#本文只是代表作者的观点,不代表IPRdaily立场,未经作者许可禁止转载#
“本文从《数据出境安全评估办法》的适用范围、安全评估流程、必要的提交资料介绍和企业合规性建议的角度简要解读了《办法》和报告指南。”
资料来源:IPRdaily中文网络(I)
作者:刘海生夏林上海伟和刘律师事务所
备受关注的中国《数据出境安全评估办法》(以下简称“《办法》”)从2022年9月1日开始生效,在生效之际,中国国家网申厅公布了与《办法》一起使用的:010。《数据出境安全评估申报指南(第一版)》、《网络安全法》、《数据安全法》都提到的"安全评估"终于在纸面程序中实际落实了。是否需要进行数据出站安全评估,以及如何进行,也成为数据出站情景,特别是中国跨国公司的重要合规挑战。
本文从《个人信息保护法》的适用范围、安全评估流程、必要的提交资料介绍和企业合规性建议的角度简要解读了《办法》和申报指南。
一、适用范围
《办法》规定的数据出国方案包括哪些?根据《办法》第2条和指南第1条,数据出境包括两种情况。一种是提前出国,即数据处理程序在日常操作中收集和生成的数据传输、海外存储、实践中常见的场景是国内主体通过软件包括电子邮件、FTP、跨境VPN、API等传输通道和硬件。也就是说,数据处理程序收集和生成的数据存储在国内,海外机构、组织或个人可以查询、提取、下载、导出。实战中常见的场景是海外主体访问国内主体在国内放置的公开网页、服务器、数据库或信息系统等获取数据。比起主动出国的情况,数据被动出国的情况更容易被企业忽略。
在什么情况下要进行申报安全评价?根据《办法》第4条,如果满足以下四个条件之一,则必须按照《办法》的规定申报:
(一)向国外提供重要数据;
(2)主要信息基础设施运营者和处理100多万个人信息的处理器向海外提供个人信息。
(3)从去年1月1日开始,累计向海外提供10万人个人信息或1万人敏感个人信息的数据处理者向海外提供个人信息。
(4)网信部门规定的需要申报的情况。
但是,目前有效的法令、国家标准和准则包括《办法》的未解释部分(如敏感数据、属于个人信息数量的计算标准等)
二、安全评估申报
如果企业梳理后进入《办法》的覆盖范围,应该按照什么程序进行数据安全评估工作?
《办法》阐明了安全评估的具体程序。首先要进行自我评估。国家网络新娘在接收后7个工作日内决定是否接收,在接收通知后45个工作日内完成安全评估,并将结果通知申请人。整个申报过程至少需要57个工作日。如果出现补充、修改材料,这个周期将进一步延长。
了解申报程序后,需要申报的企业需要准备哪些资料?
《办法》第6条规定了提交安全评估所需的资料,指南提供了更加细致和适当的模板。在提交的申报材料中,主要有申报人身份信息资料、经理批准委托书、申报书、与数据接收人的数据出境相关合同或其他法律文件、自我评估报告和其他证明材料。申报书要求数据处理者提供自己的基本信息、法定代表人、数据安全代表人和监管机构信息、经理信息、数据出境业务、目的、方法、链接、出境数据情况、海外收件人信息和收件人数据安全所有者和监管机构信息,要求数据处理者遵守中国法律、行政法规
此次发布指南还包括自我评估报告的模板,数据处理人员需要说明和评估自己的基本情况、出国数据情况、数据安全功能等。此外,还评估海外收件人的基本情况和数据安全功能。此外,在评估发现的问题和风险时,还应说明采取了哪些纠正措施,达到了哪些纠正效果。
特别是,安全评价绝不是一次人手,评价结果从通过之日起有效期为两年,如果企业两年后还进行数据出国活动,则必须在评价结果到期前60天再次申报安全评价。因此,定期数据安全评估将成为有跨境数据传输要求的企业规范化数据合规工作之一。同时,《办法》给了尚未进行安全评价的企业6个月的纠正期,属于适用范围的企业要求在《办法》生效之日起6个月内完成纠正。
三、遵守公司法规
建议数据出境已成为企业经营过程中需要重点关注的合规风险,企业的数据出境合规必须做到全面有效地识别出境数据,持续控制和监管数据出境路径和出境接口,建立数据出境的管理体系和制度,从而实现企业全面和常态化数据出境合规管理。因此,根据上述内容介绍,我们建议企业可以从以下方面尽快开展数据合规管理工作:
1.指南中发布的申报表中,要求明确数据处理者及境外接收方的数据安全负责人和管理机构信息。为了更加有序高效的开展数据出境安全评估工作,建议尚未设立数据安全负责人和机构的公司,应当尽快指定,并明确工作职责、工作规程等。对于落入《办法》适用范围的企业,因安全评估需要定期进行,所以建议设置常设岗位。
2.由于《办法》给予企业的整改期限仅有6个月,且申报周期也较长,对于存在数据出境场景的企业,建议尽快开展内部梳理,估算整体出境数据规模,尽早决定是否申报安全评估。而且因提交材料中涉及到境外接收者的很多信息,在企业内部梳理同时,也应当并行开展跟境外接收方的沟通及基础资料准备工作,避免造成因沟通不畅而产生过多的时间和精力。
3.本次指南提供的模板中,数据处理者需要说明自身的“数据安全管理能力,包括管理组织体系和制度建设情况,全流程管理、分类分级、应急处置、风险评估、个人信息权益保护等制度及落实情况”。对于此前未系统开展过数据合规工作的企业,应尽快制定符合前述要求的数据安全管理框架及各项数据合规规章制度,既为了满足法律法规的要求,也能够促进数据合规工作的有效顺利开展。《办法》不过短短20条,指南也只有寥寥几页,但是其中却涉及了纷繁复杂的数据合规工作,给企业的合规工作带了巨大的挑战。数字化时代,我们不可能也不应该逆流而行,而应顺应时代要求,切实重视数据合规工作,并予以落实。
(原标题:中国《数据出境安全评估办法》及申报指南解读)
来源:IPRdaily中文网(i)
作者:刘海生 夏琳 上海魏和刘律师事务所
编辑:IPRdaily赵甄 校对:IPRdaily纵横君