事项。
第一,重申安全评价的适用范围。
关于需要申报安全评估的情况,《评估办法》重申了《申报指南》第4条规定[1],并在此基础上进一步明确了数据出境行为的判断标准。
数据处理程序将在国内运营期间收集和生成的数据传输并存储到海外。数据处理者收集和生成的数据存储在国内,海外机构、组织或个人可以查看、提取、下载和导出。国家网信局规定的其他资料的出境行为。与2022年7月7日网信处相关负责人在《申报指南》记者提问[2]中介绍的情况相比,《评估办法》在第二次出国场景中将“海外机构、组织或个人可以访问或调用”更新为“海外机构、组织或个人”
值得注意的是,《评估办法》增加了“国家网申处规定的其他数据出境行为”的厚厚条款,为监管机构今后应对复杂的数据出境情景留出了解释空间。但是,之前备受关注的海外直接收集方案,即海外主体直接从国内个人信息主体收集个人信息的情况,《申报指南》没有直接规定。建议相关企业继续密切关注监管动向,并采取适当的合规措施。
第二,具体化申报方法和程序。
以《申报指南》 《申报指南》第7条和第11-13条为基础,对申报方法和程序作出了更加明确和具体的规定,相关流程图和要点如下:
(a)自我评估必须在申报日3个月内完成
在《申报指南》提供的申报材料模板中,《评估办法》和《申报指南》明确指出,自我评估工作必须在安全评估申报之日起3个月内完成,申报之日之前不发生重大变化。
(b)申报方法显然是离线的。
根据《承诺书》,数据处理者申报安全评价必须向所在地省级互联网办公室提交书面申报资料和资料电子版。其中材料的电子版必须通过光盘提交。
(三)申报过程包括三个“通知”
基于《数据出境风险自评估报告(模板)》,《申报指南》在三个报告重要节点上规定了数据处理者可以接收的通知文件如下:
未通过完整性检查的:省级互联网申请向数据处理者发出申报返还通知。审查结束时:国家网申处将以书面形式通知数据处理者是否收到。安全评估结束时:国家网申处将向数据处理者发放评估结果通知书。对无异议的数据处理者,应当按照数据出境安全管理相关法律规定和评估结果通知书的相关要求,规范相关数据出境活动。对于有异议的数据处理者,收到评估结果通知书后,将成为《评估办法》第13条规定的15个工作日异议期间的开始标志。此外,《申报指南》第12条规定,安全评估正式开始后,评估期限为45个工作日,如果情况复杂或需要补充、修改,安全评估可能会进一步延长。但是,由于《评估办法》规定,申报安全评价的门槛较低,6个月的整改宽限期有限,短期内申报安全评价的案件数量预计会比较大。监督机关在进行安全评价时,对一些行业相对不敏感、数据出境行为的必要性较高、出境数据字段相对不敏感的事件不进行实质性审查,可以在相对较短的时间内允许相关数据出境。
(四)开设申报咨询窗口。
《评估办法》公布了安
全评估申报咨询的联系方式,为企业于实践中解决申报问题提供了明确的渠道:- 电子邮箱:sjcj@cac.gov.cn
- 联系电话:010-55627135
截至本文发布之日,北京市网信办已经开通数据出境安全评估申报咨询电话(010-67676912),后续各省级网信办可能将陆续发布申报咨询的联系方式,建议企业持续关注监管机构的公示信息。
三、明确申报材料具体要求
与《评估办法》第6条相比,《申报指南》进一步细化了数据处理者申报安全评估时应当提交的申报材料,并同时提供了相应模板,具体包括:
- 统一社会信用代码证件影印件
- 法定代表人身份证件影印件
- 经办人身份证件影印件
- 经办人授权委托书
- 数据出境安全评估申报书,其中包括承诺书、数据出境安全评估申报表
- 与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件影印件
- 数据出境风险自评估报告
- 其他相关证明材料
对于前述材料,有以下值得关注的要点:
(一)首次提出安全评估申报的“经办人”要求
《申报指南》首次明确了安全评估申报过程中的“经办人”角色要求。根据《申报指南》附件中的《经办人授权委托书》、《数据出境安全评估申报书(模板)》,“经办人”应由数据处理者单位的员工担任,并经数据处理者授权。“经办人”的职责为代表数据处理者开展安全评估申报工作,包括填写数据出境安全评估申报书等。
(二)数据发送方与接收方均应配有数据安全负责人员和相关管理机构
根据《申报指南》附件中的《数据出境安全评估申报书(模板)》,申报安全评估时,数据处理者应当在申报表中填写其数据安全负责人和管理机构的信息,以及境外接收方数据安全责任人和管理机构情况。
对于数据处理者的数据安全负责人和管理机构要求,《数据安全法》第27条和《个人信息保护法》第52条、《关键信息基础设施安全条例》第14条此前已分别对重要数据处理者、个人信息处理者、关键信息基础设施运营者做出规定,此外《信息安全技术 个人信息安全规范》(GB/T35273-2020)进一步明确了判断是否需要设立个人信息保护负责人和个人信息保护工作机构的标准。[3]《申报指南》在前述法律和国家标准的基础上,将设立数据安全负责人和管理机构的合规义务扩展至所有申报安全评估的数据处理者。换言之,即使拟申报安全评估的数据处理者处理个人信息未达前述标准,申报安全评估前仍需配有数据安全负责人和管理机构。
此外值得关注的是,申报安全评估时还需填写境外接收方数据安全责任人和管理机构情况。企业因采购境外数据处理服务而涉及安全评估申报的,应在供应商选用环节重视其数据安全保护人员和组织配备情况,并考虑在相关采购合同中要求供应商确保设有相关责任人和管理机构,以满足安全评估要求。
(三)重要数据和个人信息出境可以一并申报
《申报指南》附件中数据出境安全评估申报表“09 拟出境数据情况”栏中可以同时填写重要数据和个人信息出境情况,且《数据出境安全评估申报书(模板)》的“拟出境数据情况”部分不再明确区分重要数据和个人信息,这似表明同一数据出境场景下、向同一境外接收方提供重要数据和个人信息可以合并申报。然而,对于跨国企业关注的同一出境场景下、向集团内不同境外接收方提供数据的情形,《申报指南》并未做明确说明,有待于监管后续在实践中予以明晰。
(四)明确《评估办法》中的“法律文件”概念
《评估办法》第8条[4]将“数据处理者与境外接收方拟订立的法律文件”列为安全评估的重点评估内容之一,但未对“法律文件”这一概念做出明确定义。《申报指南》对此明确将其解释为“数据出境相关合同或者其他具有法律效力的文件”。
《申报指南》要求数据处理者在数据出境安全评估申报表中,按照《评估办法》第9条[5]对法律文件的规定,逐一填写必备内容的对应条款。鉴于安全评估对法律文件的严格要求,建议企业在准备相关合同时参考或使用网信办发布的个人信息出境标准合同模板,或确保在其他法律文件(如接收方的单方承诺函或境内外所在各方集团数据安全管理制度或政策)中严格按照《评估办法》的要求设置相关条款,以符合安全评估要求。
此外,《申报指南》明确说明法律文件应以中文版本为准,若仅有非中文版本,须同步提交准确的中文译本。
(五)关注数据处理者遵守中国法律、行政法规、部门规章情况
根据《申报指南》,申报安全评估时,数据处理者应在数据出境安全评估申报表中填写“遵守中国法律、行政法规、部门规章情况”。具体而言,数据处理者应介绍简述近2年在业务经营活动中受到行政处罚和有关主管监管部门调查及整改情况,重点说明数据和网络安全方面相关情况。
四、发布数据出境风险自评估报告模板
根据《评估办法》第5条[6],数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估。同时根据第6条的规定,向主管部门申报数据出境安全评估时需提交数据出境风险自评估报告(“自评估报告”)。因此,申报企业所提交的自评估报告将成为监管机构在开展安全评估时重要的评估对象。本次《申报指南》附件4为拟申报安全评估并开展风险自评估的企业提供了自评估报告模板,并在其中对企业应当提供的事实材料以及开展的评估维度予以明确,为拟申报企业的风险自评估工作提供了重要参考。
(一)自评估报告的提交要求
数据处理者在向省级网信办申报数据出境安全评估时需一并提交填写完整且内容真实的自评估报告。应当注意的是,《评估指南》要求,如果企业在开展自评估工作时有第三方机构参与,则需要在自评估报告中说明第三方机构的基本情况及参与评估的情况,并在相关内容页上加盖第三方机构公章。根据《评估指南》的整体要求,我们理解“第三方机构的基本情况”可能包括第三方机构名称、性质、主营业务情况、注册地与办公地等。“参与评估的情况”则可能包括第三方机构在企业自评估活动中参与的工作以及发挥的作用。
(二)自评估报告的整体内容及新增要求
自评估报告的整体分为自评估工作简述、出境活动整体情况、拟出境活动的风险评估情况、出境活动风险自评估结论四部分。
自评估报告第一部分主要简述自评估工作的开展情况,包括起止时间、组织情况、实施过程、实施方式等。我们理解,若存在第三方机构参与自评估工作,也可以在此部分一并披露。第二部分主要侧重于对数据处理者业务和数据出境事实情况进行梳理,包括数据处理者基本情况、数据出境设计业务和信息系统情况、拟出境数据情况、数据处理者数据安全保障能力情况、境外接收方情况、法律文件约定数据安全保护责任义务情况,以及数据处理者认为需要说明的其他情况,其中“法律文件约定数据安全保护责任义务情况”延续了《评估办法》第9条关于数据安全保护责任义务的要求。值得注意的是,自评估报告第二部分(即出境活动整体情况)对数据出境事实梳理的范围进行了扩张,具体而言新增的内容包括:
- 除数据出境活动所涉及的事实外,还需填写数据处理者除公开工商信息外的其他基本情况,包括股权结构和实际控制人信息、组织架构信息、数据安全管理机构信息、整体业务与数据情况、境内外投资情况;
- 需全面梳理出境活动可能涉及的设施的基本情况,包括数据出境涉及业务的数据资产情况、境内外信息系统情况、境内外数据中心(包含云服务)情况、数据出境链路情况(如链路提供商、链路数量与带宽等);
- 要求披露数据出境后向境外其他接收方提供的情况;
- 在数据处理者安全保障能力方面,自评估报告在《信息安全技术 数据出境安全评估指南(征求意见稿)》的基础上进一步要求数据处理者说明其内部数据分类分级以及风险评估制度建设情况,以及遵守数据和网络安全相关法律法规的情况;
- 在境外接收方情况方面,新增对“境外接收方处理数据的全流程过程描述”的要求,即需说明在境外接收方从境内收集数据后使用、存储、对外提供、删除数据的全生命周期过程。
自评估报告第三部分基本重申了《评估办法》第5条关于数据出境风险评估维度的要求,为数据处理者在第二部分事实梳理基础上进行风险评估提供依据,同时其新增对“评估发现的问题和风险隐患以及相应采取的整改措施及整改效果”进行重点说明的要求,因此数据处理者除对拟出境活动进行风险评估外,还需披露其为降低风险而采取的整改措施及整改效果。
五、我们的观点
《评估办法》的生效意味着企业数据出境活动合规整改正式进入倒计时,《申报指南》的出台为拟申报数据出境安全评估的企业提供了具体指引。基于《评估办法》和《申报指南》,企业可考虑从如下方面开展数据出境合规工作,以降低风险:
- 梳理数据处理活动中涉及的数据出境场景以及相应事实情况,判断是否落入需申报安全评估的范畴,并相应选择数据出境策略(如完全本地化存储数据或按照规定准备数据出境安全评估的申报工作);
- 以《申报指南》自评估报告模板第二部分为基础尽快开展自评估工作,并于自评估期间对发现的风险及时采取整改措施,以便在《评估办法》的6个月宽限期内顺利完成安全评估;
- 按照《申报指南》的要求准备相关申报材料(包括统一社会信用代码证件影印件、法定代表人身份证件影印件、经办人身份证件影印件、经办人授权委托书、数据出境安全评估申报书,其中包括承诺书、数据出境安全评估申报表、与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件影印件、数据出境风险自评估报告、其他相关证明材料)并向省级网信部门递交材料;
- 建立关于数据出境评估的合规内部制度,持续对数据出境情况进行监测,并在发生需要重新申报安全评估的情形时更新相关材料内容重新申报评估。
注释
[1] 《评估办法》第4条:数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
(一)数据处理者向境外提供重要数据;
(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。”
[2] 2022年7月7日,《数据出境安全评估办法》答记者问,具体内容请见:(最后访问时间:2022年9月1日)。
[3] 《数据安全法》第27条:“重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。”
《个人信息保护法》第52条:“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。”
《关键信息基础设施安全条例》第14条:“运营者应当设置专门安全管理机构,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。审查时,公安机关、国家安全机关应当予以协助。“
《信息安全技术 个人信息安全规范》(GB/T35273-2020)11.1规定:“满足以下条件之一的组织,应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作:(1)主要业务涉及个人信息处理,且从业人员规模大于200人;(2)处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;(3)处理超过10万人的个人敏感信息的。
[4] 《评估办法》第8条:“数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下事项:(五)数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务……”
[5] 《评估办法》第9条:“数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,至少包括以下内容:
(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;
(二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;
(三)对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;
(四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施;
(五)违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;
(六)出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。”
[6] 《评估办法》第5条:“数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估,重点评估以下事项:
(一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
(二)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
(四)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
(五)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务;
(六)其他可能影响数据出境安全的事项。”