#本文僅代表作者觀點，不代表IPRdaily立場，未經(jīng)作者許可，禁止轉(zhuǎn)載#

“本文將從《數(shù)據(jù)出境安全評估辦法》的適用范圍、安全評估流程、所需提交材料介紹以及企業(yè)合規(guī)建議角度對《辦法》及申報指南進行簡要解讀?！?/strong>

來源：IPRdaily中文網(wǎng)（iprdaily.cn）

作者：劉海生夏琳上海魏和劉律師事務(wù)所

備受關(guān)注的中國《數(shù)據(jù)出境安全評估辦法》（以下簡稱“《辦法》”）已經(jīng)于2022年9月1日起生效，而就在生效前夕中國國家網(wǎng)信辦又公布了與《辦法》配套使用的《數(shù)據(jù)出境安全評估申報指南（第一版）》（以下簡稱“指南”），至此，《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個人信息保護法》中均有提及的“安全評估”終于從紙上程序落實到了實處。是否需要進行數(shù)據(jù)出境安全評估以及如何開展也成了許多涉及數(shù)據(jù)出境場景的公司，尤其是駐華跨國企業(yè)的重要合規(guī)課題。

本文將從《辦法》的適用范圍、安全評估流程、所需提交材料介紹以及企業(yè)合規(guī)建議角度對《辦法》及申報指南進行簡要解讀。

一、適用范圍

《辦法》中規(guī)定的數(shù)據(jù)出境場景包括哪些呢?根據(jù)《辦法》第2條及指南第一條，數(shù)據(jù)出境包括兩類情形，一種是主動出境，即數(shù)據(jù)處理者在日常運營中收集和產(chǎn)生的數(shù)據(jù)傳輸、存儲至境外，實踐中常見的場景是境內(nèi)主體通過軟件包括電子郵件、FTP、跨境搭建的VPN、API等傳輸信道以及硬件包括U盤、移動硬盤、甚至裝載數(shù)據(jù)的便攜筆記本等向境外主體提供數(shù)據(jù)，或者境內(nèi)主體使用海外服務(wù)器時產(chǎn)生的數(shù)據(jù)上傳或存儲；另外一種是被動出境，即數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲在境內(nèi)，境外的機構(gòu)、組織或者個人可以查詢、調(diào)取、下載、導出，實踐中常見的場景是境外主體通過訪問境內(nèi)主體部署于境內(nèi)的公開網(wǎng)頁、服務(wù)器、數(shù)據(jù)庫或信息系統(tǒng)等獲取數(shù)據(jù)。相比于主動出境的情形，數(shù)據(jù)被動出境的情形更容易被企業(yè)忽略。

什么樣的情況下需要進行申報安全評估呢？根據(jù)《辦法》第四條，當符合以下四個條件之一時，便需依照《辦法》的規(guī)定，進行申報：

（1）向境外提供重要數(shù)據(jù)；

（2）關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理100萬人以上個人信息的處理者向境外提供個人信息；

（3）自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數(shù)據(jù)處理者向境外提供個人信息；

（4）網(wǎng)信部門規(guī)定的需要進行申報的情形。

然而，目前現(xiàn)行有效的法律法規(guī)、國家標準以及指南中并沒有對《辦法》中未釋明的部分（比如哪些屬于重要數(shù)據(jù)、個人信息數(shù)量的計算標準等）作進一步的細化和解釋，現(xiàn)階段企業(yè)還是需要參考已發(fā)布的相關(guān)信息安全技術(shù)國家標準的征求意見稿進行判斷，這同時也為企業(yè)在短時間進行數(shù)據(jù)合規(guī)的內(nèi)部排查帶來了不小的挑戰(zhàn)。

二、申報安全評估

若企業(yè)經(jīng)梳理，落入了《辦法》的適用范圍，應(yīng)該依照怎樣的流程開展數(shù)據(jù)安全評估工作呢？

《辦法》明確了安全評估的具體流程，首先是應(yīng)進行自評估，自評估結(jié)束形成自評估報告后并齊備其他所需材料提交所在地省級網(wǎng)信部門，省級網(wǎng)信部門在收到材料后5個工作日內(nèi)進行形式審查并決定是否報送國家網(wǎng)信部門進行審查。國家網(wǎng)信部門在收到后7個工作日內(nèi)確定是否受理，并在發(fā)出受理通知后45個工作日完成安全評估并告知申請人結(jié)果。整個申報流程最短需57個工作日。若出現(xiàn)補充、更正材料的，該周期將會進一步延長。

明白了申報流程，那么需要進行申報的企業(yè)應(yīng)準備哪些材料呢？

《辦法》第六條規(guī)定了提交安全評估所需提交的材料，而指南則進一步細化并提供了相應(yīng)模板。從提交的申報材料來看，主要有申報人身份信息材料、經(jīng)辦人授權(quán)委托書、申報表、與數(shù)據(jù)接收方簽訂的數(shù)據(jù)出境相關(guān)合同或其他法律文件、自評估報告以及其他證明材料。值得一提的是，申報表中要求數(shù)據(jù)處理者提供自身基本信息、法定代表人、數(shù)據(jù)安全負責人和管理機構(gòu)信息、經(jīng)辦人信息、數(shù)據(jù)出境的業(yè)務(wù)、目的、方式、鏈路、出境數(shù)據(jù)情況、境外接收方信息及接收方數(shù)據(jù)安全責任人和管理機構(gòu)信息，且要求數(shù)據(jù)處理者對于遵守中國法律、行政法規(guī)、部門規(guī)章情況進行說明。

本次發(fā)布的指南也附帶了自評估報告的模板，模板中要求數(shù)據(jù)處理者對自身的基本情況、出境數(shù)據(jù)情況、數(shù)據(jù)安全保障能力等進行說明和評估。且對境外接收方的基本情況和數(shù)據(jù)安全保障能力進行評估。同時，還應(yīng)當對評估發(fā)現(xiàn)的問題和風險隱患采取了怎樣的整改措施及達到了什么樣的整改效果進行說明。

需要特別注意的是，安全評估并非一勞永逸，評估結(jié)果自通過之日起兩年內(nèi)有效，若企業(yè)在兩年后仍有數(shù)據(jù)出境活動的，則應(yīng)當在評估結(jié)果期滿之前60個工作日重新申報安全評估。由此看來，定期數(shù)據(jù)安全評估將成為有數(shù)據(jù)跨境傳輸需求的企業(yè)的常態(tài)化數(shù)據(jù)合規(guī)工作之一。同時《辦法》給予了尚未進行安全評估的企業(yè)6個月的整改期限，要求落入適用范圍的企業(yè)在《辦法》生效之日起6個月內(nèi)完成整改。

三、企業(yè)合規(guī)建議

數(shù)據(jù)出境已成為企業(yè)經(jīng)營過程中需要重點關(guān)注的合規(guī)風險，企業(yè)的數(shù)據(jù)出境合規(guī)必須做到全面有效地識別出境數(shù)據(jù)，持續(xù)控制和監(jiān)管數(shù)據(jù)出境路徑和出境接口，建立數(shù)據(jù)出境的管理體系和制度，從而實現(xiàn)企業(yè)全面和常態(tài)化數(shù)據(jù)出境合規(guī)管理。因此，根據(jù)上述內(nèi)容介紹，我們建議企業(yè)可以從以下方面盡快開展數(shù)據(jù)合規(guī)管理工作：

1.指南中發(fā)布的申報表中，要求明確數(shù)據(jù)處理者及境外接收方的數(shù)據(jù)安全負責人和管理機構(gòu)信息。為了更加有序高效的開展數(shù)據(jù)出境安全評估工作，建議尚未設(shè)立數(shù)據(jù)安全負責人和機構(gòu)的公司，應(yīng)當盡快指定，并明確工作職責、工作規(guī)程等。對于落入《辦法》適用范圍的企業(yè)，因安全評估需要定期進行，所以建議設(shè)置常設(shè)崗位。

2.由于《辦法》給予企業(yè)的整改期限僅有6個月，且申報周期也較長，對于存在數(shù)據(jù)出境場景的企業(yè)，建議盡快開展內(nèi)部梳理，估算整體出境數(shù)據(jù)規(guī)模，盡早決定是否申報安全評估。而且因提交材料中涉及到境外接收者的很多信息，在企業(yè)內(nèi)部梳理同時，也應(yīng)當并行開展跟境外接收方的溝通及基礎(chǔ)資料準備工作，避免造成因溝通不暢而產(chǎn)生過多的時間和精力。

3.本次指南提供的模板中，數(shù)據(jù)處理者需要說明自身的“數(shù)據(jù)安全管理能力，包括管理組織體系和制度建設(shè)情況，全流程管理、分類分級、應(yīng)急處置、風險評估、個人信息權(quán)益保護等制度及落實情況”。對于此前未系統(tǒng)開展過數(shù)據(jù)合規(guī)工作的企業(yè)，應(yīng)盡快制定符合前述要求的數(shù)據(jù)安全管理框架及各項數(shù)據(jù)合規(guī)規(guī)章制度，既為了滿足法律法規(guī)的要求，也能夠促進數(shù)據(jù)合規(guī)工作的有效順利開展?！掇k法》不過短短20條，指南也只有寥寥幾頁，但是其中卻涉及了紛繁復(fù)雜的數(shù)據(jù)合規(guī)工作，給企業(yè)的合規(guī)工作帶了巨大的挑戰(zhàn)。數(shù)字化時代，我們不可能也不應(yīng)該逆流而行，而應(yīng)順應(yīng)時代要求，切實重視數(shù)據(jù)合規(guī)工作，并予以落實。