全国首个获批数据出境安全评估案例落地北京

       为贯彻落实国家数据出境安全评估制度，促进北京市数据跨境安全、自由流动，北京市互联网信息办公室在国家互联网信息办公室的指导下，积极开展数据出境安全评估申报受理工作，以开通咨询热线、组织政策解读、推动试点案例为抓手，指导本市企事业单位按照规范路径开展评估申报，取得数据合规出境重要突破。

       自2022年9月1日《数据出境安全评估办法》实施以来，北京市互联网信息办公室率先开通全国首个地方申报受理咨询专线。截至目前，已解答咨询电话700余通，服务数据出境需求主体270余家，组织指导我市社交媒体、医疗、金融、汽车、民航等重点领域16家单位递交正式申报，10家单位申报材料通过完备性查验，2家单位通过数据出境安全评估。其中首都医科大学附属北京友谊医院与荷兰阿姆斯特丹大学医学中心合作研究项目成为全国首个数据合规出境案例，该项目的审批通过，标志着国家数据出境安全评估制度在北京市率先落地，为强化医疗健康数据出境安全管理，促进国际医疗研究合作提供了实践指引。近日，北京市申报的中国国际航空股份有限公司项目作为全国第二例也成功获批通过，为本市进一步指导支持更多企事业单位解决数据合规出境需求积累了经验、打通了路径，对提升本市数据安全合规管理水平、优化营商环境具有重要意义。

       后续，北京市互联网信息办公室将进一步加强数据出境安全评估的申报指导，积极推动属地企事业单位及时、规范、有序开展评估申报工作。同时，依据《数据出境安全评估办法》第二十条规定，提示本市已开展数据出境活动但尚不符合规定要求的数据处理者，应尽快组织整改，严格按照《数据出境安全评估申报指南（第一版）》模板规范要求（模板附后）准备评估申报材料，并及时向北京市互联网信息办公室报送。

申报受理咨询电话：

010-67676912（工作日上午9：30-11：30，下午14：00-17：00）

附件：

        1.经办人授权委托书（模板）

        2.数据出境安全评估申报书（模板）

        3.数据出境风险自评估报告（模板）

附件下载请登录网址或者扫描小程序码：

https://pan.baidu.com/s/1HctzLXPOC7JAWmSd45WpMQ?pwd=3onb              

提取码：3onb

                        北京市互联网信息办公室

                           2023年1月18日

附件1

经办人授权委托书

本人姓名（身份证件号码： ）系数据处理者名称的法定代表人，现授权我单位姓名（身份证件号码： ）为数据出境安全评估申报工作经办人。经办人代表我单位进行数据出境安全评估申报工作过程中的一切行为，包括所签署和上传的资料，我单位均予以承认，并将承担相应的法律责任。

授权委托期限：    年   月   日至    年  月   日

经办人无转委托权。

单位名称（盖章）：

法定代表人（签字）：

经办人（签字）：

                年   月   日

附件2

数据出境安全评估申报书（模板）

填写说明：

一、由数据处理者法定代表人或其授权的数据出境安全评估申报工作经办人填写；

二、有选择的地方请勾选左侧“o”符号，有横线的部分应当填写相关信息；

三、所涉及的用语，可参考《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》和《数据出境安全评估办法》等法律法规和部门规章；

四、由国家互联网信息办公室制定并负责解释。

一、承诺书

本单位郑重承诺：

一、申报出境数据的收集、使用符合中华人民共和国有关法律法规规定；

二、申报材料所有内容真实、完整、准确和有效；

三、为国家网信办组织实施的数据出境安全评估工作提供必要的配合和支持；

四、自评估工作为申报之日前3个月内完成，且至申报之日未发生重大变化。

本单位知晓并充分理解上述承诺内容，若承诺不实或者违背承诺，愿意承担相应法律责任。

法定代表人（签字）：           

单位（盖章）：           

年   月   日

二、数据出境安全评估申报表

1．申报书01项中的单位名称、性质、注册地、注册资金等怎么填写？

数据处理者应当对照统一社会信用代码证件中的机构名称、机构性质/类型栏目填写。单位注册地应具体到城市，如北京市、河北省石家庄市等。单位办公所在地应具体到门牌号，如北京市海淀区X路X号。表中注册资金均需明确币种和金额。

2. 申报书02、03、04项证件类型怎么填写？

可根据实际情况选择填写居民身份证、护照、台湾居民来往大陆通行证、港澳居民来往内地通行证等。

3. 申报书05项中数据出境业务描述怎么填写？

据实填写此次申报的数据出境业务，应与法律文件中涉及业务名称一致。

4．申报书06项中数据出境的目的怎么填写？

如开展业务合作、技术研究、经营管理等，需具体阐述。

5．申报书07项数据出境的方式怎么填写？

说明数据出境的方式，如公共互联网传输、专线传输等。

6．申报书08项数据出境链路怎么填写？

说明数据出境的链路，如链路提供商、链路数量与带宽、境内外落地数据中心名称及机房物理位置、IP地址等。

7．申报书09项拟出境数据情况怎么填写？

关于个人信息的敏感程度，可参照《信息安全技术个人信息安全规范》国家标准。

涉及行业/领域填写出境数据涉及的行业领域范围，如工业、电信、金融、交通、自然资源、卫生健康、能源、教育、科技、国防科工等。

8．申报书13项相关条款在法律文件中的页码怎么填写？

数据处理者填写对应法律文件条款所在的页码，并对相关条款作高亮、线框等显著标识。

9．申报书14项遵守中国法律、行政法规、部门规章情况怎么填写？

数据处理者简述近2年在业务经营活动中受到行政处罚和有关主管监管部门调查及整改情况，重点说明数据和网络安全方面相关情况。

附件3

数据出境风险自评估报告（模板）

数据处理者名称：    （盖章）   

年   月   日

说明：

（一）数据处理者申报数据出境安全评估时需提供自评估报告；

（二）数据处理者须对所提交的自评估报告及附件材料真实性负责；

（三）本报告所述自评估活动为本次申报前3个月内完成；

（四）如有第三方机构参与自评估，须在自评估报告中说明第三方的基本情况及参与评估的情况，并在相关内容页上加盖公章。

一、自评估工作简述

自评估工作开展情况，包括起止时间、组织情况、实施过程、实施方式等内容。

二、出境活动整体情况

详细说明数据处理者基本情况、数据出境涉及的业务和系统、出境数据情况、数据处理者安全保障能力情况、境外接收方情况、法律文件约定情况等。包括不限于：

（一）数据处理者基本情况

1.组织或者个人基本信息;

2.股权结构和实际控制人信息；

3.组织架构信息；

4.数据安全管理机构信息；

5.整体业务与数据情况；

6.境内外投资情况。

（二）数据出境涉及业务和信息系统情况

1.数据出境涉及业务的基本情况；

2.数据出境涉及业务的数据资产情况；

3.数据出境涉及业务的信息系统情况；

4.数据出境涉及的数据中心（包含云服务）情况；

5.数据出境链路相关情况。

（三）拟出境数据情况

1.说明数据出境及境外接收方处理数据的目的、范围、方式，及其合法性、正当性、必要性；

2.说明出境数据的规模、范围、种类、敏感程度；

3.拟出境数据在境内存储的系统平台、数据中心等情况，计划出境后存储的系统平台、数据中心等；

4.数据出境后向境外其他接收方提供的情况。

（四）数据处理者数据安全保障能力情况

1.数据安全管理能力，包括管理组织体系和制度建设情况，全流程管理、分类分级、应急处置、风险评估、个人信息权益保护等制度及落实情况；

2.数据安全技术能力，包括数据收集、存储、使用、加工、传输、提供、公开、删除等全流程所采取的安全技术措施等；

3.数据安全保障措施有效性证明，例如开展的数据安全风险评估、数据安全能力认证、数据安全检查测评、数据安全合规审计、网络安全等级保护测评等情况；

4.遵守数据和网络安全相关法律法规的情况。

（五）境外接收方情况

1.境外接收方基本情况；

2.境外接收方处理数据的用途、方式等；

3.境外接收方的数据安全保障能力；

4.境外接收方所在国家或地区的网络和数据安全法律法规情况；

5.境外接收方处理数据的全生命周期过程描述。

（六）法律文件约定数据安全保护责任义务的情况

1.数据出境的目的、方式和数据范围，境外接收方处理数据的用途、方式等；

2.数据在境外保存地点、期限，以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施；

3.对于境外接收方将出境数据再转移给其他组织、个人的约束性要求；

4.境外接收方在实际控制权或者经营范围发生实质性变化，或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时，应当采取的安全措施；

5.违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式；

6.出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时，妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。

（七）数据处理者认为需要说明的其他情况

三、拟出境活动的风险评估情况

就下列事项逐项说明风险评估情况，重点说明评估发现的问题和风险隐患，以及相应采取的整改措施及整改效果。

（一）数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；

（二）出境数据的规模、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；

（三）境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全；

（四）数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险，个人信息权益维护的渠道是否通畅等；

（五）与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等，是否充分约定了数据安全保护责任义务；

（六）其他可能影响数据出境安全的事项。

四、出境活动风险自评估结论

综合上述风险评估情况和相应整改情况，对拟申报的数据出境活动作出客观的风险自评估结论，充分说明得出自评估结论的理由和论据。

来源：网信北京微信公众号

免责声明：此文转载或综编于网络，由本公众号推荐分享，仅供学习，如有涉及版权等问题请及时联系我们。本文版权及解释权均属原作者所有，转载请注明原始出处。

相关资讯

欢迎一起聊聊网信那些事

共同探讨企业网信实践经验

解决企业网信建设最后一公里