本指南旨在为企业提供数据出境安全评估的技术实施指导,帮助企业落实《数据安全法》《个人信息保护法》《数据出境安全评估办法》等法律法规要求,规范数据出境活动,保障数据出境安全,促进数据依法有序自由流动。
一、数据出境概述
1. 基本概念
数据出境:数据处理者将在中华人民共和国境内运营中收集和产生的数据传输、存储至境外,或者数据处理者收集和产生的数据存储在境内,但境外机构、组织或者个人可以查询、调取、下载、导出。
数据处理者:在中华人民共和国境内开展数据处理活动的组织、个人。
重要数据:一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。
2. 法律依据
《数据安全法》第三十六条:中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
《个人信息保护法》第三十八条:个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:通过国家网信部门组织的安全评估;按照国家网信部门的规定经专业机构进行个人信息保护认证;按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;法律、行政法规或者国家网信部门规定的其他条件。
《数据出境安全评估办法》第四条:数据处理者向境外提供数据,有下列情形之一的,应当通过国家网信部门组织的数据出境安全评估:数据处理者向境外提供重要数据;关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;国家网信部门规定的其他情形。
3. 出境路径
| 路径 | 适用情形 | 监管要求 |
|---|---|---|
| 安全评估 | 重要数据出境;大规模个人信息出境 | 国家网信部门组织评估 |
| 保护认证 | 个人信息出境 | 经专业机构认证 |
| 标准合同 | 个人信息出境 | 订立标准合同 |
| 其他条件 | 法律、行政法规规定 | 符合相关规定 |
二、安全评估适用情形
1. 重要数据出境
数据处理者向境外提供重要数据,应当通过国家网信部门组织的数据出境安全评估。重要数据的具体范围由国家网信部门会同国务院有关部门制定。
2. 关键信息基础设施运营者
关键信息基础设施运营者向境外提供个人信息,应当通过国家网信部门组织的数据出境安全评估。关键信息基础设施的具体范围由国务院确定。
3. 大规模个人信息出境
处理100万人以上个人信息的数据处理者向境外提供个人信息,应当通过国家网信部门组织的数据出境安全评估。
4. 累计大规模个人信息出境
自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息,应当通过国家网信部门组织的数据出境安全评估。
5. 其他情形
国家网信部门规定的其他应当通过数据出境安全评估的情形。
三、安全评估内容
1. 数据出境的目的、范围、方式等的合法性、正当性、必要性
评估数据出境的目的、范围、方式等是否符合法律、行政法规的规定,是否具有正当性、必要性,是否与处理目的直接相关。
2. 出境数据的规模、范围、种类、敏感程度
评估出境数据的规模、范围、种类、敏感程度,以及数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险。
3. 境外接收方处理数据的目的、方式等的合法性、正当性、必要性
评估境外接收方处理数据的目的、方式等是否符合法律、行政法规的规定,是否具有正当性、必要性。
4. 数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险
评估数据出境中和出境后可能面临的安全风险,包括遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险。
5. 数据安全和个人信息权益是否能够得到充分有效保障
评估数据安全和个人信息权益是否能够得到充分有效保障,包括境外接收方所在国家或者地区的网络安全环境、政策法规和网络安全保护水平等因素。
6. 与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务
评估与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务,包括数据安全保护措施、数据安全事件应急处置、数据安全审计、数据安全责任等。
7. 遵守中国法律、行政法规、部门规章情况
评估数据处理者遵守中国法律、行政法规、部门规章情况,包括数据安全管理制度、数据安全技术措施、数据安全人员管理等。
四、安全评估流程
1. 申报准备
材料准备:准备数据出境安全评估申报材料,包括申报书、数据出境风险自评估报告、数据处理者与境外接收方拟订立的法律文件等。
风险自评估:数据处理者应当自行或者委托专业机构开展数据出境风险自评估,重点评估数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险。
法律文件:数据处理者应当与境外接收方订立法律文件,约定数据安全保护责任义务。
2. 申报提交
申报途径:通过国家网信部门指定的申报系统提交数据出境安全评估申报材料。
材料要求:申报材料应当真实、准确、完整,符合国家网信部门规定的格式和要求。
受理通知:国家网信部门收到申报材料后,对申报材料进行形式审查,符合要求的,出具受理通知书;不符合要求的,一次性告知需要补正的全部内容。
3. 评估审查
评估期限:国家网信部门应当自出具受理通知书之日起45个工作日内完成数据出境安全评估;情况复杂或者需要补充材料的,可以适当延长,但延长期限一般不超过45个工作日。
评估方式:国家网信部门可以组织技术检测、专家评审、实地核查等方式对数据出境安全进行评估。
评估结果:国家网信部门根据评估情况,作出通过评估、不予通过评估或者要求补充材料的决定。
4. 结果处理
通过评估:通过数据出境安全评估的,国家网信部门出具数据出境安全评估通过通知书,有效期2年。
不予通过:不予通过数据出境安全评估的,国家网信部门出具不予通过通知书,并说明理由。
补充材料:需要补充材料的,国家网信部门出具补充材料通知书,数据处理者应当在规定时间内补充材料。
5. 有效期管理
有效期:数据出境安全评估通过通知书有效期为2年,自评估通过之日起计算。
续期:有效期届满需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申报数据出境安全评估。
变更:在有效期内,数据处理者向境外提供数据的目的、方式、范围、种类、敏感程度等发生重大变化,或者境外接收方所在国家或者地区的网络安全环境、政策法规等发生重大变化,可能影响数据出境安全的,数据处理者应当重新申报数据出境安全评估。
五、技术实施要点
1. 数据识别与分类分级
数据资产盘点:全面梳理企业数据资产,识别出境数据,建立数据资产清单。
分类分级:对出境数据进行分类分级,识别重要数据、个人信息、敏感个人信息等。
数据映射:建立数据流转地图,明确数据来源、处理方式、存储位置、出境路径等。
2. 风险评估与自评估
风险识别:识别数据出境可能面临的安全风险,包括技术风险、管理风险、法律风险等。
风险评估:评估数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险。
自评估报告:编制数据出境风险自评估报告,包括出境数据情况、出境目的、出境方式、境外接收方情况、数据安全保护措施、风险评估结果等。
3. 技术防护措施
数据加密:对出境数据进行加密传输和存储,防止数据泄露。
访问控制:建立严格的访问控制机制,控制用户对出境数据的访问权限。
数据脱敏:对敏感数据进行脱敏处理,在保证数据可用性的同时,降低数据泄露风险。
安全审计:建立数据安全审计机制,记录数据出境活动,及时发现和处置安全威胁。
4. 合同与协议
标准合同:与境外接收方订立标准合同,约定数据安全保护责任义务。
法律文件:准备与境外接收方拟订立的法律文件,包括数据处理协议、数据保护协议等。
责任约定:明确数据处理者与境外接收方的数据安全保护责任义务,包括数据安全保护措施、数据安全事件应急处置、数据安全审计、数据安全责任等。
5. 管理制度
管理制度:建立健全数据出境安全管理制度,包括数据出境审批流程、数据出境安全评估机制、数据出境安全应急预案等。
人员管理:加强数据安全人员管理,明确数据安全岗位职责,开展数据安全教育培训。
应急响应:建立数据安全应急响应机制,制定数据安全事件应急预案,定期开展应急演练。
六、常见问题与建议
1. 数据出境情形判断
问题表现:企业无法准确判断是否属于数据出境情形,是否需要申报安全评估。
建议:全面梳理企业数据出境活动,对照《数据出境安全评估办法》规定的适用情形,准确判断是否需要申报安全评估。对于不确定的情形,建议咨询专业机构或向主管部门咨询。
2. 重要数据识别
问题表现:企业无法准确识别重要数据,导致重要数据出境未申报安全评估。
建议:参考国家网信部门会同国务院有关部门制定的重要数据识别指南,结合企业实际情况,准确识别重要数据。对于不确定的数据,建议按照重要数据进行管理。
3. 风险自评估不充分
问题表现:企业开展的数据出境风险自评估不充分,无法全面评估数据出境风险。
建议:按照《数据出境安全评估办法》规定的评估内容,全面开展数据出境风险自评估,重点评估数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险。对于技术能力不足的企业,建议委托专业机构开展评估。
4. 技术防护措施不足
问题表现:企业数据出境技术防护措施不足,无法有效保障数据安全。
建议:根据数据分类分级结果,采取相应的技术防护措施,包括数据加密、访问控制、数据脱敏、安全审计等。对于重要数据和敏感个人信息,应当采取更严格的技术防护措施。
5. 合同约定不完善
问题表现:企业与境外接收方订立的合同未充分约定数据安全保护责任义务。
建议:与境外接收方订立标准合同,充分约定数据安全保护责任义务,包括数据安全保护措施、数据安全事件应急处置、数据安全审计、数据安全责任等。对于重要数据和敏感个人信息,应当约定更严格的数据安全保护要求。
数据出境安全评估是保障数据出境安全的重要制度,企业应当高度重视,建立健全数据出境安全管理体系,落实技术防护措施,加强人员培训,确保数据出境活动合法合规,为数据安全保护和数据开发利用提供有力支撑。
