很多企业在申报数据出境安全评估时会遇到申请被驳回的情况,了解常见的驳回原因,能够帮助企业提前规避相关问题,提升评估的通过率。常见的驳回原因主要集中在申报材料、风险评估、法律文件、合规性等几个方面。
第一个常见的驳回原因是申报材料不完整或者不符合要求,这是最常见的驳回原因,具体包括缺少要求的申报材料、申报材料内容填写不完整、申报材料前后内容不一致、申报材料未加盖公章或者签字不完整等情况。很多企业在准备申报材料时,没有仔细对照申报指南的要求,遗漏了部分需要提交的材料,或者申报书中的内容填写不完整,例如没有准确填写数据出境的规模、接收方的基本信息等内容,还有的企业不同材料中的同一信息存在差异,例如申报书中的数据出境规模与自评估报告中的数据不一致,这些都会导致申报被驳回。为了避免这个问题,企业在提交申报材料前,需要安排专人对照申报指南的要求逐一核对材料,确保所有材料齐全,内容完整一致,签字盖章完整。
第二个常见的驳回原因是数据出境风险自评估报告质量不达标,具体包括自评估报告内容不完整,没有覆盖要求的所有评估内容,风险排查不深入,没有识别出真实存在的安全风险,风险防控措施不具体,不具备可操作性,评估结论不明确或者与实际情况不符等情况。很多企业的自评估报告只是简单照搬模板,没有结合自身的实际情况开展深入的风险排查,对存在的风险点避重就轻,提出的防控措施都是原则性的表述,没有具体的落地安排,这样的自评估报告无法满足评估要求,会被驳回。为了避免这个问题,企业需要认真开展自评估工作,深入排查各个环节的风险点,针对每个风险点制定具体可行的防控措施,自评估报告的内容要真实客观,能够准确反映数据出境的实际情况和风险防控能力。
第三个常见的驳回原因是与境外接收方签订的法律文件不符合要求,具体包括法律文件中缺少必要的安全保护条款,双方的安全责任约定不明确,存在免除或者减轻数据处理者责任的条款,适用法律或者争议解决条款不符合要求等情况。很多企业使用的合作合同是境外接收方提供的模板,其中的条款更多地保护境外接收方的利益,缺少对数据安全保护的相关约定,或者约定的适用法律是境外法律,争议解决机构是境外的仲裁机构或者法院,这些都不符合我国相关法律法规的要求,会导致申报被驳回。为了避免这个问题,企业在签订相关法律文件时,需要按照数据出境安全评估的要求,明确约定双方的数据安全保护责任,确保相关条款符合我国法律的要求,必要时可以对合同模板进行修改,或者签订专门的补充协议。
第四个常见的驳回原因是数据出境的必要性不足,具体包括出境的数据超出了业务必需的范围,存在过度出境的情况,或者可以通过其他方式实现业务目标,不需要进行数据出境。很多企业在开展业务时,为了方便将大量不必要的数据传输到境外,或者没有对出境数据进行脱敏处理,将很多敏感的个人信息和重要数据一并出境,这些情况都会被认为数据出境的必要性不足,导致申报被驳回。为了避免这个问题,企业在开展数据出境前,需要梳理出境数据的范围,按照最小必要原则确定需要出境的数据,尽可能对数据进行脱敏处理,去除不必要的敏感字段,同时评估是否可以通过本地化处理等其他方式实现业务目标,减少不必要的数据出境。
第五个常见的驳回原因是境外接收方所在国家或者地区的数据保护环境不符合要求,或者境外接收方的安全保护能力不足,无法保障出境数据的安全。如果境外接收方所在国家或者地区的数据保护法律不完善,或者存在对我国企业的数据歧视性政策,或者境外接收方没有足够的技术和管理措施保护数据安全,都会导致评估被驳回。为了避免这个问题,企业在选择境外接收方时,需要充分了解其所在国家或者地区的数据保护法律环境,评估境外接收方的安全保护能力,优先选择数据保护环境良好、安全能力充足的接收方开展合作。
第六个常见的驳回原因是数据出境活动存在较大的安全风险,可能危害国家安全、公共利益或者个人信息主体的合法权益。如果评估过程中发现数据出境可能带来上述风险,并且没有有效的防控措施,会导致申报被驳回。为了避免这个问题,企业需要在自评估阶段充分评估可能存在的各类风险,针对风险制定有效的防控措施,尽可能降低安全风险,对于确实存在重大安全风险且无法防控的出境活动,应该及时调整业务方案,避免违规出境。
企业如果收到评估驳回通知,需要仔细阅读驳回理由,按照要求进行整改后重新提交申请,对于驳回理由有疑问的,可以向网信部门咨询,了解具体的整改要求,提高重新申报的通过率。