為常態(tài)化做好國家數(shù)據(jù)跨境政策宣傳工作�,促進數(shù)據(jù)依法有序流動�,深圳市互聯(lián)網(wǎng)信息辦公室設(shè)立了數(shù)據(jù)跨境政策咨詢服務(wù)電話0755-83087201,會同網(wǎng)絡(luò)安全應(yīng)急技術(shù)國家工程研究中心編制了《深圳市數(shù)據(jù)出境安全評估申報工作指引》《深圳市數(shù)據(jù)出境風(fēng)險自評估指引》��,以更好地指導(dǎo)和幫助數(shù)據(jù)處理者規(guī)范開展數(shù)據(jù)出境活動��。
深圳市數(shù)據(jù)出境安全評估申報工作指引
(2024版)
為指導(dǎo)和幫助數(shù)據(jù)處理者規(guī)范�����、有序申報數(shù)據(jù)出境安全評估�����,根據(jù)《數(shù)據(jù)出境安全評估辦法》《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》《數(shù)據(jù)出境安全評估申報指南(第二版)》�,制定本指引����。
一、有關(guān)用語
本指引下列用語的含義:
(一)數(shù)據(jù)
數(shù)據(jù)��,是指任何以電子或者其他方式對信息的記錄���。
來源:《中華人民共和國數(shù)據(jù)安全法》第三條���。
(二)數(shù)據(jù)處理
數(shù)據(jù)處理�����,包括數(shù)據(jù)的收集�����、存儲��、使用���、加工、傳輸���、提供����、公開等�。
來源:《中華人民共和國數(shù)據(jù)安全法》第三條。
(三)個人信息
個人信息���,是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息����,不包括匿名化處理后的信息。
來源:《中華人民共和國個人信息保護法》第四條�����。
(四)敏感個人信息
敏感個人信息���,是一旦泄露或者非法使用,容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身����、財產(chǎn)安全受到危害的個人信息,包括生物識別�、宗教信仰、特定身份�、醫(yī)療健康、金融賬戶���、行蹤軌跡等信息�,以及不滿十四周歲未成年人的個人信息���。
來源:《中華人民共和國個人信息保護法》第二十八條�����。
(五)重要數(shù)據(jù)
重要數(shù)據(jù)��,是指一旦遭到篡改�、破壞、泄露或者非法獲取��、非法利用等��,可能危害國家安全�、經(jīng)濟運行、社會穩(wěn)定��、公共健康和安全等的數(shù)據(jù)�����。
來源:《數(shù)據(jù)出境安全評估辦法》第十九條��。
數(shù)據(jù)處理者應(yīng)當(dāng)按照相關(guān)規(guī)定識別�、申報重要數(shù)據(jù)。未被相關(guān)部門��、地區(qū)告知或者公開發(fā)布為重要數(shù)據(jù)的����,數(shù)據(jù)處理者不需要作為重要數(shù)據(jù)申報數(shù)據(jù)出境安全評估��。
來源:《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》第二條�����。
(六)數(shù)據(jù)處理者
數(shù)據(jù)處理者����,是指在數(shù)據(jù)處理活動中自主決定處理目的和處理方式的個人和組織���。
來源:《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》附則第七十三條。
(七)向境外提供數(shù)據(jù)
本指引所稱向境外提供數(shù)據(jù)主要指以下數(shù)據(jù)處理活動:
1.數(shù)據(jù)處理者將在境內(nèi)運營中收集和產(chǎn)生的數(shù)據(jù)傳輸至境外��;
2.數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲在境內(nèi)����,境外的機構(gòu)、組織或者個人可以查詢�、調(diào)取、下載�、導(dǎo)出��;
3.符合《個人信息保護法》第三條第二款情形����,在境外處理境內(nèi)自然人個人信息等其他數(shù)據(jù)處理活動����。
來源:《數(shù)據(jù)出境安全評估申報指南(第二版)》第(一)條。
二���、申報主體
本指引適用申報主體為注冊地在深圳市的開展數(shù)據(jù)處理活動的組織���,或在深圳市開展數(shù)據(jù)處理活動的個人。
三�、申報情形
數(shù)據(jù)處理者向境外提供數(shù)據(jù),有下列情形之一的�����,應(yīng)當(dāng)參照本指引�,通過廣東省互聯(lián)網(wǎng)信息辦公室(以下簡稱省網(wǎng)信辦)向國家互聯(lián)網(wǎng)信息辦公室(以下簡稱國家網(wǎng)信辦)申報數(shù)據(jù)出境安全評估:
(一)關(guān)鍵信息基礎(chǔ)設(shè)施運營者向境外提供個人信息或者重要數(shù)據(jù);
(二)關(guān)鍵信息基礎(chǔ)設(shè)施運營者以外的數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)��,或者自當(dāng)年1月1日起累計向境外提供100萬人以上個人信息(不含敏感個人信息)或者1萬人以上敏感個人信息��。
屬于《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》第三條、第四條����、第五條、第六條規(guī)定情形的��,從其規(guī)定��;適用《粵港澳大灣區(qū)(內(nèi)地�����、香港)個人信息跨境流動標(biāo)準(zhǔn)合同實施指引》規(guī)定情形的���,從其規(guī)定�����。
四、申報方式
數(shù)據(jù)處理者申報數(shù)據(jù)出境安全評估�,應(yīng)當(dāng)通過數(shù)據(jù)出境申報系統(tǒng)提交申報材料,系統(tǒng)網(wǎng)址為https://sjcj.cac.gov.cn���。關(guān)鍵信息基礎(chǔ)設(shè)施運營者或者其他不適合通過數(shù)據(jù)出境申報系統(tǒng)申報數(shù)據(jù)出境安全評估的����,采用線下方式通過省網(wǎng)信辦向國家網(wǎng)信辦申報數(shù)據(jù)出境安全評估,申報方式為送達書面申報材料并附帶材料電子版�,書面申報材料需裝訂成冊。
五��、申報流程
數(shù)據(jù)出境安全評估申報工作主要包括以下步驟:
(一)判斷是否符合申報情形��。數(shù)據(jù)處理者全面梳理所處理的數(shù)據(jù)�,判斷是否符合需要申報數(shù)據(jù)出境安全評估的情形。
(二)開展數(shù)據(jù)出境風(fēng)險自評估�。數(shù)據(jù)處理者在申報數(shù)據(jù)出境安全評估前應(yīng)當(dāng)自行或委托第三方開展數(shù)據(jù)出境風(fēng)險自評估,根據(jù)自評估情況進行整改���。重點評估以下事項:
1.數(shù)據(jù)出境和境外接收方處理數(shù)據(jù)的目的�、范圍����、方式等的合法性、正當(dāng)性��、必要性��;
2.出境數(shù)據(jù)的規(guī)模、范圍�����、種類�、敏感程度,數(shù)據(jù)出境可能對國家安全���、公共利益�、個人或者組織合法權(quán)益帶來的風(fēng)險��;
3.境外接收方承諾承擔(dān)的責(zé)任義務(wù)�,以及履行責(zé)任義務(wù)的管理和技術(shù)措施、能力等能否保障出境數(shù)據(jù)的安全�����;
4.數(shù)據(jù)出境中和出境后遭到篡改��、破壞�、泄露、丟失�、轉(zhuǎn)移或者被非法獲取�、非法利用等的風(fēng)險,個人信息權(quán)益維護的渠道是否通暢等;
5.與境外接收方擬訂立的數(shù)據(jù)出境相關(guān)合同或者其他具有法律效力的文件等(以下統(tǒng)稱“法律文件”)是否充分約定了數(shù)據(jù)安全保護責(zé)任義務(wù)�;
6.其他可能影響數(shù)據(jù)出境安全的事項。
(三)準(zhǔn)備申報材料�����。申報材料要求見附件1��,主要包括:
1.統(tǒng)一社會信用代碼證件影印件
2.法定代表人身份證件影印件
3.經(jīng)辦人身份證件影印件
4.經(jīng)辦人授權(quán)委托書(模板見附件2)
5.數(shù)據(jù)出境安全評估申報書(模板見附件3)
6.與境外接收方擬訂立的數(shù)據(jù)出境相關(guān)合同或者其他具有法律效力的文件���,至少包括以下內(nèi)容:
(1)數(shù)據(jù)出境的目的���、方式和數(shù)據(jù)范圍,境外接收方處理數(shù)據(jù)的用途�、方式等;
(2)數(shù)據(jù)在境外保存地點�、期限,以及達到保存期限����、完成約定目的或者法律文件終止后出境數(shù)據(jù)的處理措施;
(3)對于境外接收方將出境數(shù)據(jù)再轉(zhuǎn)移給其他組織���、個人的約束性要求�����;
(4)境外接收方在實際控制權(quán)或者經(jīng)營范圍發(fā)生實質(zhì)性變化����,或者所在國家、地區(qū)數(shù)據(jù)安全保護政策法規(guī)和網(wǎng)絡(luò)安全環(huán)境發(fā)生變化以及發(fā)生其他不可抗力情形導(dǎo)致難以保障數(shù)據(jù)安全時���,應(yīng)當(dāng)采取的安全措施����;
(5)違反法律文件約定的數(shù)據(jù)安全保護義務(wù)的補救措施����、違約責(zé)任和爭議解決方式;
(6)出境數(shù)據(jù)遭到篡改���、破壞�、泄露����、丟失、轉(zhuǎn)移或者被非法獲取�、非法利用等風(fēng)險時���,妥善開展應(yīng)急處置的要求和保障個人維護其個人信息權(quán)益的途徑和方式����。
7.數(shù)據(jù)出境風(fēng)險自評估報告(需蓋章,落款時間不得早于申報之日前3個月�,模板見附件4)
8.其他相關(guān)證明材料,主要包括申報書�����、自評估報告涉及的相關(guān)證明材料等���。
(四)提交申報材料����。數(shù)據(jù)處理者通過數(shù)據(jù)出境申報系統(tǒng)提交申報材料����,系統(tǒng)網(wǎng)址為https://sjcj.cac.gov.cn。關(guān)鍵信息基礎(chǔ)設(shè)施運營者或者其他不適合通過數(shù)據(jù)出境申報系統(tǒng)申報數(shù)據(jù)出境安全評估的����,采用線下方式通過省網(wǎng)信辦向國家網(wǎng)信辦申報數(shù)據(jù)出境安全評估����,申報方式為送達書面申報材料并附帶材料電子版(可光盤刻錄)�,書面申報材料需裝訂成冊。
(五)查驗申報材料���。省網(wǎng)信辦在數(shù)據(jù)處理者提交申報材料之日起5個工作日內(nèi)完成申報材料完備性查驗����,并向數(shù)據(jù)處理者告知查驗結(jié)果���。通過完備性查驗的�,省網(wǎng)信辦將申報材料提請國家網(wǎng)信辦受理����;未通過完備性查驗的,省網(wǎng)信辦向數(shù)據(jù)處理者告知未通過完備性查驗原因����。
(六)反饋受理情況。國家網(wǎng)信辦將在收到申報材料之日起7個工作日內(nèi)��,確定是否受理并書面通知數(shù)據(jù)處理者��。予以受理的,進入安全評估階段����。
(七)補充或更正材料。在安全評估階段�����,數(shù)據(jù)處理者如被告知需要補充或者更正申報材料�,應(yīng)當(dāng)按照告知要求及時補充或者更正材料����。無正當(dāng)理由不補充或者更正申報材料的,國家網(wǎng)信辦可以終止安全評估�����。情況復(fù)雜或者需要補充��、更正材料的��,國家網(wǎng)信辦可以適當(dāng)延長評估時間��,并告知數(shù)據(jù)處理者預(yù)計延長的時間�����。
(八)接收評估結(jié)果。評估完成后����,國家網(wǎng)信辦向數(shù)據(jù)處理者出具評估結(jié)果通知書。數(shù)據(jù)處理者應(yīng)當(dāng)按照數(shù)據(jù)出境安全管理相關(guān)法律法規(guī)和評估結(jié)果通知書的有關(guān)要求�����,規(guī)范相關(guān)數(shù)據(jù)出境活動���。數(shù)據(jù)處理者對評估結(jié)果有異議的���,可以在收到評估結(jié)果通知書15個工作日內(nèi)向國家網(wǎng)信辦申請復(fù)評,復(fù)評結(jié)果為最終結(jié)論�。
六、重新評估
在數(shù)據(jù)出境安全評估的結(jié)果有效期內(nèi)出現(xiàn)以下情形之一的�,數(shù)據(jù)處理者應(yīng)當(dāng)重新申報評估:
(一)向境外提供數(shù)據(jù)的目的、方式����、范圍、種類和境外接收方處理數(shù)據(jù)的用途�、方式發(fā)生變化影響出境數(shù)據(jù)安全的��,或者延長個人信息和重要數(shù)據(jù)境外保存期限的�;
(二)境外接收方所在國家或者地區(qū)數(shù)據(jù)安全保護政策法規(guī)和網(wǎng)絡(luò)安全環(huán)境發(fā)生變化以及發(fā)生其他不可抗力情形���、數(shù)據(jù)處理者或者境外接收方實際控制權(quán)發(fā)生變化���、數(shù)據(jù)處理者與境外接收方法律文件變更等影響出境數(shù)據(jù)安全的;
(三)出現(xiàn)影響出境數(shù)據(jù)安全的其他情形��。
通過數(shù)據(jù)出境安全評估的結(jié)果有效期為3年�����,自評估結(jié)果出具之日起計算��。有效期屆滿�����,需要繼續(xù)開展數(shù)據(jù)出境活動且未發(fā)生需要重新申報數(shù)據(jù)出境安全評估情形的�����,數(shù)據(jù)處理者可以在有效期屆滿前60個工作日內(nèi)通過省網(wǎng)信辦向國家網(wǎng)信辦提出延長評估結(jié)果有效期申請����。經(jīng)國家網(wǎng)信辦批準(zhǔn),可以延長評估結(jié)果有效期3年����。
七、咨詢���、舉報聯(lián)系方式
聯(lián)系電話:010-55627135
020-87100794
八�、注意事項
1.數(shù)據(jù)處理者對所提交申報材料的真實性負(fù)責(zé)�,提交虛假材料的,按照評估不通過處理�,并依法追究相應(yīng)法律責(zé)任。
2.數(shù)據(jù)處理者向境外提供個人信息的�,應(yīng)當(dāng)按照法律、行政法規(guī)的規(guī)定履行告知����、取得個人單獨同意、進行個人信息保護影響評估等義務(wù)�����。
3.數(shù)據(jù)處理者向境外提供數(shù)據(jù)的,應(yīng)當(dāng)遵守法律���、法規(guī)的規(guī)定����,履行數(shù)據(jù)安全保護義務(wù)���,采取技術(shù)措施和其他必要措施���,保障數(shù)據(jù)出境安全。發(fā)生或者可能發(fā)生數(shù)據(jù)安全事件的����,應(yīng)當(dāng)采取補救措施��,及時向省級以上網(wǎng)信部門和其他有關(guān)主管部門報告��。
4.深圳市互聯(lián)網(wǎng)信息辦公室依法加強對數(shù)據(jù)處理者數(shù)據(jù)出境活動的指導(dǎo)監(jiān)督��,健全完善數(shù)據(jù)出境安全評估制度�,優(yōu)化評估流程;強化事前事中事后全鏈條全領(lǐng)域監(jiān)管�����,發(fā)現(xiàn)數(shù)據(jù)出境活動存在較大風(fēng)險或者發(fā)生數(shù)據(jù)安全事件的,要求數(shù)據(jù)處理者進行整改�����,消除隱患����;對拒不改正或者造成嚴(yán)重后果的,依法追究法律責(zé)任����。
附件:1.數(shù)據(jù)出境安全評估申報材料要求
2.經(jīng)辦人授權(quán)委托書(模板)
3.數(shù)據(jù)出境安全評估申報書(模板)
4.數(shù)據(jù)出境風(fēng)險自評估報告(模板)
深圳市數(shù)據(jù)出境風(fēng)險自評估指引
(2024版)
為指導(dǎo)和幫助數(shù)據(jù)處理者規(guī)范開展數(shù)據(jù)出境活動,促進數(shù)據(jù)出境安全��、有序流動����,根據(jù)《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》等法律法規(guī),制定本指引����。
一、適用范圍
數(shù)據(jù)處理者向境外提供數(shù)據(jù)�,可參照本指引開展數(shù)據(jù)出境風(fēng)險自評估工作���,以及個人信息保護影響評估、數(shù)據(jù)安全風(fēng)險評估���、個人信息保護合規(guī)審計等涉及數(shù)據(jù)出境場景的工作�����。
二���、術(shù)語定義
(一)出境
出境,是指由中國內(nèi)地向其他國家或者地區(qū)�����,由中國內(nèi)地向香港特別行政區(qū)�、澳門特別行政區(qū),由中國大陸向臺灣地區(qū)�����。
參考:《中華人民共和國出境入境管理法》第八十九條����。
(二)數(shù)據(jù)
數(shù)據(jù),是指任何以電子或者其他方式對信息的記錄�����。
來源:《中華人民共和國數(shù)據(jù)安全法》第三條����。
(三)數(shù)據(jù)處理
數(shù)據(jù)處理,包括數(shù)據(jù)的收集�����、存儲����、使用、加工��、傳輸���、提供����、公開等���。
來源:《中華人民共和國數(shù)據(jù)安全法》第三條�����。
(四)數(shù)據(jù)出境行為
以下情形屬于數(shù)據(jù)出境行為:
1.數(shù)據(jù)處理者將在境內(nèi)運營中收集和產(chǎn)生的數(shù)據(jù)傳輸至境外����;
2.數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲在境內(nèi),境外的機構(gòu)����、組織或者個人可以查詢、調(diào)取���、下載����、導(dǎo)出�����;
3.符合《個人信息保護法》第三條第二款情形����,在境外處理境內(nèi)自然人個人信息等其他數(shù)據(jù)處理活動。
來源:《數(shù)據(jù)出境安全評估申報指南(第二版)》第(一)條�。
(五)個人信息
個人信息,是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息���,不包括匿名化處理后的信息��。
來源:《中華人民共和國個人信息保護法》第四條��。
(六)個人信息處理者
個人信息處理者��,是指在個人信息處理活動中自主決定處理目的��、處理方式的組織�、個人�����。
來源:《中華人民共和國個人信息保護法》第七十三條�。
(七)重要數(shù)據(jù)
重要數(shù)據(jù),是指一旦遭到篡改����、破壞、泄露或者非法獲取����、非法利用等�,可能危害國家安全����、經(jīng)濟運行、社會穩(wěn)定���、公共健康和安全等的數(shù)據(jù)�。
來源:《數(shù)據(jù)出境安全評估辦法》第十九條���。
(八)數(shù)據(jù)處理者
數(shù)據(jù)處理者���,是指在數(shù)據(jù)處理活動中自主決定處理目的和處理方式的個人和組織。
來源:《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》附則第七十三條���。
三�、自評估概述
(一)自評估目的
數(shù)據(jù)出境風(fēng)險自評估是數(shù)據(jù)處理者開展數(shù)據(jù)出境管理工作的必要基礎(chǔ)和依據(jù)���,數(shù)據(jù)處理者應(yīng)充分運用自評估結(jié)果���,確保數(shù)據(jù)出境管理的資源�����、技術(shù)保障能力與評估所識別的風(fēng)險相匹配,將風(fēng)險控制在可接受的水平���,最大限度地保障出境數(shù)據(jù)的安全���。
(二)自評估原則
數(shù)據(jù)處理者開展自評估工作應(yīng)當(dāng)符合法律、法規(guī)和強制性國家標(biāo)準(zhǔn)的規(guī)定��,并對其數(shù)據(jù)處理活動負(fù)責(zé)���。
1.全面性原則���。數(shù)據(jù)處理者應(yīng)從組織架構(gòu)、業(yè)務(wù)�、數(shù)據(jù)等方面梳理出境活動。
2.客觀性原則��。數(shù)據(jù)處理者應(yīng)以客觀公正的態(tài)度收集有關(guān)數(shù)據(jù)和資料��,以充分完整的事實為依據(jù)����,力求全面準(zhǔn)確地反映其存在或可能存在的數(shù)據(jù)出境風(fēng)險����。
3.匹配性原則�����。數(shù)據(jù)出境風(fēng)險自評估應(yīng)當(dāng)與國家數(shù)據(jù)分類分級保護制度���、重要數(shù)據(jù)目錄管理工作相匹配��。
4.有效性原則�。適用數(shù)據(jù)出境安全評估要求的自評估工作應(yīng)當(dāng)在申報前3個月內(nèi)完成�����,其他涉及數(shù)據(jù)出境場景的評估工作應(yīng)當(dāng)在法律法規(guī)要求的期限內(nèi)完成���。
5.持續(xù)性原則���。數(shù)據(jù)處理者應(yīng)當(dāng)以自評估結(jié)果為基礎(chǔ),制定、完善數(shù)據(jù)出境管理措施�����,針對自評估識別的高風(fēng)險或較高風(fēng)險情形�����,應(yīng)當(dāng)采取強化措施�����,管理和降低風(fēng)險����,并持續(xù)跟蹤執(zhí)行情況�����。
(三)自評估方式
數(shù)據(jù)處理者可以自行開展數(shù)據(jù)出境風(fēng)險自評估工作��,也可以委托第三方機構(gòu)協(xié)助開展�����。
四、自評估流程
數(shù)據(jù)處理者開展數(shù)據(jù)出境風(fēng)險自評估工作��,主要包括自評估準(zhǔn)備�����、方案落實和報告編制三個階段��。
(一)自評估準(zhǔn)備階段
數(shù)據(jù)處理者應(yīng)按照國家數(shù)據(jù)出境安全管理相關(guān)法律法規(guī)���、行業(yè)主管部門和國家標(biāo)準(zhǔn)的要求��,并結(jié)合自身的實際情況�,充分做好自評估的準(zhǔn)備工作���,至少包括以下工作:
1.成立協(xié)調(diào)機制組����。數(shù)據(jù)處理者應(yīng)明確數(shù)據(jù)安全負(fù)責(zé)人��,全面負(fù)責(zé)數(shù)據(jù)出境風(fēng)險自評估工作��,指定數(shù)據(jù)出境管理牽頭部門��,配備數(shù)據(jù)出境安全管理的相關(guān)資源。數(shù)據(jù)出境管理牽頭部門聯(lián)合業(yè)務(wù)����、法務(wù)、信息化等部門���,組建協(xié)調(diào)機制組�����。協(xié)調(diào)機制組組織協(xié)調(diào)自評估整體工作�,指導(dǎo)相關(guān)業(yè)務(wù)線���、部門、分支機構(gòu)按照自評估方案承擔(dān)其自評估職責(zé)�����,確保自評估的客觀性與獨立性�����。
2.成立自評估工作組���。數(shù)據(jù)處理者應(yīng)選擇具備相關(guān)專業(yè)能力的評估人員組成自評估工作組�����,負(fù)責(zé)準(zhǔn)備自評估工具和文檔����、開展風(fēng)險自評估、分析數(shù)據(jù)出境風(fēng)險情況���、編制自評估報告等具體自評估工作的執(zhí)行��,并定期向協(xié)調(diào)機制組匯報項目進展���。
3.明確自評估方案。數(shù)據(jù)處理者應(yīng)在開展自評估工作前���,明確自評估方法�����、厘清自評估場景����、編制自評估內(nèi)容和相關(guān)調(diào)研清單等,形成自評估方案�����。初步分析數(shù)據(jù)出境活動涉及的主體����、業(yè)務(wù)、系統(tǒng)平臺��、出境數(shù)據(jù)等����,確定本次自評估的范圍。
4.數(shù)據(jù)處理者認(rèn)為需要準(zhǔn)備的其他事項���。
(二)自評估方案落實
數(shù)據(jù)處理者主要從信息收集、風(fēng)險分析�����、改進措施和全面研判等四個方面開展自評估方案的落實工作����。
1.信息收集
自評估工作組通過資料查驗�����、人員訪談���、系統(tǒng)演示、技術(shù)測試等方式�����,結(jié)合調(diào)研清單開展信息收集工作�����,厘清和分析數(shù)據(jù)處理者基本情況���、擬出境數(shù)據(jù)情況���、數(shù)據(jù)處理者數(shù)據(jù)安全保障能力情況、境外接收方情況��、法律文件約定數(shù)據(jù)安全保護責(zé)任義務(wù)的情況等�,形成數(shù)據(jù)出境信息收集報告。重點收集識別以下事項:
(1)識別數(shù)據(jù)處理者的基本情況���。調(diào)查了解股權(quán)結(jié)構(gòu)�、實際控制人、境內(nèi)外投資情況���、組織架構(gòu)和數(shù)據(jù)安全管理機構(gòu)�����、整體業(yè)務(wù)與數(shù)據(jù)資產(chǎn)等信息��。
(2)識別擬出境數(shù)據(jù)情況��。調(diào)查了解數(shù)據(jù)出境涉及業(yè)務(wù)��、數(shù)據(jù)資產(chǎn)��;數(shù)據(jù)出境及境外接收方處理數(shù)據(jù)的目的�����、范圍、方式�,及其合法性、正當(dāng)性����、必要性��;按照申報業(yè)務(wù)場景梳理對應(yīng)的出境數(shù)據(jù)項情況���,同一場景下的數(shù)據(jù)項需去重;擬出境數(shù)據(jù)在境內(nèi)存儲的系統(tǒng)平臺���、數(shù)據(jù)中心(包含云服務(wù))等情況���,數(shù)據(jù)出境鏈路相關(guān)情況,計劃出境后存儲的系統(tǒng)平臺�����、數(shù)據(jù)中心等����;數(shù)據(jù)出境后向境外其他接收方提供的情況;涉及個人信息的���,按照自然人(去重)統(tǒng)計當(dāng)年的出境數(shù)量��,預(yù)估未來3年的出境數(shù)量��。
(3)識別數(shù)據(jù)處理者數(shù)據(jù)安全保障能力情況�����。調(diào)查了解數(shù)據(jù)處理者管理組織體系和制度建設(shè)情況���,全流程管理����、分類分級���、應(yīng)急處置�����、風(fēng)險評估���、個人信息權(quán)益保護等制度及落實情況,其中涉及個人信息出境的��,需獲得告知義務(wù)和取得個人的單獨同意等佐證材料�����;數(shù)據(jù)收集�、存儲、使用�����、加工�、傳輸、提供����、公開、刪除等全流程所采取的安全技術(shù)措施等�;數(shù)據(jù)安全保障措施有效性證明;遵守數(shù)據(jù)和網(wǎng)絡(luò)安全相關(guān)法律法規(guī)的情況�,其中涉及行政處罰和監(jiān)管整改的,需獲得證明整改完成的相關(guān)佐證材料�。
(4)識別境外接收方情況。調(diào)查了解境外接收方基本情況��,處理數(shù)據(jù)的用途��、方式���,履行責(zé)任義務(wù)的管理和技術(shù)措施���、能力等�����。
(5)識別法律文件約定數(shù)據(jù)安全保護責(zé)任義務(wù)的情況�。調(diào)查了解數(shù)據(jù)出境的目的�����、方式和數(shù)據(jù)范圍����,境外接收方處理數(shù)據(jù)的用途、方式等����;數(shù)據(jù)在境外保存地點、期限���,以及達到保存期限���、完成約定目的或者法律文件終止后出境數(shù)據(jù)的處理措施����;對于境外接收方將出境數(shù)據(jù)再轉(zhuǎn)移給其他組織�、個人的約束性要求�;境外接收方在實際控制權(quán)或者經(jīng)營范圍發(fā)生實質(zhì)性變化,或者所在國家�����、地區(qū)數(shù)據(jù)安全保護政策法規(guī)和網(wǎng)絡(luò)安全環(huán)境發(fā)生變化�����,以及發(fā)生其他不可抗力情形�����,導(dǎo)致難以保障數(shù)據(jù)安全時����,應(yīng)當(dāng)采取的安全措施;違反法律文件約定的數(shù)據(jù)安全保護義務(wù)的補救措施����、違約責(zé)任和爭議解決方式����;出境數(shù)據(jù)遭到篡改���、破壞���、泄露、丟失�、轉(zhuǎn)移或者被非法獲取、非法利用時��,妥善開展應(yīng)急處置的要求和保障個人維護其個人信息權(quán)益的途徑和方式�。
(6)數(shù)據(jù)處理者認(rèn)為需要收集的其他事項。
2.風(fēng)險分析
自評估工作組通過數(shù)據(jù)出境活動的合法���、正當(dāng)����、必要性�,出境數(shù)據(jù)的規(guī)模、范圍�、種類、敏感程度���,數(shù)據(jù)出境中和出境后可能存在的安全風(fēng)險��,境外接收方數(shù)據(jù)保護能力有效性���、法律文件約定責(zé)任義務(wù)的充分性等方面研判數(shù)據(jù)出境風(fēng)險�。重點分析以下事項:
(1)業(yè)務(wù)合規(guī)性風(fēng)險�。數(shù)據(jù)處理者通過梳理業(yè)務(wù)流程,識別其是否與當(dāng)前國家法律法規(guī)要求�、行業(yè)主管部門規(guī)定和國家標(biāo)準(zhǔn)建議等存在差距��。
(2)出境數(shù)據(jù)風(fēng)險���。數(shù)據(jù)處理者通過數(shù)據(jù)資產(chǎn)盤點�����,梳理出境數(shù)據(jù)的規(guī)模���、范圍、種類����、敏感程度�,識別出境數(shù)據(jù)中是否包含敏感個人信息或重要數(shù)據(jù)����,是否存在不必要的出境數(shù)據(jù)等。
(3)數(shù)據(jù)安全管理風(fēng)險�。數(shù)據(jù)處理者通過人員訪談、查驗安全管理制度��,識別是否明確數(shù)據(jù)安全管理機構(gòu)�、設(shè)立數(shù)據(jù)安全負(fù)責(zé)人、建立數(shù)據(jù)安全管理制度體系�、落實管理監(jiān)督考核機制等。
(4)數(shù)據(jù)安全技術(shù)保障風(fēng)險��。數(shù)據(jù)處理者通過技術(shù)工具��、滲透測試等手段檢測數(shù)據(jù)安全保障防護措施有效性�����,識別應(yīng)對數(shù)據(jù)被篡改����、破壞、泄露�����、丟失、轉(zhuǎn)移或者被非法獲取�、非法利用等風(fēng)險的數(shù)據(jù)安全技術(shù)能力。
(5)境外接收方風(fēng)險���。數(shù)據(jù)處理者通過訪談境外接收方人員���,調(diào)研相關(guān)管理制度,研判境外接收方的數(shù)據(jù)處理流程�、數(shù)據(jù)安全保障能力、境外法律環(huán)境是否能夠保障出境數(shù)據(jù)的安全�����。
(6)法律文件風(fēng)險��。數(shù)據(jù)處理者與境外接收方簽訂或擬簽訂的有關(guān)數(shù)據(jù)出境的法律文件是否充分約定出境數(shù)據(jù)儲存情況�����、出境數(shù)據(jù)再轉(zhuǎn)移要求�、境外接收方變化應(yīng)對措施�����、違反合同應(yīng)對措施、出境數(shù)據(jù)權(quán)益保障等數(shù)據(jù)安全保護責(zé)任義務(wù)�����。
(7)數(shù)據(jù)處理者認(rèn)為需要開展風(fēng)險分析的其他事項�。
3.改進措施
數(shù)據(jù)處理者針對已識別的安全隱患,從改進數(shù)據(jù)出境業(yè)務(wù)流程�����、完善數(shù)據(jù)出境安全管理制度��、建設(shè)技術(shù)防護體系��、加強法律條款約束等方面一一提出相應(yīng)的改進措施���。主要包括以下事項:
(1)針對業(yè)務(wù)合規(guī)性風(fēng)險��。數(shù)據(jù)處理者應(yīng)嚴(yán)格落實《網(wǎng)絡(luò)安全法》�、《數(shù)據(jù)安全法》���、《個人信息保護法》關(guān)于數(shù)據(jù)出境安全管理的規(guī)定�,對業(yè)務(wù)模式進行必要調(diào)整。
(2)針對出境數(shù)據(jù)風(fēng)險��。數(shù)據(jù)處理者應(yīng)篩除不必要的數(shù)據(jù)出境字段��,對敏感個人信息和重要數(shù)據(jù)采取脫敏�����、去標(biāo)識等必要的技術(shù)手段����,以降低出境數(shù)據(jù)可能對國家安全、公共利益�����、個人或者組織合法權(quán)益帶來的風(fēng)險�。
(3)針對數(shù)據(jù)安全管理風(fēng)險��。數(shù)據(jù)處理者應(yīng)建立或完善數(shù)據(jù)安全管理組織架構(gòu)����,設(shè)立數(shù)據(jù)安全負(fù)責(zé)人等關(guān)鍵崗位。健全數(shù)據(jù)處理活動全流程、數(shù)據(jù)分類分級��、應(yīng)急處置���、個人信息權(quán)益保護等管理制度����,并持續(xù)跟蹤改進情況�。
(4)針對數(shù)據(jù)安全技術(shù)保障相關(guān)風(fēng)險。數(shù)據(jù)處理者應(yīng)圍繞數(shù)據(jù)的收集��、存儲��、使用����、加工、傳輸���、提供�、公開��、刪除等數(shù)據(jù)處理全流程�����,加強數(shù)據(jù)安全基礎(chǔ)保障能力,采取身份鑒別�����、訪問控制�����、權(quán)限管理���、監(jiān)測預(yù)警���、數(shù)據(jù)防泄漏等技術(shù)手段對出境數(shù)據(jù)進行安全保護,建立數(shù)據(jù)安全技術(shù)保障機制�����,搭建數(shù)據(jù)出境風(fēng)險防控體系�����。
(5)針對境外接收方相關(guān)風(fēng)險�。境外接收方應(yīng)明確數(shù)據(jù)處理的全流程,采取與風(fēng)險程度相匹配的保障措施����,確保數(shù)據(jù)安全保護能力不低于我國法律和行政法規(guī)規(guī)定的標(biāo)準(zhǔn)。
(6)針對數(shù)據(jù)安全保護責(zé)任義務(wù)約束相關(guān)風(fēng)險���。數(shù)據(jù)處理者應(yīng)當(dāng)通過法律文件約束境外接收方�,對于不符合要求的已簽訂法律文件�����,應(yīng)與境外接收方協(xié)商修改法律文件約定條款或簽署數(shù)據(jù)出境補充協(xié)議等�����,充分約定數(shù)據(jù)安全保護責(zé)任義務(wù)�。
(7)數(shù)據(jù)處理者認(rèn)為需要改進的其他事項。
4.全面研判
數(shù)據(jù)處理者針對已識別的風(fēng)險采取的改進措施�����,進行有效性評價��。從數(shù)據(jù)出境安全風(fēng)險一旦發(fā)生����,對國家安全����、社會公共利益�����、其他組織或者個人的合法權(quán)益造成的危害程度進行分析���,同時考慮風(fēng)險發(fā)生可能性�、出境數(shù)據(jù)敏感程度和重要性����、安全措施有效性和管理制度完備性等因素,研判自評估結(jié)論�。必要時可邀請行業(yè)領(lǐng)域和數(shù)據(jù)安全、法律���、技術(shù)等方面專家對自評估結(jié)論進行評議��。
(三)編制自評估報告
數(shù)據(jù)處理者綜合上述各階段工作成果完成自評估報告���。自評估報告應(yīng)當(dāng)包括自評估工作情況����、出境活動整體情況�、出境活動的風(fēng)險自評估情況及結(jié)論等主要內(nèi)容(數(shù)據(jù)出境風(fēng)險自評估報告模板見附件1�����,本指引與數(shù)據(jù)出境風(fēng)險自評估報告模板內(nèi)容對比見附件2)�。同時,數(shù)據(jù)處理者應(yīng)當(dāng)做好相關(guān)佐證材料的記錄和保存工作����。
附件:1.數(shù)據(jù)出境風(fēng)險自評估報告(模板)
2.深圳市數(shù)據(jù)出境風(fēng)險自評估指引與數(shù)據(jù)出境風(fēng)險自評估報告(模板)內(nèi)容對比
2024-07-18 14:24:58
管理員