您所在的位置: 首頁 >
新聞資訊 >
政策法規(guī) >
《數(shù)據(jù)出境安全評估申報指南(第二版)》(全文)
為了指導和幫助數(shù)據(jù)處理者規(guī)范有序申報數(shù)據(jù)出境安全評估、備案個人信息出境標準合同,國家互聯(lián)網(wǎng)信息辦公室編制了《數(shù)據(jù)出境安全評估申報指南(第二版)》、《個人信息出境標準合同備案指南(第二版)》,對申報數(shù)據(jù)出境安全評估、備案個人信息出境標準合同的方式、流程和材料等具體要求作出了說明,對數(shù)據(jù)處理者需要提交的相關(guān)材料進行了優(yōu)化簡化。
數(shù)據(jù)處理者因業(yè)務需要向境外提供重要數(shù)據(jù)和個人信息,應當遵守《數(shù)據(jù)出境安全評估辦法》、《個人信息出境標準合同辦法》和《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》有關(guān)規(guī)定。符合數(shù)據(jù)出境安全評估適用情形的,按照申報指南申報數(shù)據(jù)出境安全評估;通過與境外接收方訂立個人信息出境標準合同的方式向境外提供個人信息的,按照備案指南向所在地省級網(wǎng)信部門備案。
國家互聯(lián)網(wǎng)信息辦公室開通了“數(shù)據(jù)出境申報系統(tǒng)”,網(wǎng)址:https://sjcj.cac.gov.cn。數(shù)據(jù)處理者可以通過該系統(tǒng)申報數(shù)據(jù)出境安全評估、備案個人信息出境標準合同,具體使用說明見系統(tǒng)首頁《用戶手冊》。
附件:1.數(shù)據(jù)出境安全評估申報指南(第二版)
2.個人信息出境標準合同備案指南(第二版)
數(shù)據(jù)出境安全評估申報指南(第二版)
根據(jù)《數(shù)據(jù)出境安全評估辦法》、《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》,為指導和幫助數(shù)據(jù)處理者規(guī)范有序申報數(shù)據(jù)出境安全評估,特制定本指南。
一、適用范圍
數(shù)據(jù)處理者向境外提供數(shù)據(jù),有下列情形之一的,應當申報數(shù)據(jù)出境安全評估:
(一)關(guān)鍵信息基礎設施運營者向境外提供個人信息或者重要數(shù)據(jù);
(二)關(guān)鍵信息基礎設施運營者以外的數(shù)據(jù)處理者向境外提供重要數(shù)據(jù),或者自當年1月1日起累計向境外提供100萬人以上個人信息(不含敏感個人信息)或者1萬人以上敏感個人信息。
屬于《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》第三條、第四條、第五條、第六條規(guī)定情形的,從其規(guī)定。
以下情形屬于數(shù)據(jù)出境行為:
(一)數(shù)據(jù)處理者將在境內(nèi)運營中收集和產(chǎn)生的數(shù)據(jù)傳輸至境外;
(二)數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲在境內(nèi),境外的機構(gòu)、組織或者個人可以查詢、調(diào)取、下載、導出;
(三)符合《個人信息保護法》第三條第二款情形,在境外處理境內(nèi)自然人個人信息等其他數(shù)據(jù)處理活動。
二、申報方式及流程
數(shù)據(jù)處理者申報數(shù)據(jù)出境安全評估,應當通過數(shù)據(jù)出境申報系統(tǒng)提交申報材料,系統(tǒng)網(wǎng)址為https://sjcj.cac.gov.cn。關(guān)鍵信息基礎設施運營者或者其他不適合通過數(shù)據(jù)出境申報系統(tǒng)申報數(shù)據(jù)出境安全評估的,采用線下方式通過所在地省級網(wǎng)信辦向國家網(wǎng)信辦申報數(shù)據(jù)出境安全評估,申報方式為送達書面申報材料并附帶材料電子版,書面申報材料需裝訂成冊。
省級網(wǎng)信辦在數(shù)據(jù)處理者提交申報材料之日起5個工作日內(nèi)完成申報材料的完備性查驗,并向數(shù)據(jù)處理者告知查驗結(jié)果。通過完備性查驗的,省級網(wǎng)信辦將申報材料提請國家網(wǎng)信辦受理;未通過完備性查驗的,省級網(wǎng)信辦向數(shù)據(jù)處理者告知未通過完備性查驗原因。
國家網(wǎng)信辦自收到省級網(wǎng)信辦提交的申報材料之日起7個工作日內(nèi),確定是否受理并書面通知數(shù)據(jù)處理者。
需要補充或者更正申報材料的,數(shù)據(jù)處理者應當按照告知要求及時補充或者更正材料。無正當理由不補充或者更正申報材料的,國家網(wǎng)信辦可以終止安全評估。情況復雜或者需要補充、更正材料的,國家網(wǎng)信辦可以適當延長評估時間,并告知數(shù)據(jù)處理者預計延長的時間。
評估完成后,國家網(wǎng)信辦向數(shù)據(jù)處理者出具評估結(jié)果通知書。數(shù)據(jù)處理者應當按照數(shù)據(jù)出境安全管理相關(guān)法律法規(guī)和評估結(jié)果通知書的有關(guān)要求,規(guī)范相關(guān)數(shù)據(jù)出境活動。數(shù)據(jù)處理者對評估結(jié)果有異議的,可以在收到評估結(jié)果通知書15個工作日內(nèi)向國家網(wǎng)信辦申請復評,復評結(jié)果為最終結(jié)論。
三、申報材料
數(shù)據(jù)處理者申報數(shù)據(jù)出境安全評估,應當提交如下材料(材料要求見附件1):
1.統(tǒng)一社會信用代碼證件影印件
2.法定代表人身份證件影印件
3.經(jīng)辦人身份證件影印件
4.經(jīng)辦人授權(quán)委托書(模板見附件2)
5.數(shù)據(jù)出境安全評估申報書(模板見附件3)
6.與境外接收方擬訂立的數(shù)據(jù)出境相關(guān)合同或者其他具有法律效力的文件
7.數(shù)據(jù)出境風險自評估報告(模板見附件4)
8.其他相關(guān)證明材料
數(shù)據(jù)處理者對所提交材料的真實性負責,提交虛假材料的,按照評估不通過處理,并依法追究相應法律責任。
四、咨詢、舉報聯(lián)系方式
聯(lián)系電話:010-55627135
電子郵箱:sjcj@cac.gov.cn
附件:
1.數(shù)據(jù)出境安全評估申報材料要求
2.經(jīng)辦人授權(quán)委托書(模板)
3.數(shù)據(jù)出境安全評估申報書(模板)
4.數(shù)據(jù)出境風險自評估報告(模板)
附件1
數(shù)據(jù)出境安全評估申報材料要求
注:采用線下方式提交申報材料的數(shù)據(jù)處理者,需同步通過光盤提交相應電子版材料。
附件2
經(jīng)辦人授權(quán)委托書
本人 姓名(身份證件號碼: )系 數(shù)據(jù)處理者名稱 的法定代表人,現(xiàn)授權(quán)我單位 姓名(身份證件號碼: )為數(shù)據(jù)出境安全評估申報工作經(jīng)辦人。經(jīng)辦人代表我單位進行數(shù)據(jù)出境安全評估申報工作過程中的一切行為,包括所簽署和上傳的資料,我單位均予以承認,并將承擔相應的法律責任。
授權(quán)委托期限: 年 月 日至 年 月 日
經(jīng)辦人無轉(zhuǎn)委托權(quán)。
單位名稱(蓋章):
法定代表人(簽字):
經(jīng) 辦 人(簽字):
年 月 日
附件3
數(shù)據(jù)出境安全評估申報書(模板)
填寫說明:
一、由數(shù)據(jù)處理者法定代表人或其授權(quán)的數(shù)據(jù)出境安全評估申報工作經(jīng)辦人填寫。
二、有選擇的地方請勾選左側(cè)“o”符號,有橫線的部分應當填寫相關(guān)信息。
三、承諾書和申報表嚴格按照模板填寫。申報表必須使用中文填寫,字體四號“仿宋”,數(shù)字、字母統(tǒng)一使用四號“Times New Roman”字體,行距固定值16磅,段落首行縮進2字符。頁面設置:A4紙,上下頁邊距為2.54cm,左右頁邊距為3.18cm。
四、所涉及的用語,可參考《中華人民共和國網(wǎng)絡安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護法》、《數(shù)據(jù)出境安全評估辦法》和《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》等法律法規(guī)和部門規(guī)章。
五、由國家互聯(lián)網(wǎng)信息辦公室制定并負責解釋。
一、承 諾 書
本單位鄭重承諾:
一、申報出境數(shù)據(jù)的收集、使用符合中華人民共和國有關(guān)法律法規(guī)規(guī)定;
二、申報材料所有內(nèi)容真實、完整、準確和有效;
三、為國家網(wǎng)信辦組織實施的數(shù)據(jù)出境安全評估工作提供必要的配合和支持;
四、自評估工作為申報之日前3個月內(nèi)完成,且至申報之日未發(fā)生重大變化。
本單位知曉并充分理解上述承諾內(nèi)容,若承諾不實或者違背承諾,愿意承擔相應法律責任。
法定代表人(簽字):
單位(蓋章):
年 月 日
二、數(shù)據(jù)出境安全評估申報表
注:
1.其他申報材料內(nèi)容應與申報表內(nèi)容保持一致。
2.申報表第6項應按場景分項描述,可根據(jù)實際申報的出境場景數(shù)量增加申報表第6項。出境個人信息涉及自然人范圍一致的場景應當合并。
3.境外接收方數(shù)量眾多、范圍不確定、無法逐一列舉的,申報表第6項境外接收方情況可填寫統(tǒng)計數(shù)據(jù)。
附件4
數(shù)據(jù)出境風險自評估報告(模板)
數(shù)據(jù)處理者名稱: (蓋章)
年 月 日
說明:
(一)數(shù)據(jù)處理者申報數(shù)據(jù)出境安全評估時需提供自評估報告,并對所提交的自評估報告及附件材料真實性負責;
(二)報告所述自評估活動為本次申報前3個月內(nèi)完成;
(三)如有第三方機構(gòu)參與自評估,須在自評估報告中說明第三方機構(gòu)的基本情況及參與評估的情況;
(四)自評估報告嚴格按照模板撰寫。自評估報告必須使用中文撰寫,正文字體四號“仿宋”(其中,正文一級標題黑體、二級標題楷體加黑、三級標題仿宋加黑),數(shù)字、字母使用四號“Times New Roman”字體,行距固定值26磅,段落首行縮進2字符。頁面設置:A4紙,上下頁邊距為2.54cm,左右頁邊距為3.18cm。
一、自評估工作情況
簡要概述自評估工作開展情況,包括起止時間、組織情況、實施過程、實施方式等內(nèi)容。
二、出境活動整體情況
簡要說明數(shù)據(jù)處理者基本情況、數(shù)據(jù)處理者安全保障能力情況、境外接收方情況、法律文件約定情況等,詳細說明擬出境數(shù)據(jù)情況。包括不限于:
(一)數(shù)據(jù)處理者基本情況
1.基本情況簡介,包括股權(quán)結(jié)構(gòu)、實際控制人、境內(nèi)外投資情況等;
2.組織架構(gòu)和數(shù)據(jù)安全管理機構(gòu)信息;
3.整體業(yè)務與數(shù)據(jù)資產(chǎn)情況。
(二)擬出境數(shù)據(jù)情況
1.數(shù)據(jù)出境涉及業(yè)務、數(shù)據(jù)資產(chǎn)等情況;
2.數(shù)據(jù)出境及境外接收方處理數(shù)據(jù)的目的、范圍、方式,及其合法性、正當性、必要性;
3.按照申報業(yè)務場景梳理對應的出境數(shù)據(jù)項情況,以列表形式呈現(xiàn)數(shù)據(jù)項清單并逐一說明(如下表所示),同一場景下的數(shù)據(jù)項需去重;
4.擬出境數(shù)據(jù)在境內(nèi)存儲的系統(tǒng)平臺、數(shù)據(jù)中心(包含云服務)等情況,數(shù)據(jù)出境鏈路相關(guān)情況,計劃出境后存儲的系統(tǒng)平臺、數(shù)據(jù)中心等;
5.數(shù)據(jù)出境后向境外其他接收方提供的情況;
6.涉及個人信息的,按照自然人(去重)統(tǒng)計當年的出境數(shù)量,預估未來3年的出境數(shù)量。
(三)數(shù)據(jù)處理者數(shù)據(jù)安全保障能力情況
1.數(shù)據(jù)安全管理能力,包括管理組織體系和制度建設情況,全流程管理、分類分級、應急處置、風險評估、個人信息權(quán)益保護等制度及落實情況;
(涉及個人信息出境的,需提供履行《個人信息保護法》第三十九條規(guī)定的情況說明及佐證材料,包括告知義務和取得個人的單獨同意等,若屬于《個人信息保護法》第十三條第一款第二項至第七項規(guī)定情形的,不需取得個人同意)
2.數(shù)據(jù)安全技術(shù)能力,包括數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開、刪除等全流程所采取的安全技術(shù)措施等;
3.數(shù)據(jù)安全保障措施有效性證明,例如開展的數(shù)據(jù)安全風險評估、數(shù)據(jù)安全認證、數(shù)據(jù)安全檢查測評、數(shù)據(jù)安全合規(guī)審計、網(wǎng)絡安全等級保護測評等情況;
4.遵守數(shù)據(jù)和網(wǎng)絡安全相關(guān)法律法規(guī)的情況。
(如涉及受到行政處罰和監(jiān)管整改的,可以提供證明整改完成的相關(guān)佐證材料)
(四)境外接收方情況
1.境外接收方基本情況;
2.境外接收方處理數(shù)據(jù)的用途、方式等;
3.境外接收方履行責任義務的管理和技術(shù)措施、能力等。
(五)法律文件約定數(shù)據(jù)安全保護責任義務的情況
1.數(shù)據(jù)出境的目的、方式和數(shù)據(jù)范圍,境外接收方處理數(shù)據(jù)的用途、方式等;
2.數(shù)據(jù)在境外保存地點、期限,以及達到保存期限、完成約定目的或者法律文件終止后出境數(shù)據(jù)的處理措施;
3.對于境外接收方將出境數(shù)據(jù)再轉(zhuǎn)移給其他組織、個人的約束性要求;
4.境外接收方在實際控制權(quán)或者經(jīng)營范圍發(fā)生實質(zhì)性變化,或者所在國家、地區(qū)數(shù)據(jù)安全保護政策法規(guī)和網(wǎng)絡安全環(huán)境發(fā)生變化,以及發(fā)生其他不可抗力情形,導致難以保障數(shù)據(jù)安全時,應當采取的安全措施;
5.違反法律文件約定的數(shù)據(jù)安全保護義務的補救措施、違約責任和爭議解決方式;
6.出境數(shù)據(jù)遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用時,妥善開展應急處置的要求和保障個人維護其個人信息權(quán)益的途徑和方式。
(六)數(shù)據(jù)處理者認為需要說明的其他情況
三、出境活動的風險自評估情況及結(jié)論
對照《數(shù)據(jù)出境安全評估辦法》第五條規(guī)定事項,說明數(shù)據(jù)出境風險自評估情況,重點說明自評估發(fā)現(xiàn)的問題和整改情況。
綜合風險自評估情況和相應整改情況,對擬申報的數(shù)據(jù)出境活動作出客觀的風險自評估結(jié)論,充分說明得出自評估結(jié)論的理由。
來源:“網(wǎng)信中國”微信公眾號