2022年7月7日,国家互联网信息办公室(以下简称“国家网信办”。)针对数据出境问题出台了《数据出境安全评估办法》(以下简称“《评估办法》”)。在《评估办法》正式生效的前夜,国家网信办发布了《数据出境安全评估申报指南(第一版)》(以下简称“《申报指南》”),对于数据出境安全评估申报的适用范围、申报流程、申报方式、申报材料、申报书和自评估报告的模板等企业关心的具体问题进行了明确。
数据出境监管体系与《申报指南》
关于数据出境,除了作为顶层立法的三部基础法律,即《中华人民共和国网络安全法》(以下简称“《网络安全法》”)、《中华人民共和国数据安全法》(以下简称“《数据安全法》”)和《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)之外,国家网信办和全国信息安全标准化技术委员会等有关部门还先后尝试并制定发布了一系列规范性文件、推荐性国家标准等,主要包括《个人信息和重要数据出境安全评估办法(征求意见稿)》、《信息安全技术 数据出境安全评估指南(征求意见稿)》、《数据安全管理办法(征求意见稿)》、《个人信息出境安全评估办法(征求意见稿)》、《网络数据安全管理条例(征求意见稿)》、《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》、《个人信息出境标准合同规定(征求意见稿)》和《评估办法》。
目前《评估办法》和《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》已经开始施行,《个人信息出境标准合同规定(征求意见稿)》预计也将在近期正式出台,在三部法律的基础上,明确了以重要数据和个人信息为对象,通过“经网信部门安全评估”、“经专业机构进行个人信息保护认证”或“签订由网信部门制定的标准合同”三种方式实现的现行数据出境的监管体系。本次发布的《申报指南》正是在该等体系下,针对“经网信部门安全评估”这一出境方式下数据处理者应当如何具体进行申报的指导文件。
今年9月1日开始正式施行的《评估办法》中明确了安全评估实施的对象、申报方式和流程。本次出台的《申报指南》,在重申和明晰安全评估的适用范围的基础上,重点集中在申报方式和流程,特别是申报环节中的具体内容,进一步明确了申报材料的要求、申报书和自评估报告的内容,为企业正式开始进行自评估和申报的准备工作提供了参考。
《申报指南》重点内容解读
1. 适用范围、申报方式与申报流程
本次出台的《申报指南》内容可分为两部分,一是《申报指南》的适用范围以及申报的方式与流程,二是对申报材料的要求及相关文件模板。第一部分内容中,除《评估办法》中已经明确的信息,如申报主体(《评估办法》第四条)、审查受理申报的时限和补正要求(《评估办法》第七条)、评估终止(《评估办法》第十一条)和延长(《评估办法》第十二条)的情形及申请复评(《评估办法》第十三条)的相关内容外,还对《评估办法》中未明确的部分内容作出了解释。具体包括数据出境行为的定义,即数据处理者将在境内运营中收集和产生的数据传输、存储至境外,以及数据处理者收集和产生的数据存储在境内但境外的机构、组织或者个人可以查询、调取、下载、导出的情形都属于数据出境行为(参见《申报指南》一、适用范围)。《评估办法》出台后,国家网信办举行的答记者问中同样涉及了此内容,本次通过《申报指南》再次进行书面形式的确定,使得《评估办法》的适用范围更加清晰。另外,对于申报方式,《申报指南》明确申报材料应当通过书面与电子版两种方式同时提交,也是对《评估办法》中未提及的具体问题作出了回应。
2. 申报材料要求与文件模板
# 申报材料
《申报指南》的第二部分内容,即申报材料要求及相关文件模板,是对《评估办法》第六条中的规定进行的详细展开。《评估办法》第六条规定,申报材料应包括申报书、数据出境风险自评估报告、数据处理者与境外接收方拟订立的法律文件和安全评估工作需要的其他材料。《申报指南》中的附件1《数据出境安全评估申报材料要求》还要求数据处理者提供其统一社会信用代码证件、法定代表人身份证件、经办人身份证件和授权委托书(模板参见《申报指南》附件2)等文件,明确了申报材料的基本范围。
# 安全评估申报书
本次《申报指南》附件中,对于申报书及数据出境风险自评估报告两份文件提供了模板。通过《申报指南》附件3可以看出,申报书的内容组成包括三部分,即承诺书、数据出境安全评估申报表和填表说明。对于承诺书,需要注意的是,除了要求申报单位对申报材料内容的真实、完整、准确和有效性作出承诺外,还明确提到自评估工作应当为申报之日前3个月内完成,且至申报之日未发生重大变化(这一内容也在附件4《数据出境风险自评估报告(模板)》中有所体现)。
可以看出,安全评估方式下的风险自评估报告有效性为三个月。因此,对于有计划通过安全评估方式进行数据出境的企业而言,需要注意自评估工作与申报之间的时间衔接,避免自评估工作在申报时不被认可。对于申报书的第二部分,即数据出境安全评估申报表中的内容,可以参考申报书模板第三部分填表说明中的具体解释。从申报表的结构内容和填表说明,我们建议申报企业特别注意以下内容:
出境业务描述应与法律文件中涉及业务名称一致;
数据出境目的可以包括开展业务合作、技术研究、经营管理等,但要求具体进行阐述;
拟出境数据需要明确数据类型、敏感程度、数据规模、涉及行业/领域、涉及自然人数量和涉及重要数据数量,其中对于个人信息的敏感程度识别可以参照《信息安全技术 个人信息安全规范》(GB/T35273-2020);
对于境外接收方的信息要求除了基本情况之外,要求对其数据安全责任人和管理机构的情况进行记述;
法律文件需要对重点审核的内容的页码和条款内容进行记述,并在提交的法律文件中对相关条款做高亮、线框等显著标识;
申报表中涉及的遵守中国法律、行政法规、部门规章的考查期间是2年,需要企业说明在业务经营活动中受到行政处罚和有关主管部门调查及整改情况,重点关注数据和网络安全方面。
# 自评估报告
对于风险自评估工作,《申报指南》附件4中提供了《数据出境风险自评估报告(模板)》供参考。风险自评估是安全评估流程中必备和最重要的环节,可以说自评估工作的质量直接关系安全评估的通过与否。《评估办法》中,就风险自评估中的重点事项作出了规定,而通过《申报指南》中的报告模板,数据处理者能够更直观地理解该等重点事项应当如何体现。根据模板,自评估报告应当包括四部分内容,分别为自评估工作简述、出境活动整体情况、拟出境活动的风险评估情况和出境活动风险自评估结论。其中每一部分内容应当包含的具体评估内容,由于本文篇幅有限,不做具体展开,评估企业可以实际参照模板。
但是需要提示的是,评估企业需要明确自评估的目的应当聚焦在向进行安全评估的网信部门提供必要信息和评估依据,因此所有自评估内容除了关注《评估办法》第五条自评估重点评估事项之外,应当围绕《评估办法》第八条安全评估的重点评估内容即数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险展开,包括该条中的评估内容如何在自评估报告中体现也是特别需要注意的重点。这一点在《申报指南》列出的评估内容中有具体体现。例如,自评估报告关于境外接收方情况的评估点中,要求说明“境外接收方所在国家或地区数据安全保护政策法规和网络安全环境情况”就是为了对应《评估办法》第八条第(二)项的评估事项。我们建议评估企业结合上述的注意点提示内容,参照自评估报告的模板内容认真、完整地实施自评估工作。
《申报指南》与数据出境安全评估流程
通过本次出台的《申报指南》,可以总结出现行法规体系下数据出境安全评估的流程如下:
第一步:进行风险自评估(申报前3个月以内完成);
第二步:按照《申报指南》附件1中的要求填写、准备申报材料并向省级网信部门进行申报;
第三步:省级网信部门进行完备性审查并报送国家网信办(5个工作日内完成,根据审查结果可能退回申报),我们认为完备性审查不同于形式性审查,需要充分予以重视;
第四步:国家网信办确定是否受理申报并发送书面通知(7个工作日内完成);
第五步:国家网信办进行审查(发出书面受理通知书之日起45个工作日内完成。需要数据处理者补正材料的,根据补正情况可能终止安全评估或延长评估时间);
第六步:国家网信办完成评估,向数据处理者发送评估结果通知书;
第七步:数据处理者申请复评(收到评估结果通知书15个工作日内进行,如需)。考虑到根据评估结果进行资料的补充和整改工作可能较难在15个工作日内完成,且复评结果是终局的,我们建议尽量将沟通和准备工作在前期工作中进行。
2022年9月1日起,随着《评估办法》的正式施行,其中规定的六个月整改期也正式进入倒计时。虽然《申报指南》旨在指导和帮助数据处理者规范、有序申报,并非直接反映监管部门进行安全评估时的评估标准的文件,但根据《评估办法》中规定的安全评估具体事项,结合《申报指南》中要求数据处理者提供的信息和材料,以及其中透露出的相关信息,数据处理者可以更好地通过具体信息、材料体现能够反映和说明安全评估具体事项所涉及的内容,从而配合监管部门,以期更加顺利地通过安全评估。伴随《申报指南》的发布,国家网信办等还公开了咨询电话,根据咨询和各界关注、反应的问题,未来还有可能发布后续指南,我们也会持续关注,助力企业顺利实施评估工作。
注:原文首发于公众号“数据安全推进计划”
