实务问答 | 关于数据出境安全评估申报 你想知道的都在这里

自《数据出境安全评估办法》（简称“《评估办法》”）于2022年9月正式施行以来，各地网部门积极落实数据出境安全评估工作。根据近期各地网信部门的通报，上海网信办截止1月底接收正式申报材料67件，其中通过完备性查验并报送国家网信办35件；浙江网信办截止2月底接收正式申报材料69份，其中通过完备性查验并报送国家网信办32件。主要涉及零售、汽车、电商、金融、物流等多个领域。

《评估办法》设立了为期6个月的整改时限，通过半年的过渡以尽快完成安全评估，避免重要的跨境业务被打断。如今整改期已满，未依法开展申报评估工作的组织将面临监管处罚风险。作为数据出境安全评估的第一站，各省级网信部门在实践对接中发现仍有不少企业就安全评估申报情形、业务是否涉及数据出境及如何申报操作等存在诸多疑问。

因此，本文将基于《评估办法》及《数据出境安全评估申报指南（第一版）》（简称“《指南》”）的相关要求，并结合各地网信部门陆续公布的实务问答，以及各安全研究机构、律师事务所等第三方机构平台的解读，总结梳理数据出境安全评估的多种情形，就申报过程中企业现实面临的问题进行解答，为企业顺利通过出境安全评估提供一定参考。

数据处理者在哪些情形下需要申报数据出境安全评估?

《评估办法》指出“重要数据”是指“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。”

《关键信息基础设施安全保护条例》中指出，“关键信息基础设施”指的是公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域。

●注意：

数据出境并非物理上跨越国家边境，而是从一国司法管辖区域转移到另一国司法管辖区域。如果，数据接收方在香港、澳门、台湾地区，也构成数据出境。即便在我国境内，如数据接收方在外国驻华使领馆，也属于数据出境。

企业未在中国境内注册，但是在境内开展业务或提供产品、服务的，是否属于境内运营？

根据国家标准委发布的《信息安全技术 数据出境安全评估指南（征求意见稿）》规定，未在中华人民共和国境内注册的网络运营者，但在中华人民共和国境内开展业务，或向中华人民共和境内提供产品或服务的，属于境内运营。

企业运营的App仅向境外提供服务，不涉及收集境内的数据，是否属于境内运营？

根据国家标准委发布的《信息安全技术 数据出境安全评估指南（征求意见稿）》规定，中华人民共和国境内的网络运营者仅向境外机构、组织或个人开展业务、提供商品或服务，且不涉及境内公民个人信息和重要数据的，不视为境内运营。

需要哪些申报材料？

具体提供材料及要求详见《申报指南（第一版）》附件1要求，需提交书面材料以及通过光盘方式刻录的电子版文件。经办人授权委托书、承诺书、数据出境安全评估申报表、数据出境风险自评估报告等都应提供原件。

统一社会信用代码、法定代表人身份证件、经办人身份证件、与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等可提供影印件并加盖公章，影印件应确保清晰、无遮挡。

经办人是否有要求？

经办人必须为数据处理者正式员工，并提供准确有效的联系方式。

如何准备经办人授权委托书、承诺书？

应严格按照《申报指南（第一版）》模板拟写经办人授权委托书、承诺书，并在对应位置加盖公章、签字、注明日期，其中签字应确保手写笔迹。

是否有指定第三方机构可以协助数据处理者开展数据出境风险自评估的咨询、评估等相关工作？

目前各地网信办未指定任何第三方机构开展相关咨询、评估数据处理者数据出境风险自评估等工作。

数据出境安全评估申报表的填写原则是什么？

按照应填尽填、真实完整原则，同一表格项如存在并列内容均需填写。《申报指南（第一版）》填表说明提及的表格项应按说明要求进行填写，例如08项数据链路提及填写要素均需涵盖，需说明数据出境的链路，如链路提供商、链路数量与带宽、境内外落地数据中心名称及机房物理位置、IP地址等。13项需正确引用页码并对相关内容进行高亮标注等。

●注意：

申报表中境外接收方情况与法律文件需完全一致，申报表中法律条款所在页码需与法律文件完全一致。申报表中涉及无法填写的内容，需要形成解释说明材料并加盖数据处理者公章。

法律文件的填写要求是什么？

法律文件形式无限制，数据处理者可结合实际提交合同、内部制度等法律文件。需特别注意，法律文件中涉及数据出境安全评估申报表13项引用内容的，必须按要求作高亮、线框等显著标识。此外，法律文件应明确有效期，自生效起不少于一个评估周期（两年），法律文件若仅有非中文版本须同步提交准确的中文译本。

通过数据出境安全评估后，数据处理者开展出境活动前实际签署的法律文件应与此前申报开展数据出境活动实际情形一致。

数据处理者可以自行变更申报材料模板吗？

不能。数据处理者应严格参照《申报指南（第一版）》各材料模板填写，请勿自行增删修改模板。

自评估报告需要注意哪些问题？

自评估报告需要加盖公章，自评估报告落款时间应为申报之日前3个月内。

数据处理者如何申报数据出境安全评估？

目前数据出境安全评估工作落实属地申报原则，根据所在地向当地网信办提交申报材料。

网信部门完备性查验需要多久？

各地网信办在收到申报材料后，在5个工作日内完成申报材料的完备性查验。通过完备性查验的，网信办将申报材料上报国家网信办；未通过完备性查验的，数据处理者将收到申报退回通知。

完备性查验阶段，数据处理者是否会收到书面通知？

若申报材料齐全，则会报送国家网信部门，并书面通知数据处理者。若出现申报材料不齐全等情况，各地网信办部门会向数据处理者出具书面通知，并一次性告知需要补充的材料。

若申报材料被退回，重新提交申报的次数是否有限制?

数据处理者如被告知补充或者更正申报材料，应当及时按照要求补充或者更正材料。无正当理由不补充或者更正申报材料的,安全评估将会终止。

通过安全评估后是否还有其他持续性的审查？

首先，安全评估的有效期为自评估结果出具之日起2年，到期后，企业应重新申报评估，其次，当数据出境的目的、方式、种类等发生变化后，企业也要重新申报评估。此外，企业通过安全评估后，国家网信部门仍旧会对企业进行动态监督，一旦发现企业在实际数据出境活动中不再符合数据出境安全管理要求的，会通知企业终止数据出境活动。

数据安全是国家安全的重要方面，也是促进数字经济健康发展、提升国家治理能力的重要议题。因此，对于涉及数据出境的企业而言，应基于相关法律法规，及时完善企业自身的数据合规体系建设。数据出境安全评估既是对企业自身数据出境的安全与合规上的要求，也为企业提供了一个审视自身数据合规差距和问题的机会。

※ 部分问答参考汇总于网信上海、网信浙江、赛博研究院、律商视点。

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。