去年我做了一个数据出境的项目,一家做跨境电商的客户,要把国内用户的订单数据传回海外总部做统一管理。刚一启动,客户就问了我一句话:这个数据出境安全评估,到底要走哪些流程?这个问题问得很实际,因为数据出境安全评估办法已经实施快两年了,但很多企业对这个流程还是一头雾水。今天我把整个申请流程从头到尾梳理一遍,希望对准备走这条路的同行有参考价值。
第一步是判断是否需要申请。不是所有数据出境都要走安全评估的。按照目前的规定,只有符合特定条件的情况才需要正式向网信办提交申请。具体来说,以下几种情况必须要申请:处理一百万人以上个人信息的数据处理者向境外提供个人信息;自上年一月一日起累计向境外提供十万人以上个人信息或者一万人以上敏感个人信息;以及向境外提供重要数据。如果不属于这些情况,可能走标准合同备案或者认证就可以了。所以第一步不是急着填表,而是先对照条件确认自己的业务到底在哪个范畴。判断错了,后面全都白做。
第二步是开展数据出境风险自评估。这是提交正式申请前的必修课。自评估要分析几个方面:数据出境的目的、范围、方式的合法性正当性和必要性,数据出境可能对国家安全、公共利益和个人合法权益带来的风险,境外接收方所在国家或地区的数据安全保护环境,境外接收方如何保障数据安全,以及数据出境后出现安全问题时双方的权责划分。自评估报告要写得扎实,因为正式申请时监管机构会重点审查自评估的内容,自评估质量直接影响到审批结果。我见过不少企业自评估做得很敷衍,结果正式申请的时候被要求反复补材料,周期拉得很长。
第三步是准备正式申请材料。正式申请包括:数据出境安全评估申请表、数据出境风险自评估报告、数据处理者与境外接收方拟订立的法律文件、数据出境安全评估承诺书。法律文件这部分特别重要,它要明确约定数据的用途、范围、处理方式、保存期限,以及发生安全事件后的责任承担。如果跟境外接收方签的合同写得太笼统,审批大概率会被退回。建议在起草法律文件时专门请熟悉跨境数据合规的律师把关,把权利义务写清楚写细致。
第四步是向省级网信办提交申请。材料准备好后,先提交到企业注册地所在的省级网信办。省级网信办会在五个工作日内完成完备性查验,如果材料齐全就会上报国家网信办。如果材料不齐全会通知补正,所以要留出补正的时间。这一步虽然是报送环节,但也不能掉以轻心,因为不同省份的网信办在材料要求上可能会有一些差异,建议先跟当地的网信办做个沟通,了解一下他们的具体要求和注意事项。
第五步是国家网信办正式评估。国家网信办受理后会组织行业主管部门、国务院有关部门以及相关专家进行联合评估。评估的重点包括数据出境是否合法正当必要,是否对国家安全和社会公共利益造成风险,境外接收方的安全保护措施是否有效,以及合同是否充分约定了安全责任。国家网信办一般在四十五个工作日内出具评估结果,情况复杂的会延长,延长时间一般不超过四十五个工作日。也就是说,整个审批周期可能在三到六个月之间,企业要提前做好时间规划。
第六步是拿到结果后的后续工作。如果评估通过,会得到一个有效期为两年的评估通过通知书。但这不代表就一劳永逸了。在有效期内,如果出现以下情况,需要重新申请评估:数据出境的目的、方式、范围或数据种类发生变化的;境外接收方所在国家或地区数据安全环境发生变化的;或者出现影响数据安全的其他情况的。另外,有效期届满前,如果还想继续开展数据出境活动,需要在到期前六十个工作日申请延续评估。
整个过程看起来挺长的,但这是保护数据跨境流动安全的一道重要关卡。对企业来说,与其担心流程复杂,不如提前做好数据出境的整体规划,把自评估和材料准备的时间算进去,留够余量。如果条件允许,也可以请有经验的数据安全顾问帮忙做全程辅导,避免走弯路。毕竟数据出境一旦出了问题,影响的不仅是一家企业的声誉,还可能影响到跨境业务的持续开展。
