《数据出境安全评估办法》已于2022年9月1日起施行。8月31日,为了指导和帮助数据处理者规范、有序申报数据安全评估,国家互联网信息办公室发布《数据出境安全评估申报指南(靠前版)》(以下简称《指南》),对数据出境安全评估申报方式、申报流程、申报材料等具体要求作出了说明。作为企业,结合规定,小编为大家总结如何进行申报,以及申报的流程,需要的材料等。
《指南》分别从申报门槛和出境行为两个方面进一步解释《评估办法》第二条和第四条的适用范围。
一、重申申报门槛
《指南》靠前条重申了《评估办法》第二条(结合第四条)有关适用数据出境安全评估的范围。其明确了在出境数据涉及重要数据的情况下,安全评估是强制性的;当出境数据涉及个人信息的情况下,安全评估需要满足一定前提条件。为了方便读者理解,本文通过如下图示说明安全评估的适用范围:
二、《指南》明晰了申报方式及流程
《指南》第二条明晰了申报方式及流程中的具体要求,例如,数据处理者申报评估应通过所在地省级网信办申报,申报方式为送达书面申报材料并附带材料电子版。结合《评估办法》第五条至第十四条和第十七条规定,本文将申报方式及流程总结如下:
三、具体申报流程
靠前需提交材料,包含统一社会信用代码证件、法定代理人身份证件、数据出境安全评估申报书、承诺书、数据出境风险自评估报告等资料。除了提交上述书面材料的同时,需通过光盘方式提交相应电子版文件 。数据处理者还要对所提交材料的真实性负责,提交虚假材料的,按照评估不通过处理,并依法追究相应法律责任。
第二需提前准备的几项工作,靠前确定机构数据安全负责人和管理机构。最核心的材料为《数据出境安全评估申报书》、《数据出境风险自评估报告》,结合两个报告所示,需填报境内数据处理方式及境外数据接收方的“数据安全负责人和管理机构信息”。 但是,《数据出境安全评估办法》中并没有关于“数据安全负责人和管理机构”的相关规定,可参考相关规定,设立机构数据安全负责人和管理机构。
第三拟出境数据的识别:重要数据、个人信息、敏感个人信息。重要数据根据《网络数据安全管理条例》第二十七条规定:各地区、各部门按照国家有关要求和标准,组织本地区、本部门以及相关行业、领域的数据处理者识别重要数据和核心数据,组织制定本地区、本部门以及相关行业、领域重要数据和核心数据目录,并报国家网信部门。后续,银保监会可能会出台涉及保险业的相关数据目录。
个人信息根据《个人信息保护法》第四条规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”
敏感个人信息 根据《个人信息保护法》第二十八条规定:“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
最后,数据安全保障能力建设包括建立相关制度并落实管理。例如作好数据分类分级管理;数据收集、存储、使用、加 工、传输、提供、公开、删除等全流程所采取的安全技术措施等技术能力;数据安全保障措施有效性证明:例如开展的数据安全风险评估、数据安全能力认证、数据安全检查测评、数据安全合规审计、网络安全等级保护测评等情况。
协会总结
根据《数据出境安全评估办法》规定,数据出境安全评估工作无论是从监管部门还是从申报主体角度均已正式进入实际操作阶段。同时,《指南》从诸多细节中也体现监管部门对企业申报准备工作的较高期待和要求。鉴于申报工作的时间紧任务重,涉及的部门多头绪杂,建议企业尽早着手,统筹安排,以免业务受到不利影响,如果你有申报相关疑问,可以点击下方留言。