The Cyberspace Administration of China released the "Guidelines for Data Transfer Security Assessment Application (First Edition)"

为了指导和帮助数据处理者规范、有序申报数据出境安全评估，国家互联网信息办公室编制了《数据出境安全评估申报指南（第一版）》，对数据出境安全评估申报方式、申报流程、申报材料等具体要求作出了说明。<br> 数据处理者因业务需要确需向境外提供数据，符合数据出境安全评估适用情形的，应当根据《数据出境安全评估办法》规定，按照申报指南申报数据出境安全评估。<br> 附件：《数据出境安全评估申报指南（第一版）》<br> <br> 数据出境安全评估申报指南（第一版）<br> 《数据出境安全评估办法》自2022年9月1日起施行。为指导和帮助数据处理者规范、有序申报数据出境安全评估，特制定本指南。<br> 一、适用范围<br> 数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信办向国家网信办申报数据出境安全评估：<br> （一）数据处理者向境外提供重要数据；<br> （二）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；<br> （三）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；<br> （四）国家网信办规定的其他需要申报数据出境安全评估的情形。<br> 以下情形属于数据出境行为：<br> （一）数据处理者将在境内运营中收集和产生的数据传输、存储至境外；<br> （二）数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；<br> （三）国家网信办规定的其他数据出境行为。<br> 二、申报方式及流程<br> 数据处理者申报数据出境安全评估，应当通过所在地省级网信办申报数据出境安全评估。申报方式为送达书面申报材料并附带材料电子版。<br> 省级网信办收到申报材料后，在5个工作日内完成申报材料的完备性查验。通过完备性查验的，省级网信办将申报材料上报国家网信办；未通过完备性查验的，数据处理者将收到申报退回通知。<br> 国家网信办自收到省级网信办上报申报材料之日起7个工作日内，确定是否受理并书面通知数据处理者。<br> 数据处理者如被告知补充或者更正申报材料，应当及时按照要求补充或者更正材料。无正当理由不补充或者更正申报材料的，安全评估将会终止。情况复杂的，数据处理者将被告知评估预计延长的时间。<br> 评估完成后，数据处理者将收到评估结果通知书。对评估结果无异议的，数据处理者须按照数据出境安全管理相关法律法规和评估结果通知书的有关要求，规范相关数据出境活动；对评估结果有异议的，数据处理者可以在收到评估结果通知书15个工作日内向国家网信办申请复评，复评结果为最终结论。<br> 三、申报材料<br> 数据处理者申报数据出境安全评估，应当提交如下材料（数据出境安全评估申报材料要求见附件1）：<br> 1.统一社会信用代码证件影印件<br> 2.法定代表人身份证件影印件<br> 3.经办人身份证件影印件<br> 4.经办人授权委托书（模板见附件2）<br> 5.数据出境安全评估申报书（模板见附件3）<br> 6.与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件影印件<br> 7.数据出境风险自评估报告（模板见附件4）<br> 8.其他相关证明材料<br> 数据处理者对所提交材料的真实性负责，提交虚假材料的，按照评估不通过处理，并依法追究相应法律责任。<br> 四、申报咨询<br> 电子邮箱：sjcj@cac.gov.cn<br> 联系电话：010-55627135<br> 附件：1.数据出境安全评估申报材料要求<br> 2.经办人授权委托书（模板）<br> 3.数据出境安全评估申报书（模板）<br> 4.数据出境风险自评估报告（模板）<br> 附件1 <br> 数据出境安全评估申报材料要求<br> 序号<br> 材料名称<br> 要求<br> 备注<br> 1<br> 统一社会信用代码证件<br> 影印件加盖公章<br> 2<br> 法定代表人身份证件<br> 影印件加盖公章<br> 3<br> 经办人身份证件<br> 影印件加盖公章<br> 4<br> 经办人授权委托书<br> 原件<br> 5<br> 数据出境安全评估申报书<br> 5.1<br> 承诺书<br> 原件<br> 5.2<br> 数据出境安全评估申报表<br> 原件<br> 6<br> 与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件<br> 影印件加盖公章<br> 对数据出境相关约定条款作高亮、线框等显著标识。法律文件以中文版本为准，若仅有非中文版本，须同步提交准确的中文译本<br> 7<br> 数据出境风险自评估报告<br> 原件<br> 8<br> 其他相关证明材料<br> 原件或影印件加盖公章<br> 相关证明材料以中文版本为准，若仅有非中文版本，须同步提交准确的中文译本<br> 在提交上述书面材料的同时，需通过光盘方式提交相应电子版文件。附件2 <br> 经办人授权委托书<br> 本人 姓名（身份证件号码： ）系 数据处理者名称 的法定代表人，现授权我单位 姓名（身份证件号码： ）为数据出境安全评估申报工作经办人。经办人代表我单位进行数据出境安全评估申报工作过程中的一切行为，包括所签署和上传的资料，我单位均予以承认，并将承担相应的法律责任。<br> 授权委托期限： 年 月 日至 年 月 日<br> 经办人无转委托权。<br> 单位名称（盖章）：<br> 法定代表人（签字）：<br> 经 办 人（签字）：<br> 年 月 日<br> 附件3<br> 数据出境安全评估申报书（模板）<br> 填写说明：<br> 一、由数据处理者法定代表人或其授权的数据出境安全评估申报工作经办人填写；<br> 二、有选择的地方请勾选左侧“”符号，有横线的部分应当填写相关信息；<br> 三、所涉及的用语，可参考《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》和《数据出境安全评估办法》等法律法规和部门规章；<br> 四、由国家互联网信息办公室制定并负责解释。<br> 一、承 诺 书<br> 本单位郑重承诺：<br> 一、申报出境数据的收集、使用符合中华人民共和国有关法律法规规定；<br> 二、申报材料所有内容真实、完整、准确和有效；<br> 三、为国家网信办组织实施的数据出境安全评估工作提供必要的配合和支持；<br> 四、自评估工作为申报之日前3个月内完成，且至申报之日未发生重大变化。<br> 本单位知晓并充分理解上述承诺内容，若承诺不实或者违背承诺，愿意承担相应法律责任。<br> 法定代表人（签字）： <br> 单位（盖章）： <br> 年 月 日<br> 二、数据出境安全评估申报表<br> 01数据处理者情况<br> 单位名称<br> 单位性质<br> 单位注册地<br> 办公所在地<br> 营业有效期<br> 邮政编码<br> 注册资金<br> 员工数量<br> 主营业务<br> 统一社会信用代码<br> 02法定代表人信息<br> 姓名<br> 职务/国籍<br> 联系电话<br> 电子邮箱<br> 证件类型<br> 证件号码<br> 03数据安全负责人和管理机构信息<br> 姓名<br> 职务/国籍<br> 联系电话<br> 电子邮箱<br> 证件类型<br> 证件号码<br> 机构名称<br> 机构人数<br> 04经办人信息<br> 姓名<br> 职务/国籍<br> 联系电话<br> 电子邮箱<br> 证件类型<br> 证件号码<br> 05数据出境业务描述<br> 06数据出境的目的<br> 07数据出境的方式<br> 08数据出境链路<br> 09拟出境数据情况<br> 数据类型<br> 重要数据<br> 个人信息<br> 敏感程度（如为个人信息）<br> 数据规模<br> MB/GB/TB<br> 涉及行业/领域<br> 涉及自然人数量<br> 涉及重要数据数量<br> 10境外接收方情况<br> 境外接收方名称<br> 所在国家或者地区<br> 所在地址<br> 注册登记号码<br> 注册资金<br> 员工数量<br> 负责人姓名<br> 负责人职务<br> 联系电话<br> 电子邮箱<br> 证件类型<br> 证件号码<br> 主营业务<br> 11境外接收方数据安全责任人和管理机构情况<br> 姓名<br> 职务<br> 联系电话<br> 电子邮箱<br> 证件类型<br> 证件号码<br> 机构名称<br> 机构人数<br> 12法律文件<br> 法律文件名称 <br> 13相关条款在法律文件中的页码及条款<br> 1.数据出境的目的、方式和数据范围，境外接收方处理数据的用途、方式等。<br> 所在页码 <br> 所述条款 <br> 2.数据在境外保存地点、期限，以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施。<br> 所在页码 <br> 所述条款 <br> 3.对于境外接收方将出境数据再转移给其他组织、个人的约束性要求。<br> 所在页码 <br> 所述条款 <br> 4.境外接收方在实际控制权或者经营范围发生实质性变化，或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时，应当采取的安全措施。<br> 所在页码 <br> 所述条款 <br> 5.违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式。<br> 所在页码 <br> 所述条款 <br> 6.出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时，妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。<br> 所在页码 <br> 所述条款 <br> 14数据处理者遵守中国法律、行政法规、部门规章情况<br> 填表说明<br> 1．申报书01项中的单位名称、性质、注册地、注册资金等怎么填写？<br> 数据处理者应当对照统一社会信用代码证件中的机构名称、机构性质/类型栏目填写。单位注册地应具体到城市，如北京市、河北省石家庄市等。单位办公所在地应具体到门牌号，如北京市海淀区X路X号。表中注册资金均需明确币种和金额。<br> 2. 申报书02、03、04项证件类型怎么填写？<br> 可根据实际情况选择填写居民身份证、护照、台湾居民来往大陆通行证、港澳居民来往内地通行证等。<br> 3. 申报书05项中数据出境业务描述怎么填写？<br> 据实填写此次申报的数据出境业务，应与法律文件中涉及业务名称一致。<br> 4．申报书06项中数据出境的目的怎么填写？<br> 如开展业务合作、技术研究、经营管理等，需具体阐述。<br> 5．申报书07项数据出境的方式怎么填写？<br> 说明数据出境的方式，如公共互联网传输、专线传输等。<br> 6．申报书08项数据出境链路怎么填写？<br> 说明数据出境的链路，如链路提供商、链路数量与带宽、境内外落地数据中心名称及机房物理位置、IP地址等。<br> 7．申报书09项拟出境数据情况怎么填写？<br> 关于个人信息的敏感程度，可参照《信息安全技术 个人信息安全规范》国家标准。<br> 涉及行业/领域填写出境数据涉及的行业领域范围，如工业、电信、金融、交通、自然资源、卫生健康、能源、教育、科技、国防科工等。<br> 8．申报书13项相关条款在法律文件中的页码怎么填写？<br> 数据处理者填写对应法律文件条款所在的页码，并对相关条款作高亮、线框等显著标识。<br> 9．申报书14项遵守中国法律、行政法规、部门规章情况怎么填写？<br> 数据处理者简述近2年在业务经营活动中受到行政处罚和有关主管监管部门调查及整改情况，重点说明数据和网络安全方面相关情况。<br> 附件4 <br> 数据出境风险自评估报告（模板）<br> 数据处理者名称： （盖章） <br> 年 月 日<br> 说明：<br> （一）数据处理者申报数据出境安全评估时需提供自评估报告；<br> （二）数据处理者须对所提交的自评估报告及附件材料真实性负责；<br> （三）本报告所述自评估活动为本次申报前3个月内完成；<br> （四）如有第三方机构参与自评估，须在自评估报告中说明第三方的基本情况及参与评估的情况，并在相关内容页上加盖公章。<br> 一、自评估工作简述<br> 自评估工作开展情况，包括起止时间、组织情况、实施过程、实施方式等内容。<br> 二、出境活动整体情况<br> 详细说明数据处理者基本情况、数据出境涉及的业务和系统、出境数据情况、数据处理者安全保障能力情况、境外接收方情况、法律文件约定情况等。包括不限于：<br> （一）数据处理者基本情况<br> 1.组织或者个人基本信息;<br> 2.股权结构和实际控制人信息；<br> 3.组织架构信息；<br> 4.数据安全管理机构信息；<br> 5.整体业务与数据情况；<br> 6.境内外投资情况。<br> （二）数据出境涉及业务和信息系统情况<br> 1.数据出境涉及业务的基本情况；<br> 2.数据出境涉及业务的数据资产情况；<br> 3.数据出境涉及业务的信息系统情况；<br> 4.数据出境涉及的数据中心（包含云服务）情况；<br> 5.数据出境链路相关情况。<br> （三）拟出境数据情况<br> 1.说明数据出境及境外接收方处理数据的目的、范围、方式，及其合法性、正当性、必要性；<br> 2.说明出境数据的规模、范围、种类、敏感程度；<br> 3.拟出境数据在境内存储的系统平台、数据中心等情况，计划出境后存储的系统平台、数据中心等；<br> 4.数据出境后向境外其他接收方提供的情况。<br> （四）数据处理者数据安全保障能力情况<br> 1.数据安全管理能力，包括管理组织体系和制度建设情况，全流程管理、分类分级、应急处置、风险评估、个人信息权益保护等制度及落实情况；<br> 2.数据安全技术能力，包括数据收集、存储、使用、加工、传输、提供、公开、删除等全流程所采取的安全技术措施等；<br> 3.数据安全保障措施有效性证明，例如开展的数据安全风险评估、数据安全能力认证、数据安全检查测评、数据安全合规审计、网络安全等级保护测评等情况；<br> 4.遵守数据和网络安全相关法律法规的情况。<br> （五）境外接收方情况<br> 1.境外接收方基本情况；<br> 2.境外接收方处理数据的用途、方式等；<br> 3.境外接收方的数据安全保障能力；<br> 4.境外接收方所在国家或地区的网络和数据安全法律法规情况；<br> 5.境外接收方处理数据的全生命周期过程描述。<br> （六）法律文件约定数据安全保护责任义务的情况<br> 1.数据出境的目的、方式和数据范围，境外接收方处理数据的用途、方式等；<br> 2.数据在境外保存地点、期限，以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施；<br> 3.对于境外接收方将出境数据再转移给其他组织、个人的约束性要求；<br> 4.境外接收方在实际控制权或者经营范围发生实质性变化，或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时，应当采取的安全措施；<br> 5.违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式；<br> 6.出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时，妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。<br> （七）数据处理者认为需要说明的其他情况<br> 三、拟出境活动的风险评估情况<br> 就下列事项逐项说明风险评估情况，重点说明评估发现的问题和风险隐患，以及相应采取的整改措施及整改效果。<br> （一）数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；<br> （二）出境数据的规模、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；<br> （三）境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全；<br> （四）数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险，个人信息权益维护的渠道是否通畅等；<br> （五）与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等，是否充分约定了数据安全保护责任义务；<br> （六）其他可能影响数据出境安全的事项。<br> 四、出境活动风险自评估结论<br> 综合上述风险评估情况和相应整改情况，对拟申报的数据出境活动作出客观的风险自评估结论，充分说明得出自评估结论的理由和论据。<br> PAGE \* MERGEFORMAT - 5 -