《数据出境安全评估申报指南》要点总结｜MHP君悦评论

2022年9月1日《数据出境安全评估办法》（以下简称“《评估办法》”）生效前，国家互联网信息办公室（以下简称“国家网信办”）在2022年8月31日公布了《数据出境安全评估申报指南（第一版）》（以下简称“《申报指南》”），并于当日生效。

《申报指南》在《评估办法》的基础上，对数据出境安全评估的范围、申报的方式、流程及材料等内容作出了更细化的规定，以便相关数据处理者规范、有序地完成数据出境申报评估工作。

《申报指南》与《评估办法》在数据出境安全评估的适用范围的规定上严格一致，主要规制重要数据出境、关键信息基础设施运营者和大量个人信息处理者处理的个人信息出境、累计大量个人信息和敏感个人信息出境的情形。

需要指出的是，《评估办法》对“重要数据”的概念进行了定义，但对“重要数据”的分类和识别未进行规定。与“重要数据”识别有关的国家推荐标准《信息安全技术 重要数据识别指南》（征求意见稿）给出了识别“重要数据”的基本原则、考虑因素和描述格式，未给出“重要数据”的分类。《网络数据安全管理条例》（征求意见稿）和《江苏省数据出境安全评估申报工作指南（第一版）》都对“重要数据”的类别进行了列举，文件将“重要数据”分为7类，主要包括政务数据、基因数据、国防科研数据、国家经济运行数据、重点行业和领域安全生产、运行的数据等。《信息安全技术 数据出境安全评估指南》附录A则对重要数据的识别作出了明确的规定。

《申报指南》细化列举了在《评估办法》中没有规定的数据出境行为的情形，数据出境行为具体包括以下情形：

《信息安全技术 数据出境安全评估指南》（征求意见稿）则对“数据出境”的情形作出了更为详尽的规定：

相较于《评估办法》，《申报指南》在一些申报环节中作出了更细致的规定，如下：

（1）申报方式为送达书面申报材料并以附带材料电子版（通过光盘方式提交）；

（2）相较于国家网信办受理的流程，申报材料未获得省网信办的完备性查验，数据处理者在这个阶段没有补充和更正申报材料的机会；

（3）申报工作需要57个工作日，同时存在时间延长的情形，即经过省网信办完备性查验需要5个工作日，省网信办向国家网信办完成材料申报需要7个工作日，国家网信办实质审查需要45个工作日。对于情况复杂或需要补充、更正申报材料的，时间会相应延长。

（4）流程图如下：

《申报指南》规定了数据出境安全评估需要提交的具体申报材料，如下：

(1) 统一社会信用代码证件影印件；

(2) 法定代表人身份证件影印件；

(3) 经办人身份证件影印件；

(4) 经办人授权委托书（《申报指南》附件2提供模板）；

(5) 数据出境安全评估申报书，其中包括承诺书和数据出境安全评估申报表（《申报指南》附件3提供模板与填写说明）；

(6) 与境外接收方拟订立的数据出境相关合同或其他具有相关法律效力的文件影印件（统称为“数据出境合同”），数据出境合同须以中文版本为准；

(7) 数据出境风险自评估报告（《申报指南》附件4提供模板）；

(8)其他相关证明材料。

（1）自评估活动需要于本次数据出境安全评估申报前3个月内完成；

（2）如果有第三方机构参与自评估，数据处理者须在自评估报告中说明第三方机构的基本情况及参与评估的情况，并在相关内容页上加盖第三方机构公章；

（3）自评估报告模板的内容分为四方面：自评估工作简述、出境活动的整体情况、拟出境活动的风险评估情况和出境活动风险自评估结论。

 本文作者 

王子怡  律师助理

上海市君悦律师事务所

业务专长：数据安全

数据安全相关文章推荐

MHP君悦评论｜数据安全管理认证落地实施