【深度解读】数据出境安全评估申报指南

    2022年8月31日晚（宛若上个月又宛若昨日），中央网信办开启数据处境“卷王”之路，发布《数据出境安全评估申报指南》，终于，另一只靴子，落了地，让所有可能涉及个人信息等数据出境的企业、组织、个人有法可依，现就本指南做解读，抛砖引玉（文末有全文）：

    一、适用范围

    解读：基本来说，所有和境外交互的，默认是数据出境，只要涉及个人信息的，申报是免死金牌，累计计数，可去重，也可不去重，其中问题自行品味。

        1、所有境内收集、产生的数据在境外使用、存储、传输等，均判定为“数据出境行为”

        2、涉及重要数据、关键基础设施和百万级别个人信息、累计提供10W个人信息或1W个人敏感信息，均需提交申报。

二、申报方式

        1、通过省级网信办（5个工作日）到国家网信办（7个工作日），有异议可申请复评（十五个工作日）

        2、所需材料，《评估报告》和接收方《相关合同》比较费劲，其他内容都比较简单。

三、自评估报告的编写

        1、数据处理者情况：容易被质疑和挑战的内容有（境外投资情况）、（安全组织架构）、（业务和数据描述）。

        2、业务系统情况：除基本情况外，安全架构、安全能力、安全义务保障、安全技术实现、等级保护（需针对出境外业务专门申请）需要声明。

        3、数据情况：深度描述，既然是数据出境评估，肯定是重点检查、监察对象，不要有侥幸心理，就高不就低、就严不就松，数据维度、目的、业务必要性、数据敏感程度分析，客观真实即可。

        4、安全整体描述：安全管理能力（要介绍责任人、责任人的能力、资质，其余材料做过等保、ISO27001、ISO27701、ISO27018等即可复用材料）、安全技术（数据全生命周期为架构进行描述），证明材料（以数据安全为主，评估报告、认证证书、审计报告、等保材料等）。

        5、接收方情况：基本和处理者情况类似，唯一需要注意的是接收方所在国家、地区的法律情况和安全现状。

        6、法务条款：法无禁止即可为or法无允许不可为的博弈，要把能提前预知的风险、义务、责任、甚至补救措施、应急流程提前界定，我国有句话：做不做得好是能力问题，做不做是态度问题。

总结-风险评估的要点：

        1、行为必要性、正当性、合法性

        2、数据描述

        3、风险评估和管理

        4、能力描述

        5、法务条款

解读思维导图：

公众号回复：数据出境，即可获得《全文原文》和《解读思维导图》下载链接。