《数据出境安全评估办法》正式实施前一天,即8月31日,国家网络情报局(以下简称“国家网信局”)发布了《数据出境安全评估申报指南(第一版)》(以下简称《指南》),进行了数据出境安全评估
国家互联网通信公司官网
1
数据出站行为定义的补充
去年11月开始正式实施的个人信息保护法规定,个人信息处理程序必须以工作等方式向中国外部提供个人信息,四个条件之一必须通过“国家网络新娘组织的安全评估”。
如何进行安全评估?7月7日,国家网络通信公司发布了《数据出境安全评估办法》(以下简称《办法》),将于9月1日开始实施,《办法》是对数据出境安全评估的评估内容、申报
8月31日,国家网络通信公司发布了《指南》,以进一步指导和帮助数据处理者规范、有序的数据出境安全评估。除了数据出国安全评估的适用范围、申报方法和程序、申报资料和申报咨询的联系对象外,还附上了数据出国安全评估申报资料要求和管理者批准授权书、数据出国安全。
《指南》指明了数据出境行为的定义,包括:(1)数据处理程序在国内运营中收集和生成的数据传输和海外存储;(2)数据处理者收集和生成的数据存储在国内,海外机构、组织或个人可以查询、提取、下载、导出。(三)国家网信局规定的其他资料的出境行为。
值得注意的是,随着《办法》的出台,国家互联网通信公司也定义了数据出境行为,《指南》在此基础上补充了—— 《指南》的第(2)款为010-。
在申报流程和方式方面,《办法》应由数据处理程序先连同书面申报资料附上资料电子版,向所在地省级互联网申请申报数据出境安全评估,省级互联网新办应在收到资料后5个工作日内完成完备性检查,并向通过检查的国家互联网申请申报。国家网申处应在收到资料后7个工作日内决定是否受理。对评价结果有异议的数据处理程序可以在收到评价结果通知书后15个工作日内申请重新审查,审查结果为最终结论。
2
自我评价必须在申报3月内完成
《指南》由数据处理程序申报数据出境安全评估,需要提交的资料包括海外收件人制定的数据出境相关合同或其他具有法律效力的文件副本。此外,要求对数据出境相关合同条款进行强调、线框等明确标记,法律文件以中文版本为准,只有在不是中文版本的情况下,才需要同时提交准确的中文译本。该规定详细整理了需要在《指南》提交的《数据处理者和海外接收人制定的法律文件》。
此外,《办法》是《数据出境安全评估申报表》要求的资料之一,并以表格格式详细说明了数据处理者需要公开的具体项目。其中“出境数据情况”需要填写数据规模(MB/GB/TB)、敏感度(如个人信息)、自然人数量、重要数据数量等。“海外收件人情况”需要填写员工人数、注册资金、负责人联系方式、证件号码等。《境外收件人数据安全所有者和监管机构情况》应披露所有者文件类型和编号、机构数量等。
根据《指南》,数据处理程序提交的《指南》应包括四个方面:自我评估工作概述、出国活动的总体情况、出国活动的风险评估情况、出国活动风险自我评估结论。
特别是,在说明与数据出境相关的业务和信息系统情况时,需要公开的是与数据出境相关的业务基本情况、与数据出境相关的业务的数据资产情况、与数据出境相关的信息系统情况、与数据出境相关的数据中心(包括云服务)情况、与数据出境链接相关的情况。
为了说明数据处理者的数据安全功能,必须公开数据安全管理功能,包括整个流程管理、分类等级、隐私保护和实施。数据安全技术功能包括数据收集、存储、使用等安全技术措施。数据安全措施的有效性证明包括执行的数据安全风险评估、网络安全级别保护评估等。
值得注意的是,《数据出境风险自评估报告》强调,《指南》所述的自我评估活动在目前申报的三个月内完成。此外,根据数据处理者提供的承诺书,必须确保评估工作在申报之日起3个月内完成,截至申报之日没有发生重大变化。此外,如果第三方机构参与自我评估,则必须在自我评估报告中说明第三方机构的基本情况和参与评估的情况,并在相关内容页面上加盖第三方机构的正式印章。
采集:南都记者范文阳