收藏 分销(赏)
立即下载 开通VIP

数据出境合规实务50问.pdf

上传人:宇*** 文档编号:2752334 上传时间:2024-06-05 格式:PDF 页数:91 大小:2.75MB
下载 相关 举报
数据出境合规实务50问.pdf_第1页
第1页 / 共91页
数据出境合规实务50问.pdf_第2页
第2页 / 共91页
数据出境合规实务50问.pdf_第3页
第3页 / 共91页
数据出境合规实务50问.pdf_第4页
第4页 / 共91页
数据出境合规实务50问.pdf_第5页
第5页 / 共91页
点击查看更多>>
资源描述

1、数据出境合规实务 50 问(2024 版)数据出境合规实务 42 问 20242024 年年 4 4 月月 数据出境合规实务 50 问(2024 版)2 前言前言 随着数字经济的蓬勃发展,数据已经成为重要的生产要素和关键的发展引擎。数据跨境流动是充分释放数据红利、打造新发展格局战略支点的重要路径,正在对全球经济发展、科技创新和国际贸易等方面产生愈发深远的影响。然而,数据跨境流动也伴随着数据安全、隐私保护等方面的挑战和争议,因此,各国纷纷加强数据跨境流动的监管和规范。我国已出台的数据出境安全评估办法等法律法规,虽初步搭建出数据出境合规监管框架,但由于细则规定不够明确,企业在数据出境时往往需要结合

2、其主体类型、出境数据类型和累计出境的数量等,综合判断采取何种数据出境制度(即“申报并通过数据出境安全评估、签署并备案个人信息出境标准合同(简称“SCC”)、获得个人信息保护认证”的统称)。自 2023 年 9 月 28 日,国家网信办发布规范和促进数据跨境流动规定(征求意见稿)之日起,社会各界便对数据出境合规措施的选择展开了广泛讨论。历经半年,国家网信办对各方提出的反馈意见进行了细致研判,于 2024 年3 月 22 日正式公布了促进和规范数据跨境流动规定(简称“规定”),该规定自颁布之日起施行。规定对数据出境监管框架进行了细化,进一步放宽了数据跨境流动条件,且相对收窄了数据出境安全评估范围,

3、把“促进”调整到了“规范”前面,释放出要确保在保障数据安全的前提下,更加关切国家经济发展,通过便利数据跨境流动,降低企业合规成本,促进服务贸易与数字经济的大力开展和实施。因规定对企业选择数据出境制度会产生重大影响,环球律师事务所数据团队联合对外经济贸易大学数字经济与法律创新研究中心、蔚来控股有限公司、奇安信科技集团有限公司、北京奥美互动咨询有限公司、杭州有赞科技有限公司发布数据出境合规实务 50问(2024版)(以下简称“实务问答”),旨在结合业务实践需求,通过分析加问答的形式来解答企业关切的数据跨境传输重点问题。实务问答分为上下两篇,上篇为基础篇,主要介绍了数据跨境传输的法律法规框架、相关概

4、念及注意事项辨析等;下篇为实践篇,详细阐述数据出境合规实务 50 问(2024 版)3 了数据跨境传输场景的识别、数据类型的确定、数据出境安全评估申报的流程以及风险评估与应对措施等。在数字经济快速发展的时代背景下,数据跨境传输的合规管理将成为企业不可或缺的重要能力。我们希望通过本实务问答的发布为企业提供有益的参考和借鉴,共同推动数据跨境传输的规范发展,为构建安全、高效、有序的数字经济环境贡献力量。最后,感谢所有参编单位及人员的辛勤付出,特别感谢威科先行的大力支持,感谢各位老师提供的宝贵意见和建议。数据出境合规实务 50 问(2024 版)1 目目 录录 前言 .2 上篇:基础篇上篇:基础篇 一

5、、我国有哪些数据跨境相关的法律法规要求?.4 二、哪些行为属于数据跨境传输行为?.7 三、如何定义出境数据的“境外接收方”?.8 四、现行数据出境制度下的三条合规路径是什么?如何判断?.8 五、哪些情况下需要申报数据出境安全评估?.11 六、数据出境安全评估的流程是怎样的?.11 七、数据出境安全评估申报需要多长时间?.14 八、哪些情况下可以选择签署并备案个人信息出境标准合同?.15 九、个人信息出境标准合同的签署及备案流程是怎样的?.16 十、哪些情况下可以选择个人信息保护认证?.18 十一、进行个人信息保护认证的流程是怎样的?.19 十二、哪些情况下不需要采取三大数据出境制度即可出境数据

6、?.21 十三、哪些情形属于“法律、行政法规另有规定,依照其规定进行评估/批准的情况”?.25 十四、CIIO 数据出境的要求有哪些?.26 十五、识别重要数据的法律法规依据有哪些?.27 十六、重要数据出境的要求有哪些?.28 十七、个人信息出境标准合同的具体内容有哪些?.28 十八、进行个人信息保护认证的具体要求有哪些?.30 十九、未符合数据出境制度,有何罚则?.31 二十、还有哪些应当注意的具体事项?.32 二十一、我国粤港澳大湾区就个人信息出境是否有特殊便利措施?.33 下篇:实践篇下篇:实践篇 二十二、如何准确识别数据跨境传输场景?.36 二十三、企业可能涉及的数据跨境传输场景有哪

7、些?.40 二十四、如何准确识别跨境传输数据的类型?.43 二十五、如何正确盘点跨境传输数据的数量?.45 数据出境合规实务 50 问(2024 版)2 二十六、如何确定落实数据跨境传输合规措施的内部牵头部门?.46 二十七、如何确定数据出境安全评估的申报主体?.47 二十八、如何把握数据出境安全评估的申报时间?.48 二十九、符合条件的企业应当向哪个/些机构申请数据出境安全评估?.49 三十、如何开展个人信息保护影响评估?.49 三十一、如何开展数据出境风险自评估?.51 三十二、数据跨境传输场景下的 PIA 与数据出境风险自评估是一回事吗?.53 三十三、如何评估数据处理者和境外接收方的技

8、术和制度措施是否充分?.55 三十四、如何评估境外接收方法律与政策环境完善程度?.57 三十五、欧盟是如何对法律政策环境进行评估的?.60 三十六、数据出境安全评估的有效期为多久?什么情况下需要再次申请安全评 估?.62 三十七、什么情况下需要重新签署个人信息出境标准合同并履行备案手续?63 三十八、在订立监管机构发布的标准合同时是否可以对内容进行修改?.64 三十九、如果已与境外接收方签署数据处理协议,是否可将标准合同作为 其附件?.64 四十、企业应当向哪个/些机构申请个人信息保护认证?.65 四十一、如何正确应对国际争议解决场景下取证所涉的数据跨境传输?.66 四十二、我国粤港澳大湾区个

9、人信息出境标准合同如何签署和备案?.68 四十三、上海自贸区有无数据及个人信息出境的便利监管措施?.69 四十四、银行金融业数据出境有无特别规范需要注意?.71 四十五、证券基金业数据出境有无特别规范需要注意?.73 四十六、医药行业跨境传输的常见场景有哪些?.75 四十七、医药行业跨境传输涉及的数据有哪些类型?.76 四十八、医药行业数据跨境传输的主要合规义务有哪些?.78 四十九、通过境内数据交易所进行跨境数据贸易应考虑哪些跨境数据合规问题?.80 五十、公共数据运营主体是否可以就公共数据对境外主体进行授权使用或开放共享?.81 附件一、国家及各地省级网信部门联系方式.84 数据出境合规实

10、务 50 问基础篇 3 上篇:基础篇上篇:基础篇 数据出境合规实务 50 问基础篇 4 一、一、我国有哪些数据跨境相关的法律法规要求?我国有哪些数据跨境相关的法律法规要求?随着经济全球化和数字化的深入发展,数据跨境传输已经成为全球经济的关键推动力。跨境数据在国际贸易活动、跨国科技合作、数据资源共享方面发挥越来越重要的作用,数据跨境流动已经成为推动数字经济发展,保障全球互联互通的重要途径。我国对数据跨境流动的规制起步较晚,对于数据跨境传输的限制与监管规定散见于各类法律法规、部门规章以及规范性文件中,处于持续创新和完善、趋向成熟体系形成的过程。数据出境的法律渊源可以追溯到 2017 年 6 月 1

11、 日实施的中华人民共和国网络安全法(下称网络安全法网络安全法)。网络安全法首次提出了数据出境的安全评估制度,要求关键信息基础设施运营者(下称 CIIO)因业务需要向境外提供个人信息和重要数据应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估1。随后,全国信息安全标准化技术委员会(TC260)(下称信安信安标委标委)于 2017 年 8 月 30 日发布了信息安全技术 数据出境安全评估指南(征求意见稿)(下称安全评估指南(征)安全评估指南(征),在数据出境安全评估办法未发布前对数据出境安全评估流程、评估要点以及评估方法等内容提供指引。2021 年 9 月 1 日实施的中华人民共和国数据

12、安全法(下称数据安全数据安全法法)重申了 CIIO 跨境传输在境内运营中收集和产生的重要数据需进行评估的要求,并为出台其他数据处理者的重要数据出境监管制度提供了原则性规定2。此外,数据安全法对向境外司法和执法机构提供数据作出了限制,要求境内组织、个人向外国司法或者执法机构提供存储于中华人民共和国境内的数据必须获得主管机关批准3,这也与随后颁布的中华人民共和国个人信息保护法(下称个人信息保护法个人信息保护法)提出的“非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息”的要求相呼应。1 网络安全法第三十七条。2 数据安全法第三十一条。3

13、数据安全法第三十六条。数据出境合规实务 50 问基础篇 5 2021 年 11 月 1 日,个人信息保护法施行。同月,国家互联网信息办公室(下称国家国家网信办网信办)发布了网络数据安全管理条例(征求意见稿)(下称网安条例(征)网安条例(征),设专章对“数据跨境安全管理”作出具体规定4。个人信息保护法第三十八条和网安条例(征)第三十五条列明了数据出境应采取的三条主要合规路径,即“通过网信部门组织的安全评估”、“按照国家网信部门的规定经专业机构进行个人信息保护认证”、“按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务”(以下合称数据出境数据出境制度制度)5。随后,为推动上述

14、数据出境制度落地,国家网信办及相关行业主管监管部门陆续出台了一系列政策文件。对于“个人信息保护认证”,国家市场监督管理总局和国家网信办于 2022年 11 月 4 日联合发布关于实施个人信息保护认证的公告(下称认证公告认证公告)及附件个人信息保护认证实施规则(下称认证规则认证规则),规定了开展个人信息保护认证的基本规则,标志着我国个人信息保护认证制度的正式建立。信安标委于 2022 年 6 月发布的网络安全标准实践指南个人信息跨境处理活动安全认证规范(下称认证规范认证规范 V1.0)进一步为“个人信息保护认证制度”提供了落地支撑。随后,信安标委又于 2022 年 12 月发布了网络安全标准实践

15、指南个人信息跨境处理活动安全认证规范 V2.0(下称认证规范认证规范 V2.0),从具有法律约束力的协议应明确的内容、个人信息保护机构应承担的职责、个人信息保护影响评估应涵盖的事项、个人信息主体应享有的权利以及个人信息处理者和境外接收方应承担的责任义务等五方面对认证规范 V1.0进行了细化。2023年 3月 16日,信安标委发布了国家标准信息安全技术 个人信息跨境传输认证要求(征求意见稿)(下称跨境认证要求(征)跨境认证要求(征),为推荐性国家标准,在效力层级上高于认证规范V2.0。跨境认证要求(征)除增加“敏感个人信息”和“单独同意”的定义并删除了“认证主体”的相关要求外,整体内容与认证规范

16、 V2.0基本一致。2023年 11月 1日,信安标委依据关于促进粤港澳大湾区数据跨境流动的合作备忘录和属地相关法律法规,制定了 4 网安条例(征)第五章。5 个人信息保护法第三十八条。数据出境合规实务 50 问基础篇 6 网络安全标准实践指南粤港澳大湾区跨境个人信息保护要求(征求意见稿),规定了粤港澳大湾区跨境处理个人信息应遵循的基本原则和保护要求,为粤港澳大湾区个人信息保护认证的实施提供了认证依据。对于“数据出境安全评估”,国家网信办于 2022年 7月 7日发布数据出境安全评估办法(下称评估评估办法办法),自2022年9月1日起施行,规定了数据出境安全评估申报的具体情形以及要求;对于“个

17、人信息出境标准合同”,国家网信办则于 2023 年 2 月 22 日发布个人信息出境标准合同办法(下称标准合标准合同办法同办法),自 2023 年 6 月 1 日施行,规定了可以选择签署并备案标准合同的情形,并提供了标准合同范本。在数据出境制度下的三条合规路径已经初步成型的基础上,为优化完善数据出境制度,实现与数据出境安全风险的“精细化匹配”,并同时促进和规范数据依法有序自由流动,国家网信办结合迄今数据出境安全管理工作的实践情况,于 2024 年 3 月 22 日发布了重量级文件促进和规范数据跨境流动规定(下称跨境流动规定跨境流动规定)。跨境流动规定主要从五方面对数据出境制度进行了优化:首先,

18、明确了重要数据的认定标准;其次,提出了免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件;第三,设立了自由贸易试验区负面清单制度;第四,对需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动门槛标准进行调整,适当放宽数据跨境流动条件,适度收窄数据出境安全评估范围;第五,延长了数据出境安全评估结果的有效期限。同时,为了配合跨境流动规定落地,国家网信办于同日发布了数据出境安全评估申报指南(第二版)(下称评估申报指南(第二版)评估申报指南(第二版)和个人信息出境标准合同备案指南(第二版)(下称标准合同备案指南(第二标准合同备案

19、指南(第二版)版),对申报数据出境安全评估、备案个人信息出境标准合同的方式、流程和材料等具体要求作出了说明,对数据处理者需要提交的相关材料进行了优化简化。跨境流动规定 评估申报指南(第二版)标准合同备案指南(第二数据出境合规实务 50 问基础篇 7 版)的出台反映了主管部门对数据出境治理思路的变化,即在保障数据“依法有序流动”从而为组织或者个人跨境业务合作提供法治保障的同时,促进数据“自由流动”并进一步推动数据自由流动和数字经济发展。一方面,明确监管部门强化事前事中事后全领域的监管,加强指导监督向境外提供数据的数据处理者履行义务的情况,如告知、取得个人单独同意、进行个人信息保护影响评估、采取技

20、术措施保障数据安全出境以及向省级以上网信部门和其他有关主管部门报告数据出境安全事件等。但另一方面,通过畅通数据跨境传输制度渠道打造跨境数字贸易新格局,鼓励企业积极开展数据跨境流动并推进国际贸易发展,如针对不同商业活动场景需求,在不包含个人信息或者重要数据的前提下,允许国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中产生的数据出境活动不适用数据出境安全评估、个人信息出境标准合同和个人信息保护认证机制,极大地减轻相关企业的合规成本。跨境流动规定的发布标志着企业迎来了全新的数据跨境合规窗口期。该规定不仅提升了现行数据出境制度的实用性和可操作性,还积极回应了企业数据跨境传输业务合规方面的常

21、见困惑,从而降低了企业在数据出境活动中所面临的业务合规挑战和难度。对此,涉及跨境传输数据的企业应把握窗口期时机,依法梳理自身数据出境的场景以及对应合规操作要点,确保在积极参与国际经营和跨境业务合作的过程中不触及数据监管红线。二、二、哪些行为属于数据跨境传输行为?哪些行为属于数据跨境传输行为?评估申报指南(第二版)和标准合同备案指南(第二版)第一部分“适用范围”明确了哪些行为属于“数据出境”,具体包含以下三种情形:数据处理者将在境内运营中收集和产生的数据传输至境外;数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;符合个人信息保护法第三条第二款情形(即在中

22、华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,包括以向境内数据出境合规实务 50 问基础篇 8 自然人提供产品或者服务为目的、分析、评估境内自然人的行为、法律、行政法规规定的其他情形),以及在境外处理境内自然人其他数据处理活动。(具体内容请见下篇:实践篇“一、如何准确识别数据跨境传输场景?”部分)三、三、如何定义出境数据的“境外接收方”?如何定义出境数据的“境外接收方”?根据评估申报指南(第二版)的规定,即使数据未转移存储至中国大陆以外的地方,但被境外的机构、组织、个人访问查看或调用的(公开信息、网页访问除外)的情形属于数据出境。同理,国内企业聘用境外服务供应商通过境外服务器直接

23、收集于中国境内产生的个人信息,也属于数据出境。“境外接收方”一般指第一手境外接收方,如果涉及多个境外第一手数据接收方,需在自评估报告中结合业务场景、数据出境规模、处理数据用途与方式以及数据接收方履行责任义务的管理和技术措施等因素,分别评估各接收方所具备的保障出境数据安全的能力。同时,如果数据出境后还会向其他境外接收方再传输数据,则也需要对该再传输行为进行评估。从跨国企业和其供应商的关系看,一般跨国企业和其聘用的供应商多为委托处理关系,并且多数为跨国公司总部直接委托境外供应商并签署数据处理协议(约定跨国企业及各分支机构均为数据处理者,供应商为受托方)。在此背景下,如果境外母公司可以自行查阅、浏览

24、存储于境外服务器的中国子公司的数据,并且数据处理协议约定境外母公司可以根据自己的目的对境外供应商收集的数据进行处理,则在此数据跨境传输过程中境外母公司属于境外接收方,中国子公司实质上是将个人信息跨境传输至其境外母公司。四、四、现行数据出境制度下的三条合规现行数据出境制度下的三条合规路径是什么?如何判断?路径是什么?如何判断?综合网络安全法 数据安全法以及个人信息保护法这三大数据合数据出境合规实务 50 问基础篇 9 规基本法律要求来看,企业开展数据出境活动时,应结合自身的主体类型、出境数据类型和数量,综合判断是否须要额外(1)申报并通过数据出境安全评估;或(2)订立并备案个人信息出境标准合同;

25、或(3)通过个人信息保护认证。具体如下表所示:法律名称法律名称 生效日期生效日期 规制主体规制主体 合规路径合规路径 网络安全法网络安全法 2017年 6 月 1日 CIIO 向境外提供个人信息个人信息和重要重要数据数据,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估安全评估。数据安全法数据安全法 2021年 9 月 1日 CIIO 向境外提供重要数据重要数据,应当进行安全评估安全评估。CIIO 以外的数据处理者 向境外提供重要数据重要数据,遵照国家网信部门会同国务院有关部门制定的办法。个人信息保护个人信息保护法法 2021年 11月 1日 CIIO 向境外提供个人信息个人信息,

26、应当进行安全评估安全评估。CIIO 以外的数据处理者 处理个人信息达到国家网信部门规定数量的个人信息处理者 向境外提供个人信息个人信息,应当进行安全评估安全评估。处理个人信息未达到国家网信部门规定数量的个人信息处理者 向境外提供个人信息个人信息,可以选择:(1)订立并备案个人信息出个人信息出境标准合同境标准合同;或(2)通过个人信息安全保护个人信息安全保护认证认证。表 1 我国数据合规三大法律规制下的数据出境制度 最新实施的跨境流动规定则对上述合规路径的适用范围进行了细化,提出:1.如果企业拟出境的数据符合跨境流动规定第三条、第四条、第五条和第六条规定的情形(以下合称豁免情形豁免情形),则企业

27、可依法依规自由开展数据出境活动。(具体内容请见上篇:基础篇“十二、哪些情数据出境合规实务 50 问基础篇 10 况下不需要采取三大数据出境制度即可出境数据?”部分)若不符合豁免情形,则可继续参照下方第 2-4 项进行判断。2.如果企业是 CIIO,则应对其个人信息或重要数据的出境活动通过所在地省级网信部门向国家网信部门申报数据出境安全评估。3.如果企业是 CIIO 以外的数据处理者,则首先应当结合相关部门、地区告知或者公开发布的情况判断拟出境的数据是否属于重要数据,出境数据属于重要数据的,则应当申报数据出境安全评估。4.如果企业是 CIIO以外的数据处理者,出境的数据是个人信息,则:(1)自当

28、年 1 月 1 日起累计向境外提供 100 万人以上个人信息(不含敏感个人信息)或者 1 万人以上敏感个人信息的,应当申报数据出境安全评估;(2)自当年 1月 1日起累计向境外提供 10万人以上、不满 100万人个人信息(不含敏感个人信息)或者不满 1 万人敏感个人信息 的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。为方便理解,企业可以参考如下图 1总结的数据出境制度适用流程进行判断:图 1 跨境流动规定下现行数据出境制度的适用流程 数据出境合规实务 50 问基础篇 11 五、五、哪些情况下需要哪些情况下需要申报申报数据出境安全评估?数据出境安全评估?最新发布的跨境

29、流动规定适度收窄了数据出境安全评估范围。具体而言,根据跨境流动规定和评估申报指南(第二版)的规定,当数据处理者向境外提供数据不属于跨境流动规定下的豁免情形时(具体内容请见上篇:基础篇“十二、哪些情况下不需要采取三大数据出境制度即可出境数据?”部分),且具有下列情形之一时,应当申报数据出境安全评估:1.CIIO向境外提供个人信息或者重要数据;2.CIIO以外的数据处理者向境外提供重要数据;3.CIIO 以外的数据处理者自当年 1 月 1 日起累计向境外提供 100 万人以上个人信息(不含敏感个人信息);4.CIIO 以外的数据处理者自当年 1 月 1 日起累计向境外提供 1 万人以上敏感个人信息

30、;同时,跨境流动规定第六条规定,自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(下称负面清单负面清单),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。六、六、数据出境安全评估的流程是怎样的?数据出境安全评估的流程是怎样的?为指导数据处理者更好的开展数据出境安全评估申报工作,国家网信办结合此前申报工作开展的实践经验,发布了评估申报指南(

31、第二版)并对数据处理者需要提交的相关材料进行了优化简化,同步开通了“数据出境申报系统”。根据评估申报指南(第二版),申报数据出境安全评估可分为线上申报和线下申报两种形式:(一)线上申报一般适用于 CIIO 以外的数据处理者申报数据出境合规实务 50 问基础篇 12 数据出境安全评估,如该等数据处理者自当年 1月 1日起累计向境外提供 100万人以上个人信息(不含敏感个人信息)申报数据出境安全评估等场景;(二)CIIO 或者其他不适合通过线上系统申报数据出境安全评估的,应采取线下申报流程。但是“不适合通过线上系统申报数据出境安全评估”的具体情形,仍待网信部门进一步澄清说明。图 2 数据出境安全评

32、估不同申报流程的适用范围(一)线上申报流程(一)线上申报流程 数据处理者进行数据出境安全评估的线上申报,应当通过线上数据出境申报系统提交申报材料,系统网址为 https:/。结合系统附带的数据出境申报系统使用说明(第一版)来看,数据出境申报系统整合统一了数据出境制度下的数据出境安全评估申报、个人信息出境标准合同备案工作,即该系统目前同时支持数据处理者申报数据出境安全评估、个人信息出境标准合同备案;而对于个人信息保护认证,数据出境申报系统后续可能覆盖这一类数据出境制度的实施开展,但是相关功能仍在建设中,尚未上线。目前,申请个人信 息 保 护 认 证 可 以 登 录 个 人 信 息 保 护 认 证

33、 管 理 系 统,系 统 网 址 为https:/6。数据处理者在准备正式评估申报前,应根据评估申报指南(第二版)第三条和数据出境申报系统使用说明(第一版)准备以下文件:统一社会信用代码证件影印件(加盖公章)法定代表人身份证件影印件(加盖公章)经办人身份证件影印件(加盖公章)6 参考网信中国,促进和规范数据跨境流动规定答记者问,https:/ 50 问基础篇 13 经办人授权委托书、承诺书 数据出境安全评估申报表 数据出境相关合同或者其他具有法律效力的文件影印件(加盖公章)数据出境风险自评估报告扫描件 准备好以上材料后,数据处理者使用数据出境申报系统,应按照“注册用户账号配置系统使用环境选择新

34、增评估填报入口”的流程进行数据出境安全评估申报:1.在注册用户账号阶段,数据处理者应准备好统一社会信用代码证、法人证件、系统注册人证件、注册授权书等材料扫描件或者照片。如果进行申报的实体为个人,可以勾选“无法人代表信息”跳过并进行后续填写。2.在配置系统使用环境阶段,数据处理者根据自身实际情况可以选择三种用户认证方式,即短信认证、使用专业浏览器加软证书结合认证、使用 Ukey 方式认证。3.点击“数据出境安全评估管理”-“新增评估”进入新增评估申报页面,上传安全评估材料,并在进入向导页面后,根据提示逐步完善申报信息,包括以下环节:确认是否属于数据出境安全评估申报适用情形;填写数据处理者情况;填

35、写法定代表人信息;填写数据安全责任人和管理机构信息;填写经办人信息;填写数据处理者遵守中国法律、行政法规、部门规章情况;填写数据出境场景;上传其他数据出境安全评估申报材料。(二)线下申报流程(二)线下申报流程 CIIO 或者其他不适合通过线上系统申报数据出境安全评估的,应采用线下数据出境合规实务 50 问基础篇 14 方式通过所在地省级网信办向国家网信办申报数据出境安全评估,并按照评估申报指南(第二版)规定准备如下申报材料,将书面申报材料装订成册并附带材料电子版送达所在地省级网信办:统一社会信用代码证件 法定代表人身份证件 经办人身份证件 经办人授权委托书 数据出境安全评估申报书 与境外接收方

36、拟订立的数据出境相关合同或者其他具有法律效力的文件 数据出境风险自评估报告 其他相关证明材料 七、七、数据出境安全评估申报需要多长时间?数据出境安全评估申报需要多长时间?评估申报指南(第二版)未区分数据处理者进行数据出境安全评估线上申报和线下申报整体所需时间。一般情况下,数据出境安全评估的申报时长周期如图 3所示:图 3 数据出境安全评估申报时长周期 根据评估申报指南(第二版)第二条的规定,省级网信办会在收到申报材料之日起 5 个工作日内完成完备性查验,并向数据处理者告知查验结果。对于通过完备性查验的,省级网信办将申报材料提请国家网信办处理;对于未通过完备性查验的,省级网信办向数据处理者告知未

37、通过完备性查验原因。数据出境合规实务 50 问基础篇 15 国家网信办自收到省级网信办提交的申报材料之日起 7 个工作日内,确定是否受理并书面通知数据处理者。根据评估办法第十二条的规定,国家网信办会在向数据处理者发出书面受理通知书之日起 45 个工作日内,完成数据出境安全评估。在进行整体评估时,对于情况复杂或者需要补充、更正材料的情况,国家网信办会适当延长评估时间,并告知数据处理者预计延长的时间。数据处理者无正当理由不补充或者更正申报材料的,国家网信办可以终止安全评估。评估完成后,国家网信办向数据处理者出具评估结果通知书。数据处理者应当按照数据出境安全管理相关法律法规和评估结果通知书的有关要求

38、,规范相关数据出境活动。数据处理者对评估结果有异议的,可以在收到评估结果通知书 15 个工作日内向国家网信办申请复评,复评结果为最终结论。八、八、哪些情况下可以选择签署并备案个人信息出境标准合同?哪些情况下可以选择签署并备案个人信息出境标准合同?跨境流动规定适当放宽了数据跨境流动条件,对以往应当订立个人信息出境标准合同的条件作了优化调整。具体而言,根据跨境流动规定和标准合同备案指南(第二版)的规定,企业同时符合下列情形,且不属于跨境流动规定下的豁免情形时(具体内容请见上篇:基础篇“十二、哪些情况下不需要采取三大数据出境制度即可出境数据?”部分),可以通过签署并备案个人信息出境标准合同的方式向境

39、外提供个人信息:1.CIIO以外的数据处理者;2.自当年 1 月 1 日起,累计向境外提供 10 万人以上、不满 100 万人个人信息(不含敏感个人信息)的;3.自当年 1 月 1日起,累计向境外提供不满 1 万人敏感个人信息的。需要说明的是,向境外提供被相关部门、地区告知或者公开发布为重要数据的个人信息,应当申报数据出境安全评估,不得选择订立个人信息出境标准合同或者通过个人信息保护认证的方式。数据出境合规实务 50 问基础篇 16 九、九、个人信息出境标准合同的签署及备案流程是怎样的?个人信息出境标准合同的签署及备案流程是怎样的?为指导和帮助个人信息处理者规范有序备案个人信息出境标准合同,国

40、家网信办结合此前备案实践经验发布了标准合同备案指南(第二版),并就个人信息出境标准合同备案的适用范围、备案方式、备案流程和材料以及咨询、举报联系方式等具体要求重新作出了优化说明。标准合同备案流程可以总结为“开展个人信息保护影响评估并订立合同材料提交材料查验及反馈备案结果补充或者重新备案合同备案开展个人信息出境活动”环节,时限和流程如下图 4所示:图 4 个人信息出境标准合同备案流程示意图 个人信息出境标准合同的签署及备案主要环节如下:(一)(一)开展个人信息保护影响评估并订立合同开展个人信息保护影响评估并订立合同 首先,个人信息处理者在进行个人信息出境标准合同备案前,应开展个人信息保护影响评估

41、。个人信息保护法第五十五条和标准合同办法第五条数据出境合规实务 50 问基础篇 17 规定,向境外提供个人信息的,应当事前开展个人信息保护影响评估,并对处理情况进行记录。(具体内容请见下篇:实践篇“九、如何开展个人信息保护影响评估?”部分)同时,企业应按照国家网信办发布的标准合同范本结合企业自身个人信息出境情况补充附录二,并与境外接收方订立标准合同。(二)材料提交(二)材料提交 由于以往的线下备案模式统一改为线上备案,故个人信息处理者应根据标准合同办法第七条和标准合同备案指南(第二版)在标准合同生效之日起 10 个工作日内,通过数据出境申报系统开展个人信息出境标准合同备案,系统网址为 http

42、s:/。根据数据出境申报系统使用说明(第一版),个人信息处理者使用数据出境申报系统,应按照“注册用户账号配置系统使用环境选择新增备案填报入口”的流程进行个人信息出境标准合同备案。其中,注册用户账号和配置系统使用环境的具体操作流程和要求与数据出境安全评估申报相同(具体内容请见上篇:基础篇“六、数据出境安全评估的流程是怎样的?”部分)。数据处理者登入系统后应选择“新增备案”进行个人信息出境标准合同备案。根据标准合同备案指南(第二版)和数据出境申报系统使用说明(第一版),数据处理者备案个人信息出境标准合同备案,应提交以下文件:统一社会信用代码证件影印件 法定代表人身份证件影印件 经办人身份证件影印件

43、 经办人授权委托书 承诺书签字盖章的影印件 个人信息出境标准合同影印件(加盖公章)个人信息保护影响评估报告影印件(加盖公章)在实际使用数据出境申报系统进行备案的过程中,企业应通过页面向导,逐步完善备案信息,包括以下环节:确认个人信息出境标准合同适用情形 数据出境合规实务 50 问基础篇 18 填写个人信息处理者基本情况;填写法定代表人信息;填写经办人信息;上传承诺书签字盖章的影印件;填写个人信息处理者遵守中国法律、行政法规、部门规章情况;填写个人信息出境场景;上传个人信息出境标准合同加盖公章的影印件,并填写相关信息;上传个人信息保护影响评估报告加盖公章的影印件;上传其他相关证明材料。(三)(三

44、)材料查验及反馈备案结果材料查验及反馈备案结果 个人信息处理者完成材料提交后,整体备案流程进入了材料查验及反馈备案结果阶段。根据标准合同备案指南(第二版)第三条的规定,省级网信办应当自个人信息处理者提交备案材料之日起 15 个工作日内完成材料查验,并向符合备案要求的个人信息处理者发放备案编号。需要补充完善材料的,个人信息处理者应当在 10 个工作日内提交补充完善材料;逾期未补充完善材料的,可以终止本次备案程序。十、十、哪些情况下可以选择个人信息保护认证?哪些情况下可以选择个人信息保护认证?与签署并备案个人信息出境标准合同的情况一样,可以选择个人信息保护认证的情形亦发生了变化。具体而言,根据跨境

45、流动规定的规定,企业在符合以下条件之一,且不属于跨境流动规定下的豁免情形时(具体内容请见上篇:基础篇“十二、哪些情况下不需要采取三大数据出境制度即可出境数据?”部分),可以通过开展个人信息保护认证的方式向境外提供个人信息:1.CIIO 以外的数据处理者自当年 1 月 1 日起,累计向境外提供 10 万人以上、不满 100 万人个人信息(不含敏感个人信息)的;2.CIIO 以外的数据处理者自当年 1 月 1 日起,累计向境外提供不满 1 万数据出境合规实务 50 问基础篇 19 人敏感个人信息的。需要说明的是,向境外提供被相关部门、地区告知或者公开发布为重要数据的个人信息,应当申报数据出境安全评

46、估,不得选择订立个人信息出境标准合同或者通过个人信息保护认证的方式。十一、十一、进行个人信息保护认证的流程是怎样的?进行个人信息保护认证的流程是怎样的?2022 年 11 月 18 日,国家市场监督管理总局和国家网信办发布的认证公告以及附件认证规则,对开展个人信息保护认证的流程进行了细节说明,包括认证委托、技术验证、现场审核、认证结果评价和批准等环节。认证公告指出“从事个人信息保护认证工作的认证机构应当经批准后开展有关认证活动”。虽然,相关法律法规并未明确公布依法取得认证机构资质的企业名录,但根据向中国网络安全审查认证和市场监管大数据中心(下称网安审认证和市网安审认证和市监大数据中心监大数据中

47、心)咨询的结果以及国家网信办于 2024 年 3 月 22 日发布的答记者问,企业可以通过个人信息保护认证管理系统(具体网址为 https:/)向网安审认证和市监大数据中心进行申请(具体内容请见下篇:实践篇“十九、企业应当向哪个/些机构申请个人信息保护认证?”部分)。同时,跨境认证要求(征)具体规定了在个人信息跨境传输场景下开展个人信息保护认证的适用情形、基本原则以及基本要求,为认证机构对个人信息跨境处理活动开展个人信息保护认证提供了认证依据,同时也为企业作为个人信息处理者合规开展个人信息跨境处理活动提供了参考。数据出境合规实务 50 问基础篇 20 开展个人信息保护认证包括“认证委托、技术验

48、证、现场审核、认证结果评价和批准、获证后监督”五个环节,具体流程如图 5所示:图 5 个人信息保护认证流程示意图 首先,个人信息处理者(即认证委托人)应当按认证机构的要求提交认证委托资料,包括但不限于认证委托人基本材料、认证委托书、相关证明文档等。认证委托人在申请个人信息保护认证前可以按照认证依据的要求开展自评估以及合规整改,以符合认证依据的有关要求。认证机构在对认证委托资料审查后及时反馈是否受理。认证机构会根据认证委托资料确定认证方案,包括个人信息类型和数量、涉及的个人信息处理活数据出境合规实务 50 问基础篇 21 动范围、技术验证机构信息等,并通知认证委托人7。通过后,技术验证机构会按照

49、认证方案实施技术验证,并向认证机构和认证委托人出具技术验证报告8。认证机构会进行现场审核,并向认证委托人出具现场审核报告9。认证机构根据认证委托资料、技术验证报告、现场审核报告和其他相关资料信息进行综合评价,作出认证决定。对符合认证要求的,认证机构会颁发认证证书;对暂不符合认证要求的,认证机构有权要求认证委托人限期整改;对于整改后仍不符合的,认证机构有权以书面形式通知认证委托人终止认证。认证机构如发现认证委托人、个人信息处理者存在欺骗、隐瞒信息、故意违反认证要求等严重影响认证实施的行为时,认证不予通过。认证机构在认证有效期内,会对获得认证的个人信息处理者进行持续监督,确保获得认证的个人信息处理

50、者持续符合认证要求。认证机构对获证后监督结论和其他相关资料信息进行综合评价,评价通过的,可继续保持认证证书;不通过的,认证机构应当根据相应情形作出暂停直至撤销认证证书的处理。十二、十二、哪些情况下不需要哪些情况下不需要采取采取三大三大数据出境数据出境制度制度即可出境数据?即可出境数据?跨境流动规定第三、四、五、六条明确提出了免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的豁免情形,具体包括:(一)(一)个人信息过境个人信息过境 根据跨境流动规定第四条,在境外收集和产生的个人信息传输至境内处理后向境外提供,若处理过程中没有引入境内个人信息或者重要数据的,则不再需要采取额

展开阅读全文
相似文档                                   自信AI助手自信AI助手
猜你喜欢                                   自信AI导航自信AI导航
搜索标签

当前位置:首页 > 研究报告 > 其他

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        获赠5币

©2010-2024 宁波自信网络信息技术有限公司  版权所有

客服电话:4008-655-100  投诉/维权电话:4009-655-100

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :gzh.png    weibo.png    LOFTER.png 

客服