跨境数据安全评估申报材料的质量直接影响评估的通过率,很多企业因为申报材料不完整、不符合要求,导致评估申请被驳回,或者需要反复补充材料,影响评估进度。了解申报材料的准备要点,能够帮助企业更高效地完成申报工作,提升评估的通过率。
首先需要准备的材料是数据出境安全评估申报书,申报书需要如实填写企业的基本信息、数据出境的相关信息、接收方的相关信息、拟采取的安全保护措施等内容。填写申报书时需要注意信息的准确性,企业的名称、统一社会信用代码等基础信息要与营业执照一致,数据出境的场景、目的、范围、规模等内容要如实填写,不得隐瞒或者虚报。特别是涉及数据规模的内容,需要提供准确的统计依据,例如拟出境的个人信息数量、重要数据的类型和规模等,不能随意估算。申报书需要加盖企业公章,法定代表人或者授权代表人需要签字确认。
其次是数据出境风险自评估报告,这是申报材料中最重要的部分,也是网信部门重点审查的内容。自评估报告需要按照《数据出境安全评估申报指南》的要求编写,内容需要涵盖数据出境的基本情况、数据处理者和境外接收方的安全保护能力、数据出境及出境后面临的安全风险、拟采取的安全保护措施、风险评估结论等核心内容。编写自评估报告时需要注意内容的全面性和真实性,风险排查要深入,不能避重就轻,针对排查发现的风险点要制定具体可行的防护措施,不能只做原则性的表述。自评估报告需要有明确的评估结论,说明本次数据出境活动的风险是否可控,是否符合数据出境的相关要求。
第三部分是数据处理者与境外接收方订立的法律文件,包括合同、协议等,这些文件中需要明确约定双方的数据安全保护责任。法律文件中需要包含的核心内容包括数据出境的目的、范围和处理方式,境外接收方的数据存储地点、存储期限和处理用途,双方的数据安全保护义务和责任,数据泄露后的应急处置和通知义务,个人信息主体的权利保障渠道,法律文件的效力和适用法律,争议解决方式等。如果数据出境活动涉及多个境外接收方,需要提供与所有接收方签订的法律文件。法律文件的内容需要符合我国相关法律法规的要求,不得存在免除或者减轻企业应当承担的数据安全责任的条款。
除了上述核心材料外,企业还需要根据自身情况准备其他相关的证明材料,例如企业的数据安全管理制度、技术防护措施证明材料、个人信息保护影响评估报告、与数据出境相关的内部审批文件等。如果涉及重要数据出境,还需要提供重要数据的识别依据和相关说明。如果企业之前有开展过数据出境安全评估,还需要提供之前的评估结果和相关的整改情况说明。
准备申报材料时需要注意材料的一致性,不同材料中的相关内容需要保持一致,例如申报书中的数据出境规模需要与自评估报告中的数据一致,法律文件中约定的内容需要与申报书和自评估报告中的内容一致,避免出现前后矛盾的情况。所有材料需要按照要求进行装订,电子版和纸质版内容需要保持一致,纸质版需要加盖企业公章。
企业在正式提交申报材料前,可以先对照《数据出境安全评估申报指南》中的材料要求进行自查,检查是否有遗漏的材料,材料内容是否符合要求。如果对材料准备有疑问,可以咨询当地网信部门或者专业的服务机构,避免因为材料问题影响评估进度。如果网信部门在审查过程中要求补充或者更正材料,企业需要按照要求及时提供相关的补充材料,积极配合审查工作。
需要注意的是,企业需要对申报材料的真实性、准确性、完整性负责,不得提供虚假材料或者隐瞒相关情况,否则会导致评估申请被驳回,还可能面临相应的行政处罚。如果企业的数据出境情况发生变化,需要及时更新申报材料,或者重新申报评估,确保申报材料反映的是最新的实际情况。
不同行业的企业还需要结合所属行业的监管要求,准备相关的行业合规证明材料,例如金融行业的企业需要提供金融监管部门的相关批复文件,医疗行业的企业需要提供卫生健康部门的相关审批文件等,确保数据出境活动同时符合行业监管要求。