2022年9月1日,《数据出境安全评估办法》(“《办法》”)正式施行,6个月的整改时限也开始进入倒计时,达到相关适用条件的数据处理者将需要通过数据出境安全评估方能向境外提供数据。为指导和帮助数据处理者规范、有序地申报数据出境安全评估,赶在《办法》施行的前一天,国家互联网信息办公室发布了第一版的《数据出境安全评估申报指南》(“《指南》”),对申报流程及申报材料等事项进行了详细说明。存在数据出境行为的企业需要全面梳理数据出境类型、场景和规模,如适用数据出境安全评估应尽快按照《指南》启动相关合规工作。
一、明确界定“数据出境行为”
《办法》并未对“数据出境”这一概念进行界定,在就《办法》的答记者问中,相关负责人指出“数据出境活动主要包括:一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。”而在此以前,一般参考2017年发布的国家标准《信息安全技术数据出境安全评估指南(征求意见稿)》对“数据出境”的定义,但因为该标准至今未生效且时间久远,其定义的准确性一直存有疑虑。此次《指南》的发布填补了《办法》的这一概念空白,明确以下情形属于数据出境行为:
(一)数据处理者将在境内运营中收集和产生的数据传输、存储至境外;
(二)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;
(三)国家网信办规定的其他数据出境行为。
在此定义下,境外主体的查询、调取、下载、导出行为均将触发数据出境,而不再局限于“访问或者调用”。
二、细化申报材料并明确具体填报要求
《办法》第六条列举了申报数据出境安全评估应当提交的材料清单,包括申报书、数据出境风险自评估报告、数据处理者与境外接收方拟订立的法律文件以及安全评估工作所需要的其他材料。《指南》在《办法》划定范围的基础上进一步细化要求,将申报材料扩展到以下8项:
1.统一社会信用代码证件影印件
2.法定代表人身份证件影印件
3.经办人身份证件影印件
4.经办人授权委托书
5.数据出境安全评估申报书
6.与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件影印件
7.数据出境风险自评估报告
8.其他相关证明材料
《指南》规定了每项材料的具体的提交要求,针对上述第4、5和7项申报材料,《指南》同时提供了标准模板供数据处理者申报使用。提交书面材料时还应同步以光盘形式提交相应的电子版文件。
-
经办人授权委托书、数据出境风险自评估报告、数据出境安全评估申报书三项材料需提供原件。
-
明确数据处理者与境外接收方拟订立的数据出境相关合同为《办法》所要求的法律文件范围。
-
提交上述第6项规定的具有法律效力的文件时需要对数据出境相关约定条款作高亮、线框等显著标识。法律文件以中文版本为准,若仅有非中文版本,须同步提交准确的中文译本。前述中文版本的相关要求同样适用于其他相关的证明材料。
数据处理者应严格按照《指南》要求准备和提交申报材料,避免因补充或者更正申报材料拖延数据出境评估通过时间。
三、数据出境安全评估申报书
根据《指南》附件3提供的模板,数据出境安全评估申报书包括了承诺书与数据出境安全评估申报表两部分内容。
针对数据出境安全评估申报表的填报项,《指南》逐一进行了文字说明,笔者试将其中要点摘录如下:
数据出境链路:数据处理者需数据出境的链路进行描述,内容涵盖链路提供商、链路数量与带宽、境内外落地数据中心名称及机房物理位置、IP地址等。
拟出境数据情况:根据《指南》填报要求,我们理解如数据出境同时涉及个人信息和重要数据,可在此栏合并填写,一并进行申报。关于个人信息的敏感程度,可参照国家标准《信息安全技术个人信息安全规范》进行判断。此外,数据处理者需要统计出境数据的总体规模(MB/GB/TB)并填报涉及的自然人数量和重要数据数量。
相关条款在法律文件中的页码:《办法》第九条明确了数据处理者与境外接收方订立的法律文件中应明确约定的数据安全保护责任义务的基本内容。《指南》要求在填表时对于每一项具体内容均应填写对应法律文件条款所在的页码,并对相关条款作高亮、线框等显著标识。
遵守中国法律、行政法规、部门规章情况:数据处理者应简述近2年在业务经营活动中受到行政处罚和有关主管监管部门调查及整改情况,重点说明数据和网络安全方面相关情况。
-
数据处理者需要对出境数据情况展开全面摸底并形成数据资产清单,对其中涉及的个人信息、敏感个人信息及重要数据进行分类,并从出境数据的总体规模、涉及自然人数量、涉及重要数据数量及涉及敏感个人信息情况等维度进行数据统计。关于重要数据的识别,《数据安全法》明确由“国家”主导建立数据分类分级保护制度,由国家数据安全工作协调机制统筹协调有关部门制定重要数据目录。目前,《汽车数据安全管理若干规定(试行)》已率先明确了汽车数据中的重要数据范围。可以预见,未来各地区和部门将会陆续出台本行业的重要数据目录。在此之前,我们建议企业首先关注《信息安全技术重要数据识别指南(征求意见稿)》及《网络数据安全管理条例(征求意见稿)》等规范提出的识别标准并参考《网络安全标准实践指南—网络数据分类分级指引》提供的方法论指导,同时关注现行有效行业数据分级分类的国家标准,并依此进行企业内部的数据分类分级工作。
-
梳理目前的境外接收方与相关法律文件,就数据安全保护责任、数据安全保障能力等重点条款进行充分谈判和沟通,并在必要时及时重签或补签相关文件。
-
在与境外接收方签署数据出境合同时,将数据出境安全评估结果通过作为合同生效条件。
-
与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件应尽可能使用中文签署,或提前准备签署版本的中文译本。相关文件应确保涵盖《办法》第九条的全部内容。
-
数据处理者如于近2年在业务经营活动中受到行政处罚和有关主管监管部门调查、通报,应确保相关问题已整改完毕并在申报材料中就整改情况及其成果进行详细说明,重点说明数据和网络安全方面相关情况。我们理解这将是监管部门的重点关切。
四、数据出境风险自评估
💠 数据处理者的数据出境风险自评估活动应于当次申报前3个月内完成,且至申报之日未发生重大变化,并应在数据出境安全评估申报书的承诺事项中对此予以承诺。
💠 数据处理者可组织第三方机构参与自评估,须在自评估报告中说明第三方机构的基本情况及参与评估的情况,并在相关内容页上加盖第三方机构公章。
根据《指南》提供的《数据出境风险自评估报告(模板)》,自评估报告应涵盖“自评估简述”“出境活动整体情况”“拟出境活动风险评估情况”“出境活动风险自评估结论”四部分内容。
1. 自评估工作简述
该部分应重点介绍自评估工作开展情况,包括起止时间、组织情况、实施过程、实施方式等内容。
2. 出境活动整体情况
详细说明数据处理者基本情况、数据出境涉及的业务和信息系统、出境数据情况、数据处理者安全保障能力情况、境外接收方情况、法律文件约定情况等,具体说明事项如下表所示:
3. 拟出境活动风险评估情况
该部分构成自评估报告的核心部分,数据处理者应在该部分中逐项说明《办法》第五条所列重点评估事项的风险评估情况,并重点说明评估发现的问题和风险隐患,以及相应采取的整改措施及整改效果。“问题与整改”落实情况将直接关系到评估结论的理由和论据是否充分。
4. 出境活动风险自评估结论
综合上述风险评估情况和相应整改情况,数据处理者应对拟申报的数据出境活动作出客观的风险自评估结论,充分说明得出自评估结论的理由和论据。
我们建议数据处理者执行数据出境自评估时重点关注以下方面:
1.数据处理者提交的自评估报告除关注数据出境业务本身,根据《指南》要求,还需要说明整体业务与数据情况。因此,企业在评估工作中对数据处理情况的摸排应着眼于业务全局,而不应仅限于数据出境场景,此为自评估工作的前提。
2.在上述全面摸排的基础上,企业应全面筛查出现有数据出境业务情况,判断是否需申报数据出境安全评估。若需,应利用过渡期(2022年9月1日起6个月内)时间积极调整,尽快对已开展的数据出境活动进行数据出境风险自评估,发现与办法不符合项尽快整改,在整改后申报数据出境评估前再次开展自评估,对不符合项进行复核并出具数据出境风险自评估报告。
3.把握整体工作进度,确保末次数据出境风险自评估于申报日前3个月内完成,并在完成日至申报日的窗口期内自评估报告的相关内容不发生重大变化。
4.《个人信息保护法》中规定应当事先开展的“个人信息保护影响评估”与此处的个人信息出境前的风险自评估制度存在同时触发、交叠执行的现实情况。从提升数据合规效率一并节约合规成本的角度考虑,企业在进行专门针对出境业务场景下的个人信息保护影响评估制度设计时,可以将《办法》中规定的个人信息出境前风险自评估与个人信息保护影响评估的要求进行糅合,交由负责个人信息保护合规的部门和同事负责执行。
5.由于风险自评估工作涉及企业内部多个部门,需要进行大量的内部沟通和协调工作。建议由负责数据保护部门牵头,联合企业法务部负责人及出境活动涉及的业务部门、技术部门负责人领导自评估整体工作,制订完备的自评估工作流程制度体系,并追踪落实自评估中发现问题隐患的整改情况。
6.数据出境自评估工作可以由企业自行组织开展或委托第三方机构开展,但在相关监管态度尚不明朗的情况下,可能不太适合选择具有涉外背景的第三方机构开展自评估工作。
7.若委托第三方机构参与自评估,应在委托协议中明确第三方的数据安全责任,要求第三方机构在自评估过程中对知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密。
8.自评估报告中应提供工作底稿作为支持文件。例如PIA报告、认证证书、审计报告等。
9.在风险自评估时应如实记录自评估工作情况,参照《个人信息保护法》以及《办法》的规定,企业应当形成《数据出境风险自评估报告》并至少留存三年,以满足留存个人信息安全影响评估的评估记录保存要求。
10.完善内部组织架构和制度建设,按照《指南》要求设立数据安全负责人和管理机构,并完善数据全流程管理、分类分级、应急处置、风险评估、个人信息权益保护等制度、跟踪并及时修正其落实情况。
