Full text · 原文
7,584 字
为了指导和帮助数据处理者规范有序申报数据出境安全评估,国家互联网信息办公室编制了《数据出境安全评估申报指南(第三版)》,对数据处理者申报数据出境安全评估需要提交的相关材料进行了优化简化,明确数据处理者申请延长数据出境安全评估结果有效期的条件、流程、材料等内容。<br>
数据处理者因业务需要向境外提供重要数据和个人信息,符合数据出境安全评估适用情形的,应当根据《数据出境安全评估办法》和《促进和规范数据跨境流动规定》,按照申报指南申报数据出境安全评估。评估结果有效期届满,符合申请延长评估结果有效期条件的,数据处理者可以在有效期届满前60个工作日内提出延长评估结果有效期申请。<br>
数据处理者可以通过线上方式申报。请直接访问“数据出境申报系统”(网址:https://sjcj.cac.gov.cn),也可从中国网信网(https://www.cac.gov.cn)首页“全国网信政务办事大厅”栏目访问“数据出境申报系统”。<br>
附件:数据出境安全评估申报指南(第三版)<br>
<br>
数据出境安全评估申报指南(第三版)<br>
根据《数据出境安全评估办法》、《促进和规范数据跨境流动规定》,为指导和帮助数据处理者规范有序申报数据出境安全评估,特制定本指南。<br>
一、适用范围<br>
(一)数据处理者向境外提供数据,有下列情形之一的,应当申报数据出境安全评估:<br>
1.关键信息基础设施运营者向境外提供个人信息或者重要数据;<br>
2.关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。<br>
属于《促进和规范数据跨境流动规定》第三条、第四条、第五条、第六条规定情形的,从其规定。<br>
(二)以下情形属于数据出境行为:<br>
1.数据处理者将在境内运营中收集和产生的数据传输至境外;<br>
2.数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;<br>
3.符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他数据处理活动。<br>
二、申报方式及流程<br>
数据处理者申报数据出境安全评估,应当通过线上方式提交申报材料。关键信息基础设施运营者或者其他不适合通过数据出境申报系统申报数据出境安全评估的数据处理者,采用线下方式通过所在地省级网信办向国家网信办申报数据出境安全评估。<br>
(一)系统登录与项目申报<br>
数据出境申报系统网址:https://sjcj.cac.gov.cn。<br>
1.账号注册与登录。对于初次登录申报系统进行申报的数据处理者,点击“注册账户”,填写用户名、密码、手机号码等信息。注册成功后,登录申报系统进行基础信息录入,填写数据处理者单位名称、统一社会信用代码、单位注册所在省份等。<br>
2.项目新建与申报。数据处理者选择“数据出境安全评估”栏目,选择新增申报评估项目,并将准备好的申报材料进行上传。申报材料(材料要求见附件1)包括:<br>
(1)统一社会信用代码证件影印件<br>
(2)法定代表人身份证件影印件<br>
(3)经办人身份证件影印件<br>
(4)经办人授权委托书(模板见附件2)<br>
(5)数据出境安全评估申报表(模板见附件3)<br>
(6)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件<br>
(7)数据出境风险自评估报告(模板见附件4)<br>
(8)其他相关证明材料<br>
数据处理者对所提交材料的真实性负责,提交虚假材料的,按照评估不通过处理,并依法追究相应法律责任。<br>
(二)完备性查验与项目受理<br>
数据处理者可通过申报系统查看已申报项目的进展情况,具体包括:<br>
1.省级网信办在数据处理者提交申报材料之日起5个工作日内完成申报材料的完备性查验,并同步更新申报系统内的完备性查验结果。未通过完备性查验的,省级网信办向数据处理者告知未通过完备性查验原因。<br>
2.通过完备性查验的,省级网信办将申报材料提请国家网信办受理,国家网信办自收到省级网信办提交的申报材料之日起7个工作日内,确定是否受理并书面通知数据处理者,并同步更新申报系统内的受理结果。<br>
(三)补充更正材料与查询评估进展<br>
国家网信办将在出具评估项目受理通知书后立即组织开展数据出境安全评估,需要补充或者更正申报材料的,数据处理者应当按照告知要求及时通过申报系统补充或者更正材料。无正当理由不补充或者更正申报材料的,国家网信办可以终止安全评估。情况复杂或者需要补充、更正材料的,国家网信办可以适当延长评估时间,并告知数据处理者预计延长的时间。<br>
数据处理者可通过申报系统及时查询了解评估进展。评估完成后,国家网信办向数据处理者出具评估结果通知书。<br>
数据处理者应当按照数据出境安全管理相关法律法规和评估结果通知书的有关要求,规范相关数据出境活动。数据处理者对评估结果有异议的,可以在收到评估结果通知书15个工作日内向国家网信办申请复评,复评结果为最终结论。<br>
三、申请延长评估结果有效期<br>
(一)适用条件<br>
评估结果准予开展的数据出境活动,同时符合以下条件的,数据处理者可以在评估结果有效期届满前60个工作日内,通过所在地省级网信办向国家网信办申请延长评估结果有效期:<br>
1.数据出境的目的、范围等未发生变化;<br>
2.数据处理者和境外接收方等未发生变化;<br>
3.出境个人信息的,未来三年涉及自然人数量增幅不超过原评估结果准予过去三年出境数量的20%;<br>
4.出境重要数据的,未来三年出境数据规模(MB/GB/TB)增幅不超过原评估结果准予过去三年出境数据规模的20%;<br>
5.与境外接收方订立的法律文件符合《数据出境安全评估办法》第九条规定;<br>
6.过去三年数据出境活动严格按照评估结果通知书合规开展,且未发生重大数据安全事件。<br>
(二)申请延长<br>
数据处理者申请延长评估结果有效期,应当通过申报系统提交申请材料。关键信息基础设施运营者或者其他不适合通过系统申请的数据处理者,采用线下方式提交申请材料。<br>
针对通过线上方式申报项目的评估结果有效期延长申请,数据处理者登录申报系统后,可直接选择申报项目进行申请延长操作,上传申请材料;针对通过线下方式申报项目的评估结果有效期延长申请,数据处理者登录申报系统后,在“延长评估结果有效期”栏目下申请,输入申报项目时的受理编号,上传申请材料。申请材料包括:<br>
1.统一社会信用代码证件影印件(无变化可不重新提供)<br>
2.法定代表人身份证件影印件(无变化可不重新提供)<br>
3.经办人身份证件影印件(无变化可不重新提供)<br>
4.经办人授权委托书(模板见附件2)<br>
5.延长评估结果有效期申请表(模板见附件5)<br>
(三)完备性查验<br>
数据处理者可通过申报系统查看已申请延长评估结果有效期项目的完备性查验情况。省级网信办在数据处理者提交申请材料之日起5个工作日内完成完备性查验,并同步更新系统内的完备性查验结果。未通过完备性查验的,省级网信办向数据处理者告知未通过完备性查验原因。通过完备性查验的,省级网信办将申请材料提交国家网信办。<br>
(四)延长评估结果有效期审核<br>
国家网信办自收到省级网信办提交的申请材料之日起20个工作日内,确定是否准予延长评估结果有效期并书面通知数据处理者。情况复杂或者需要补充、更正材料的,可以适当延长审核时间,并告知数据处理者预计延长的时间。数据处理者可通过申报系统查看延长评估结果有效期审核进展、补充或者更正材料,在收到延长评估结果有效期通知书后,应当按照数据出境安全管理相关法律法规和通知书的有关要求,规范相关数据出境活动。<br>
四、咨询、举报联系方式<br>
数据处理者如在申报过程中遇到任何疑问或需要协助,欢迎与我们联系,联系方式如下:<br>
联系电话:010-55627135<br>
电子邮箱:sjcj@cac.gov.cn<br>
附件:1.数据出境安全评估申报材料要求<br>
2.经办人授权委托书(模板)<br>
3.数据出境安全评估申报表(模板)<br>
4.数据出境风险自评估报告(模板)<br>
5.延长评估结果有效期申请表(模板)<br>
附件1<br>
数据出境安全评估申报材料要求<br>
序号<br>
材料名称<br>
要求<br>
备注<br>
1<br>
统一社会信用代码证件<br>
影印件加盖公章<br>
2<br>
法定代表人身份证件<br>
影印件加盖公章<br>
3<br>
经办人身份证件<br>
影印件加盖公章<br>
4<br>
经办人授权委托书<br>
5<br>
数据出境安全评估申报表<br>
使用中文填写<br>
6<br>
与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件<br>
对数据出境相关约定条款作高亮、线框等显著标识。法律文件以中文版本为准,若仅有非中文版本,须同步提交准确的中文译本。<br>
7<br>
数据出境风险自评估报告<br>
使用中文撰写<br>
8<br>
其他相关证明材料<br>
注:采用线下方式提交申报材料的数据处理者,需同步通过光盘提交相应电子版材料。<br>
附件2<br>
经办人授权委托书(模板)<br>
本人 姓名(身份证件号码: )系 数据处理者名称 的法定代表人,现授权我单位 姓名(身份证件号码: )为数据出境安全评估申报工作/延长评估结果有效期申请工作经办人。经办人代表我单位进行数据出境安全评估申报工作/延长评估结果有效期申请工作过程中的一切行为,包括所签署和上传的资料,我单位均予以承认,并将承担相应的法律责任。<br>
授权委托期限: 年 月 日至 年 月 日<br>
经办人无转委托权。<br>
单位名称(盖章):<br>
法定代表人(签字):<br>
经 办 人(签字):<br>
年 月 日<br>
附件3<br>
数据出境安全评估申报表(模板)<br>
1数据处理者情况<br>
单位名称<br>
单位性质<br>
政府部门 事业单位 企业<br>
社会组织 其他 <br>
单位类型<br>
内资 外资 中外合资 <br>
港澳台资 其他 <br>
单位注册地<br>
办公所在地<br>
员工数量<br>
统一社会<br>
信用代码<br>
是否为关键信息基础设施运营者<br>
是<br>
否<br>
处理个人<br>
信息规模<br>
按自然人(去重)统计数量<br>
2法定代表人信息<br>
姓名<br>
职务/国籍<br>
联系电话<br>
电子邮箱<br>
证件类型<br>
居民身份证 护照 <br>
台湾居民来往大陆通行证 <br>
港澳居民来往内地通行证 <br>
其他 <br>
证件号码<br>
3数据安全负责人和管理机构信息<br>
姓名<br>
职务/国籍<br>
联系电话<br>
电子邮箱<br>
证件类型<br>
居民身份证 护照 <br>
台湾居民来往大陆通行证 <br>
港澳居民来往内地通行证 <br>
其他 <br>
证件号码<br>
管理机构<br>
名称<br>
管理机构<br>
人数<br>
4经办人信息<br>
姓名<br>
职务/国籍<br>
联系电话<br>
电子邮箱<br>
证件类型<br>
居民身份证 护照<br>
台湾居民来往大陆通行证<br>
港澳居民来往内地通行证<br>
其他 <br>
证件号码<br>
5数据处理者遵守中国法律、行政法规、部门规章情况<br>
简述近2年在业务经营活动中受到行政处罚和有关主管监管部门调查及整改情况,重点说明数据和网络安全方面相关情况<br>
6数据出境场景1<br>
出境场景简述<br>
据实填写此次申报的数据出境场景业务、数据出境目的、数据出境方式等,应与法律文件中涉及业务名称一致,不超过100字(数据出境方式参考:公共互联网传输、跨境专线传输、公共互联网远程访问、跨境专线远程访问等)<br>
拟出境数据情况<br>
数据类型<br>
重要数据<br>
重要数据认定<br>
主管部门名称<br>
个人信息<br>
是否包含敏感<br>
个人信息<br>
是<br>
否<br>
涉及行业/领域<br>
工业 电信 交通 金融<br>
自然资源 卫生健康 教育<br>
科技 能源 国防科工 文旅<br>
跨境电商 零售 互联网<br>
其他 <br>
涉及自然人(去重)数量<br>
包括当年已出境数量、未来三年出境数量以及两者的关系<br>
涉及重要<br>
数据规模<br>
MB/GB/TB<br>
境外接收方情况<br>
境外接收方名称<br>
所在国家<br>
或者地区<br>
所在地址<br>
主营业务<br>
负责人<br>
姓名<br>
负责人<br>
职务<br>
联系方式<br>
电话:<br>
邮箱:<br>
统计说明:(如需)<br>
6数据出境场景2<br>
......<br>
6数据出境场景3<br>
......<br>
本单位承诺:<br>
申报材料所有内容真实、完整、准确和有效。为国家网信办组织实施的数据出境安全评估工作提供必要的配合和支持。自评估工作为申报之日前3个月内完成,且至申报之日未发生重大变化。若承诺不实或者违背承诺,愿意承担相应法律责任。<br>
注:1.自评估报告内容应与申报表内容保持一致。<br>
2.申报表第6项应按场景分项描述,可根据实际申报的出境场景<br>
数量增加申报表第6项。<br>
3.境外接收方数量众多、范围不确定、无法逐一列举的,申报表<br>
第6项境外接收方情况可填写统计数据。<br>
4.申报表严格按照模板填写,必须使用中文填写,字体四号“仿<br>
宋”,数字、字母统一使用四号“Times New Roman”字体,行距<br>
固定值16磅,段落首行缩进2字符。页面设置:A4纸,上下<br>
页边距为2.54cm,左右页边距为3.18cm。<br>
附件4<br>
数据出境风险自评估报告(模板)<br>
数据处理者名称: (盖章) <br>
年 月 日<br>
说明:<br>
(一)数据处理者申报数据出境安全评估时需提供自评估报告,并对所提交的自评估报告及附件材料真实性负责;<br>
(二)报告所述自评估活动为本次申报前3个月内完成;<br>
(三)如有第三方机构参与自评估,须在自评估报告中说明第三方机构的基本情况及参与评估的情况;<br>
(四)自评估报告严格按照模板撰写。自评估报告必须使用中文撰写,正文字体四号“仿宋”(其中,正文一级标题黑体、二级标题楷体加黑、三级标题仿宋加黑),数字、字母使用四号“Times New Roman”字体,行距固定值26磅,段落首行缩进2字符。页面设置:A4纸,上下页边距为2.54cm,左右页边距为3.18cm。<br>
一、自评估工作情况<br>
简要概述自评估工作开展情况,包括起止时间、组织情况、实施过程、实施方式等内容。<br>
二、出境活动整体情况<br>
简要说明数据处理者基本情况、数据处理者安全保障能力情况、境外接收方情况、法律文件约定情况等,详细说明拟出境数据情况。包括不限于:<br>
(一)数据处理者基本情况<br>
1.基本情况简介,包括股权结构、实际控制人、境内外投资情况等;<br>
2.组织架构和数据安全管理机构信息;<br>
3.整体业务与数据资产情况。<br>
(二)拟出境数据情况<br>
1.数据出境涉及业务、数据资产等情况;<br>
2.数据出境及境外接收方处理数据的目的、范围、方式,及其合法性、正当性、必要性;<br>
3.按照申报业务场景梳理对应的出境数据项情况,以列表形式呈现数据项清单并逐一说明(如下表所示),同一场景下的数据项需去重;<br>
序号<br>
数据项名称<br>
内容描述<br>
出境必要性<br>
示例<br>
备注<br>
1<br>
2<br>
......<br>
4.拟出境数据在境内存储的系统平台、数据中心(包含云服务)等情况,数据出境链路相关情况(数据处理者、境外接收方的网络系统域名及网络地址,数据出境方式等),计划出境后存储的系统平台、数据中心等;<br>
5.数据出境后向境外其他接收方提供的情况;<br>
6.涉及个人信息的,按照自然人(去重)统计当年的出境数量,预估未来3年的出境数量。<br>
(三)数据处理者数据安全保障能力情况<br>
1.数据安全管理能力,包括管理组织体系和制度建设情况,全流程管理、分类分级、应急处置、风险评估、个人信息权益保护等制度及落实情况;<br>
(涉及个人信息出境的,需提供履行《个人信息保护法》第三十九条规定的情况说明及佐证材料,包括告知义务和取得个人的单独同意等,若属于《个人信息保护法》第十三条第一款第二项至第七项规定情形的,不需取得个人同意)<br>
2.数据安全技术能力,包括数据收集、存储、使用、加工、传输、提供、公开、删除等全流程所采取的安全技术措施等;<br>
3.数据安全保障措施有效性证明,例如开展的数据安全风险评估、数据安全认证、数据安全检查测评、数据安全合规审计、网络安全等级保护测评等情况;<br>
4.遵守数据和网络安全相关法律法规的情况。<br>
(如涉及受到行政处罚和监管整改的,可以提供证明整改完成的相关佐证材料)<br>
(四)境外接收方情况<br>
1.境外接收方基本情况;<br>
2.境外接收方处理数据的用途、方式等;<br>
3.境外接收方履行责任义务的管理和技术措施、能力等。<br>
(五)法律文件约定数据安全保护责任义务的情况<br>
1.数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;<br>
2.数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;<br>
3.对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;<br>
4.境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化,以及发生其他不可抗力情形,导致难以保障数据安全时,应当采取的安全措施;<br>
5.违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;<br>
6.出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。<br>
(六)数据处理者认为需要说明的其他情况<br>
三、出境活动的风险自评估情况及结论<br>
对照《数据出境安全评估办法》第五条规定事项,说明数据出境风险自评估情况,重点说明自评估发现的问题和整改情况。<br>
综合风险自评估情况和相应整改情况,对拟申报的数据出境活动作出客观的风险自评估结论,充分说明得出自评估结论的理由。附件5<br>
延长评估结果有效期申请表(模板)<br>
1基本情况<br>
数据处理者名称<br>
申请延长评估结果有效期的评估项目受理编号<br>
与境外接收方订立的法律文件符合《数据出境安全评估办法》第九条规定<br>
是 否<br>
2数据出境场景1<br>
数据出境的目的、范围等未发生变化<br>
是 否<br>
数据处理者和境外接收方等未发生变化<br>
是 否<br>
出境个人信息的,未来三年涉及自然人数量增幅(与原评估结果准予过去三年出境数量相比)<br>
_____% 不涉及<br>
出境重要数据的,未来三年出境数据规模增幅(与原评估结果准予过去三年出境数据规模相比)<br>
_____% 不涉及<br>
数据出境链路、存储系统、数据中心未发生变化<br>
是 否(如变化请在“3其他需要说明的情况”描述变化情况)<br>
境外接收方处理数据的用途和方式未发生变化<br>
是 否(如变化请在“3其他需要说明的情况”描述变化情况)<br>
2数据出境场景2<br>
......<br>
2数据出境场景3<br>
......<br>
3其他需要说明的情况<br>
主要说明以下情况,可另附页:<br>
(1)采取保障数据出境安全的措施及相关工作情况;<br>
(2)境外接收方按照法律文件履行出境数据安全责任义务情况;<br>
(3)过去三年按照评估结果通知书合规开展数据出境活动的基本情况;<br>
(4)过去三年发生重大数据安全事件以及在业务经营活动中受到行政处罚和有关主管监管部门调查、整改情况。<br>
本单位承诺:<br>
申请材料所有内容真实、完整、准确和有效。为国家网信办组织实施的延长评估结果有效期审核工作提供必要的配合和支持。若承诺不实或者违背承诺,愿意承担相应法律责任。<br>
注:1.申请表第2项应按场景分项描述,可根据实际申请的出境场景<br>
数量增加申请表第2项。<br>
2.申请表严格按照模板填写,必须使用中文填写,字体四号“仿<br>
宋”,数字、字母统一使用四号“Times New Roman”字体,行距<br>
固定值16磅,段落首行缩进2字符。页面设置:A4纸,上下<br>
页边距为2.54cm,左右页边距为3.18cm。