跨境数据安全评估是企业开展跨境业务过程中需要完成的重要合规工作,符合《数据安全法》《个人信息保护法》以及《数据出境安全评估办法》等相关法律法规的要求,能够帮助企业防范跨境数据流动过程中的安全风险,避免因为不合规面临处罚。很多企业在开展跨境数据安全评估工作时容易对评估范围界定不清、申报材料准备不充分、风险排查不到位等问题,导致评估申请被驳回或者后续出现合规风险。
首先需要明确跨境数据安全评估的适用范围,根据相关规定,企业向境外提供重要数据的、处理一百万人以上个人信息的处理者向境外提供个人信息的、自上年一月一日起累计向境外提供十万人以上个人信息或者一万人以上敏感个人信息的,都需要向国家网信部门申报数据出境安全评估。此外,关键信息基础设施运营者向境外提供在境内运营中收集和产生的重要数据和个人信息的,也需要进行安全评估。企业在开展相关业务前,首先需要对照上述条件判断自身是否需要申报安全评估,避免出现应申报未申报的情况。
开展跨境数据安全评估的第一步是开展数据出境风险自评估,企业需要组织法务、IT、业务等相关部门人员,对拟出境的数据进行全面梳理,包括数据的类型、规模、范围、敏感程度,出境的目的、方式、范围、频率,接收方的所在国家或者地区的网络安全环境和数据保护政策,数据出境后可能面临的安全风险等内容。自评估过程需要重点排查数据出境可能带来的国家安全风险、公共利益风险、个人信息主体合法权益风险等,针对排查发现的风险点制定相应的防护措施,形成完整的自评估报告。
准备申报材料是跨境数据安全评估的重要环节,企业需要按照要求准备完整的申报材料,通常包括数据出境安全评估申报书、数据出境风险自评估报告、数据处理者和境外接收方拟订立的法律文件、其他与数据出境安全相关的材料等。申报书需要如实填写企业的基本情况、数据出境的相关情况、拟采取的安全保护措施等内容,法律文件中需要明确双方的数据安全保护责任、数据出境后的安全保障措施、数据泄露后的应急处置责任、个人信息主体的权利保障等内容,确保相关条款能够有效保障数据安全。
企业需要对申报材料的真实性、准确性、完整性负责,不得隐瞒相关情况或者提供虚假材料,否则可能导致评估申请被驳回,甚至面临相应的处罚。如果申报材料存在不完整或者不符合要求的情况,网信部门会通知企业补充或者更正,企业需要按照要求及时补充完善相关材料,配合评估工作的开展。
在评估过程中,企业需要积极配合网信部门的评估工作,如实回答相关问题,提供必要的补充材料,按照要求对相关事项进行说明。如果评估过程中发现企业的出境活动存在较大安全风险,网信部门会提出整改意见,企业需要按照要求及时整改,整改完成后重新提交评估申请。
通过安全评估后,企业需要严格按照评估确定的方案开展数据出境活动,不得擅自变更数据出境的目的、范围、方式、接收方等内容,如果相关内容发生变更,需要重新申报安全评估。企业需要在数据出境活动开展过程中持续关注境外接收方的数据保护情况,定期评估数据出境的安全风险,如果发现安全风险上升,需要及时采取相应的措施,必要时暂停数据出境活动。
数据出境安全评估的有效期为两年,有效期届满需要继续开展数据出境活动的,企业需要在有效期届满六十个工作日前重新申报评估。在有效期内,如果企业的数据出境情况发生重大变化、境外接收方所在国家或者地区的数据保护政策发生重大变化、发生数据泄露等安全事件的,企业需要及时向网信部门报告,必要时重新申报评估。
对于不需要申报国家层面数据出境安全评估的跨境数据流动场景,企业也需要按照相关规定开展相应的合规工作,包括开展个人信息保护影响评估、与境外接收方订立标准合同、取得个人信息主体的单独同意等,确保所有跨境数据流动活动都符合法律法规的要求。如果企业对相关合规要求不明确,可以寻求专业的法律服务机构或者数据安全服务机构的支持,提升跨境数据安全评估工作的合规性和准确性。
