咨询研究
深圳市互联网信息办公室公布数据跨境政策咨询电话和工作指kaiyun官方入口引
为常态化做好国家数据跨境政策宣传工作,促进数据依法有序流动,深圳市互联网信息办公室设立了数据跨境政策咨询服务电话,会同网络安全应急技术国家工程研究中心编制了《深圳市数据出境安全评估申报工作指引》《深圳市数据出境风险自评估指引》,以更好地指导和帮助数据处理者规范开展数据出境活动。
为指导和帮助数据处理者规范、有序申报数据出境安全评估,根据《数据出境安全评估办法》《促进和规范数据跨境流动规定》《数据出境安全评估申报指南(第二版)》,制定本指引。
个人信息,是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
敏感个人信息,是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。
数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
数据处理者,是指在数据处理活动中自主决定处理目的和处理方式的个人和组织。
2.数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;
3.符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他数据处理活动。
本指引适用申报主体为注册地在深圳市的开展数据处理活动的组织,或在深圳市开展数据处理活动的个人。
数据处理者向境外提供数据,有下列情形之一的,应当参照本指引,通过广东省互联网信息办公室(以下简称省网信办)向国家互联网信息办公室(以下简称国家网信办)申报数据出境安全评估:
(二)关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。
属于《促进和规范数据跨境流动规定》第三条、第四条、第五条、第六条规定情形的,从其规定;适用《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》规定情形的,从其规定。
数据处理者申报数据出境安全评估,应当通过数据出境申报系统提交申报材料,系统网址为。关键信息基础设施运营者或者其他不适合通过数据出境申报系统申报数据出境安全评估的,采用线下方式通过省网信办向国家网信办申报数据出境安全评估,申报方式为送达书面申报材料并附带材料电子版,书面申报材料需装订成册。
(一)判断是否符合申报情形。数据处理者全面梳理所处理的数据,判断是否符合需要申报数据出境安全评估的情形。
(二)开展数据出境风险自评估。数据处理者在申报数据出境安全评估前应当自行或委托第三方开展数据出境风险自评估,根据自评估情况进行整改。重点评估以下事项:
1.数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
2.出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
3.境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
4.数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
5.与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称“法律文件”)是否充分约定了数据安全保护责任义务;
6.与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件,至少包括以下内容:
(1)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;
(2)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;
(4)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施;
(5)违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;
(6)出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。
7.数据出境风险自评估报告(需盖章,落款时间不得早于申报之日前3个月,模板见附件4)
(四)提交申报材料。数据处理者通过数据出境申报系统提交申报材料,系统网址为。关键信息基础设施运营者或者其他不适合通过数据出境申报系统申报数据出境安全评估的,采用线下方式通过省网信办向国家网信办申报数据出境安全评估,申报方式为送达书面申报材料并附带材料电子版(可光盘刻录),书面申报材料需装订成册。
(五)查验申报材料。省网信办在数据处理者提交申报材料之日起5个工作日内完成申报材料完备性查验,并向数据处理者告知查验结果。通过完备性查验的,省网信办将申报材料提请国家网信办受理;未通过完备性查验的,省网信办向数据处理者告知未通过完备性查验原因。
(六)反馈受理情况。国家网信办将在收到申报材料之日起7个工作日内,确定是否受理并书面通知数据处理者。予以受理的,进入安全评估阶段。
(七)补充或更正材料。在安全评估阶段,数据处理者如被告知需要补充或者更正申报材料,应当按照告知要求及时补充或者更正材料。无正当理由不补充或者更正申报材料的,国家网信办可以终止安全评估。情况复杂或者需要补充、更正材料的,国家网信办可以适当延长评估时间,并告知数据处理者预计延长的时间。
(八)接收评估结果。评估完成后,国家网信办向数据处理者出具评估结果通知书。数据处理者应当按照数据出境安全管理相关法律法规和评估结果通知书的有关要求,规范相关数据出境活动。数据处理者对评估结果有异议的,可以在收到评估结果通知书15个工作日内向国家网信办申请复评,复评结果为最终结论。
在数据出境安全评估的结果有效期内出现以下情形之一的,数据处理者应当重新申报评估:
(一)向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的;
(二)境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的;
通过数据出境安全评估的结果有效期为3年,自评估结果出具之日起计算。有效期届满,需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的,数据处理者可以在有效期届满前60个工作日内通过省网信办向国家网信办提出延长评估结果有效期申请。经国家网信办批准,可以延长评估结果有效期3年。
1.数据处理者对所提交申报材料的真实性负责,提交虚假材料的,按照评估不通过处理,并依法追究相应法律责任。
2.数据处理者向境外提供个人信息的,应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。
3.数据处理者向境外提供数据的,应当遵守法律、法规的规定,履行数据安全保护义务,采取技术措施和其他必要措施,保障数据出境安全。发生或者可能发生数据安全事件的,应当采取补救措施,及时向省级以上网信部门和其他有关主管部门报告。
4.深圳市互联网信息办公室依法加强对数据处理者数据出境活动的指导监督,健全完善数据出境安全评估制度,优化评估流程;强化事前事中事后全链条全领域监管,发现数据出境活动存在较大风险或者发生数据安全事件的,要求数据处理者进行整改,消除隐患;对拒不改正或者造成严重后果的,依法追究法律责任。
为指导和帮助数据处理者规范开展数据出境活动,促进数据出境安全、有序流动,根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《促进和规范数据跨境流动规定》等法律法规,制定本指引。
数据处理者向境外提供数据,可参照本指引开展数据出境风险自评估工作,以及个人信息保护影响评估、数据安全风险评估、个人信息保护合规审计等涉及数据出境场景的工作。
出境,是指由中国内地向其他国家或者地区,由中国内地向香港特别行政区、澳门特别行政区,由中国大陆向台湾地区。
2.数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;
3.符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他数据处理活动。
个人信息,是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。
数据处理者,是指在数据处理活动中自主决定处理目的和处理方式的个人和组织。
数据出境风险自评估是数据处理者开展数据出境管理工作的必要基础和依据,数据处理者应充分运用自评估结果,确保数据出境管理的资源、技术保障能力与评估所识别的风险相匹配,将风险控制在可接受的水平,最大限度地保障出境数据的安全。
数据处理者开展自评估工作应当符合法律、法规和强制性国家标准的规定,并对其数据处理活动负责。
2.客观性原则。数据处理者应以客观公正的态度收集有关数据和资料,以充分完整的事实为依据,力求全面准确地反映其存在或可能存在的数据出境风险。
3.匹配性原则。数据出境风险自评估应当与国家数据分类分级保护制度、重要数据目录管理工作相匹配。
4.有效性原则。适用数据出境安全评估要求的自评估工作应当在申报前3个月内完成,其他涉及数据出境场景的评估工作应当在法律法规要求的期限内完成。
5.持续性原则。数据处理者应当以自评估结果为基础,制定、完善数据出境管理措施,针对自评估识别的高风险或较高风险情形,应当采取强化措施,管理和降低风险,并持续跟踪执行情况。
数据处理者可以自行开展数据出境风险自评估工作,也可以委托第三方机构协助开展。
数据处理者开展数据出境风险自评估工作,主要包括自评估准备、方案落实和报告编制三个阶段。
数据处理者应按照国家数据出境安全管理相关法律法规、行业主管部门和国家标准的要求,并结合自身的实际情况,充分做好自评估的准备工作,至少包括以下工作:
1.成立协调机制组。数据处理者应明确数据安全负责人,全面负责数据出境风险自评估工作,指定数据出境管理牵头部门,配备数据出境安全管理的相关资源。数据出境管理牵头部门联合业务、法务、信息化等部门,组建协调机制组。协调机制组组织协调自评估整体工作,指导相关业务线、部门、分支机构按照自评估方案承担其自评估职责,确保自评估的客观性与独立性。
2.成立自评估工作组。数据处理者应选择具备相关专业能力的评估人员组成自评估工作组,负责准备自评估工具和文档、开展风险自评估、分析数据出境风险情况、编制自评估报告等具体自评估工作的执行,并定期向协调机制组汇报项目进展。
3.明确自评估方案。数据处理者应在开展自评估工作前,明确自评估方法、厘清自评估场景、编制自评估内容和相关调研清单等,形成自评估方案。初步分析数据出境活动涉及的主体、业务、系统平台、出境数据等,确定本次自评估的范围。
数据处理者主要从信息收集、风险分析、改进措施和全面研判等四个方面开展自评估方案的落实工作。
自评估工作组通过资料查验、人员访谈、系统演示、技术测试等方式,结合调研清单开展信息收集工作,厘清和分析数据处理者基本情况、拟出境数据情况、数据处理者数据安全保障能力情况、境外接收方情况、法律文件约定数据安全保护责任义务的情况等,形成数据出境信息收集报告。重点收集识别以下事项:
(1)识别数据处理者的基本情况。调查了解股权结构、实际控制人、境内外投资情况、组织架构和数据安全管理机构、整体业务与数据资产等信息。
(2)识别拟出境数据情况。调查了解数据出境涉及业务、数据资产;数据出境及境外接收方处理数据的目的、范围、kaiyun官方入口方式,及其合法性、正当性、必要性;按照申报业务场景梳理对应的出境数据项情况,同一场景下的数据项需去重;拟出境数据在境内存储的系统平台、数据中心(包含云服务)等情况,数据出境链路相关情况,计划出境后存储的系统平台、数据中心等;数据出境后向境外其他接收方提供的情况;涉及个人信息的,按照自然人(去重)统计当年的出境数量,预估未来3年的出境数量。
(3)识别数据处理者数据安全保障能力情况。调查了解数据处理者管理组织体系和制度建设情况,全流程管理、分类分级、应急处置、风险评估、个人信息权益保护等制度及落实情况,其中涉及个人信息出境的,需获得告知义务和取得个人的单独同意等佐证材料;数据收集、存储kaiyun官方入口、使用、加工、传输、提供、公开、删除等全流程所采取的安全技术措施等;数据安全保障措施有效性证明;遵守数据和网络安全相关法律法规的情况,其中涉及行政处罚和监管整改的,需获得证明整改完成的相关佐证材料。
(4)识别境外接收方情况。调查了解境外接收方基本情况,处理数据的用途、方式,履行责任义务的管理和技术措施、能力等。
(5)识别法律文件约定数据安全保护责任义务的情况。调查了解数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化,以及发生其他不可抗力情形,导致难以保障数据安全时,应当采取的安全措施;违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。
自评估工作组通过数据出境活动的合法、正当、必要性,出境数据的规模、范围、种类、敏感程度,数据出境中和出境后可能存在的安全风险,境外接收方数据保护能力有效性、法律文件约定责任义务的充分性等方面研判数据出境风险。重点分析以下事项:
(1)业务合规性风险。数据处理者通过梳理业务流程,识别其是否与当前国家法律法规要求、行业主管部门规定和国家标准建议等存在差距。
(2)出境数据风险。数据处理者通过数据资产盘点,梳理出境数据的规模、范围、种类、敏感程度,识别出境数据中是否包含敏感个人信息或重要数据,是否存在不必要的出境数据等。
(3)数据安全管理风险。数据处理者通过人员访谈、查验安全管理制度,识别是否明确数据安全管理机构、设立数据安全负责人、建立数据安全管理制度体系、落实管理监督考核机制等。
(4)数据安全技术保障风险。数据处理者通过技术工具、渗透测试等手段检测数据安全保障防护措施有效性,识别应对数据被篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险的数据安全技术能力。
(5)境外接收方风险。数据处理者通过访谈境外接收方人员,调研相关管理制度,研判境外接收方的数据处理流程、数据安全保障能力、境外法律环境是否能够保障出境数据的安全。
(6)法律文件风险。数据处理者与境外接收方签订或拟签订的有关数据出境的法律文件是否充分约定出境数据储存情况、出境数据再转移要求、境外接收方变化应对措施、违反合同应对措施、出境数据权益保障等数据安全保护责任义务。
数据处理者针对已识别的安全隐患,从改进数据出境业务流程kaiyun官方入口、完善数据出境安全管理制度、建设技术防护体系、加强法律条款约束等方面一一提出相应的改进措施。主要包括以下事项:
(1)针对业务合规性风险。数据处理者应严格落实《网络安全法》、《数据安全法》、《个人信息保护法》关于数据出境安全管理的规定,对业务模式进行必要调整。
(2)针对出境数据风险。数据处理者应筛除不必要的数据出境字段,对敏感个人信息和重要数据采取脱敏、去标识等必要的技术手段,以降低出境数据可能对国家安全、公共利益、个人或者组织合法权益带来的风险。
(3)针对数据安全管理风险。数据处理者应建立或完善数据安全管理组织架构,设立数据安全负责人等关键岗位。健全数据处理活动全流程、数据分类分级、应急处置、个人信息权益保护等管理制度,并持续跟踪改进情况。
(4)针对数据安全技术保障相关风险。数据处理者应围绕数据的收集、存储、使用、加工、传输、提供、公开、删除等数据处理全流程,加强数据安全基础保障能力,采取身份鉴别、访问控制、权限管理、监测预警、数据防泄漏等技术手段对出境数据进行安全保护,建立数据安全技术保障机制,搭建数据出境风险防控体系。
(5)针对境外接收方相关风险。境外接收方应明确数据处理的全流程,采取与风险程度相匹配的保障措施,确保数据安全保护能力不低于我国法律和行政法规规定的标准。
(6)针对数据安全保护责任义务约束相关风险。数据处理者应当通过法律文件约束境外接收方,对于不符合要求的已签订法律文件,应与境外接收方协商修改法律文件约定条款或签署数据出境补充协议等,充分约定数据安全保护责任义务。
数据处理者针对已识别的风险采取的改进措施,进行有效性评价。从数据出境安全风险一旦发生,对国家安全、社会公共利益、其他组织或者个人的合法权益造成的危害程度进行分析,同时考虑风险发生可能性、出境数据敏感程度和重要性、安全措施有效性和管理制度完备性等因素,研判自评估结论。必要时可邀请行业领域和数据安全、法律、技术等方面专家对自评估结论进行评议。
数据处理者综合上述各阶段工作成果完成自评估报告。自评估报告应当包括自评估工作情况、出境活动整体情况、出境活动的风险自评估情况及结论等主要内容(数据出境风险自评估报告模板见附件1,本指引与数据出境风险自评估报告模板内容对比见附件2)。同时,数据处理者应当做好相关佐证材料的记录和保存工作。
2.深圳市数据出境风险自评估指引与数据出境风险自评估报告(模板)内容对比