2022年9月1日,《数据出境安全评估办法》正式施行,这是我国数据跨境流动管理制度的重要里程碑。随着全球经济一体化和数字贸易的深入发展,越来越多的中国企业需要将数据传输到境外,无论是跨国企业的内部管理数据流转,还是跨境电商、云计算服务的跨境数据交互,都离不开对数据出境合规要求的理解。很多数据合规从业者反映,数据出境安全评估的流程复杂、材料繁多,实际操作中容易走弯路。这篇内容从实操角度梳理评估流程和关键要点。
数据出境安全评估办法适用的情形非常明确。数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息,符合四种情形之一就需要申报安全评估。这四种情形包括:数据处理者向境外提供重要数据;关键信息基础设施运营者和处理一百万人以上个人信息的数据处理者向境外提供个人信息;自上年一月一日起累计向境外提供十万人以上个人信息或者一万人以上敏感个人信息的数据处理者向境外提供个人信息;国家网信部门规定的其他需要申报数据出境安全评估的情形。企业需要根据自身的数据处理规模进行判断。
数据出境安全评估的申报流程分为几个关键步骤。第一步是开展数据出境风险自评估。企业在正式申报之前,必须按照办法要求完成自评估,形成自评估报告。自评估内容应当包括数据出境的目的、方式、范围和必要性,境外接收方所在国家或地区的数据安全保护政策法规及网络安全环境对数据安全的影响,以及数据处理者和境外接收方的数据安全管理措施等。自评估报告是申报安全评估的必备前置文件。
第二步是向省级网信部门提交安全评估申报材料。材料清单包括申报书、数据出境风险自评估报告、数据处理者与境外接收方拟订立的法律文件、数据出境安全评估承诺书等。申报材料要求清晰完整,法律文件需要明确约定数据安全保护责任和义务。省级网信部门在收到申报材料后五个工作日内完成材料完备性查验,材料齐全的将报送国家网信部门开展评估。
第三步是等待国家网信部门的评估结果。安全评估通常在国家网信部门收到申报材料之日起四十五个工作日内完成,情况复杂的可以适当延长,但延长不超过十五个工作日。评估结果分为通过、不通过和补充完善三种类型。评估通过的,数据处理者可以按照申报目的和范围进行数据出境活动。评估不通过的,数据处理者有异议可以申请复评估。
数据出境安全评估的有效期为两年,有效期届满需要继续开展数据出境活动的,数据处理者应当在有效期届满前六十个工作日重新申报评估。在有效期内,如果数据处理目的、方式和数据种类发生重要变化,或者境外接收方所在国家或地区数据安全法律环境发生重大变化,数据处理者应当重新申报评估。
数据出境安全评估办法对法律文件的要求非常严格。数据处理者与境外接收方订立的法律文件应当明确约定数据出境的目的、方式、范围和种类,境外接收方处理数据的用途和方式,数据保存期限和处理方式,以及双方的数据安全保护责任和义务。法律文件的形式可以是数据出境合同、公司集团内部数据共享协议等,但必须具有法律约束力。
在实操层面,企业可以采取一些措施来加速合规进程。提前梳理企业的数据出境场景和数据字段清单,明确哪些数据属于重要数据或个人信息。对于涉及数据出境的业务系统,完成数据资产盘点,标注数据的来源、流向和用途。对于多次申报的企业,建议建立标准化的数据出境申报材料模板库,提高申报效率。同时密切关注国家网信部门发布的数据出境安全评估指南和常见问题解答,了解最新的评审尺度。
数据出境安全评估办法施行以来,监管部门已经形成了相对成熟的评审体系。企业在准备申报材料时,应当注意几个容易被提出补充意见的问题。一是自评估报告的深度和完整性,建议逐条对照办法要求的评估事项进行撰写。二是法律文件中的责任约定是否清晰明确,特别是双方在数据安全事件发生后的通知义务和赔偿责任。三是数据处理者对数据出境的必要性论证,需要结合业务场景进行充分说明。
常见问题
Q1:所有数据出境都需要申报安全评估吗? A:不是。只有达到规定门槛的数据出境才需要申报。小规模个人信息出境可以通过标准合同或认证方式实现合规。
Q2:数据出境安全评估的费用是多少? A:目前国家网信部门开展安全评估不收取费用,但企业进行风险自评估和准备申报材料可能涉及第三方服务费用。
Q3:评估需要多长时间? A:法定时限是四十五个工作日,材料准备完善的情况下通常可以在这个时间内完成。材料不完整的会延长。
Q4:评估不通过怎么办? A:可以申请复评估一次。复评估仍不通过的,应当终止数据出境活动,或者对数据处理方案进行整改后重新申报。
