文字 | 赵海博
排版 | JAM
图片 | 来自网络
《个人信息保护法》规定了个人信息出境的以下几条合规路径:通过国家网信部门组织的安全评估、经专业机构进行个人信息保护认证、按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务、以及法律、行政法规或者国家网信部门规定的其他条件。《数据出境安全评估办法》和《数据出境安全申报指南(第一版)》规定,任何数据处理者向境外提供重要数据,都应当通过国家网信部门组织的安全评估。《数据安全法》规定,应对境外司法、执法机构关于提供数据的请求,必须经过中国主管机关批准,方可向境外司法、执法机构提供存储于中国境内的数据。
2022年8月31日,为了指导和帮助数据处理者规范、有序申报数据出境安全评估,国家互联网信息办公室编制了《数据出境安全评估申报指南(第一版)》,对数据出境安全评估申报方式、申报流程、申报材料等具体要求作出了说明。此后,北京、上海、浙江、天津等11个地区网信办陆续开通了数据出境安全评估通道(如下图所示)。
对于申报方式、流程、材料的详细要求须参见《数据出境安全评估申报指南(第一版)》以及《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《数据出境安全评估办法》等法律法规。此外,海南省、江苏省还制定了《海南省数据出境安全评估申报工作指引(第一版)》《江苏省数据出境安全评估申报工作指引(第一版)》,以更好地指导和帮助数据处理者规范、有序申报数据出境安全评估,保障数据要素安全跨境流动。
《数据出境安全评估申报指南(第一版)》说明了需要申报数据出境安全评估情形、申报方式及流程、申报所需要的的材料、申报咨询途径,并提供了相关文件模板。下文对指南中部分要点进行说明。
《数据安全评估申报指南(第一版)》框架
一、数据出境安全评估适用情形
满足以下条件的数据处理者应当申请数据出境安全评估:
❖
1. 关键信息基础设施运营者向境外提供个人信息(无论出境数量多少)
❖
2. 处理个人信息达到一百万人的个人信息处理者向境外提供个人信息(无论出境数量多少)
❖
3. 自上年1月1日起累计向境外提供10万人个人信息的数据处理者向境外提供个人信息(需要动态监测出境量)
❖
4. 自上年1月1日起累计向境外提供1万人敏感个人信息的数据处理者向境外提供个人信息(需要动态监测出境量)
❖
5. 任何数据处理者向境外提供重要数据。
二、数据出境安全评估流程
❖
1. 内部准备(数据出境风险自评估,与境外接收方订立法律文件,明确约定数据安全保护责任义务);
❖
2. 向所在地省级网信部门申报评估,省级网信办主要负责完备性审查以及颗粒度较细的答疑解惑;
❖
3. 国家网信部门评估;
❖
4. 若企业没有通过国家网信部门评估,可申请复评;
❖
5. 若没有通过复评,可经过整改后,申请重新评估。
三、评估材料
江苏省和海南省制定的指引文件在《指南》的基础上,增加了对文件中相关用语的解释,并规范细化了申报流程和步骤,将其划分为判断是否符合申报情形、开展数据出境风险自评估、提交申报材料、严查申报材料、反馈受理情况、通知评估结果等步骤(两指引文件表达略有差异)。具体流程可参考江苏省数据出境安全评估申报流程图(如下)。
江苏省数据出境安全评估申报流程图
END
参考文献
一文全览:数据出境申报指南六大实操要点(附跨境标准库)|iLaw:
全国以及各省份网信办官网
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...