中文

《数据出境安全评估办法》要点解读

2022-07-08

数据合规《数据出境安全评估办法》要点解读

作者李静

作者：李静

导读：《数据出境安全评估办法》（下称“《办法》”）于2022年7月7日颁布，将于2022年9月1日起正式施行。届时，数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估，将适用本办法规定。

一、应当申报数据出境安全评估的情形

1.数据处理者向境外提供重要数据;

2.关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;

3.自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;

4.国家网信部门规定的其他需要申报数据出境安全评估的情形。

提示：根据《中华人民共和国数据安全法》第二十一条的规定，国家对数据实行分类分级保护。重要数据除了关系国家安全、国民经济命脉、重要民生、重大公共利益等属于国家核心的数据外，还包括相关地区、部门以及相关行业、领域的重要数据。具体须查询《重要数据目录》以甄别是否属于“重要数据”。

二、数据出境安全评估主要评估的内容

1.数据出境的目的、范围、方式等的合法性、正当性、必要性;

2.境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求；

3.出境数据的规模、范围、种类、敏感程度，出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险；

4.数据安全和个人信息权益是否能够得到充分有效保障；

5.数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务；

6.遵守中国法律、行政法规、部门规章情况；

7.国家网信部门认为需要评估的其他事项。

提示：数据处理者在申报数据出境安全评估前，应当开展数据出境风险自评估。自评估重点与数据出境安全评估略有不同。在申报时，应提供：（一）申报书；（二）数据出境风险自评估报告；（三）数据处理者与境外接收方拟订立的法律文件；（四）安全评估工作需要的其他材料。

三、数据出境合同中，有关安全保护责任义务的内容

1.数据出境的目的、方式和数据范围，境外接收方处理数据的用途、方式等；

2.数据在境外保存地点、期限，以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施；

3.对于境外接收方将出境数据再转移给其他组织、个人的约束性要求；

4.境外接收方在实际控制权或者经营范围发生实质性变化，或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时，应当采取的安全措施；

5.违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式；

6.出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时，妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。

提示：国家互联网信息办公室颁布了《个人信息出境标准合同规定（征求意见稿）》，可同步参考。

四、数据出境的具体流程

图片17.png

根据《办法》规定，属于应当申报情形的，数据处理者应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估，在《办法》施行前已经开展的数据出境活动，不符合《办法》规定的，应当在《办法》施行之日起6个月内完成整改。通过数据出境安全评估的结果有效期为2年，自评估结果出具之日起计算。有效期届满，需要继续开展数据出境活动的，数据处理者应当在有效期届满60个工作日前重新申报评估。

已经通过评估的数据出境活动如被国家网信部门发现在实际处理过程中不再符合数据出境安全管理要求的，国家网信部门将书面通知数据处理者终止数据出境活动。数据处理者需要继续开展数据出境活动的，应当按照要求整改，整改完成后重新申报评估。

二合一码.jpg