返回
顶部
我们已发送验证链接到您的邮箱,请查收并验证
没收到验证邮件?请确认邮箱是否正确或 重新发送邮件
确定
产业行业政策诉讼TOP100招聘湾区IP动态职场人物国际视野许可交易深度专题活动商标版权Oversea晨报董图产品公司审查员说法官说首席知识产权官G40领袖机构企业专利大洋洲律所

中国《数据出境安全评估办法》及申报指南解读 ​

深度
知联社3年前
中国《数据出境安全评估办法》及申报指南解读  ​

中国《数据出境安全评估办法》及申报指南解读  ​

#本文仅代表作者观点,不代表IPRdaily立场,未经作者许可,禁止转载#


“本文将从《数据出境安全评估办法》的适用范围、安全评估流程、所需提交材料介绍以及企业合规建议角度对《办法》及申报指南进行简要解读。”


来源:IPRdaily中文网(iprdaily.cn)

作者:刘海生 夏琳 上海魏和刘律师事务所


备受关注的中国《数据出境安全评估办法》(以下简称“《办法》”)已经于2022年9月1日起生效,而就在生效前夕中国国家网信办又公布了与《办法》配套使用的《数据出境安全评估申报指南(第一版)》(以下简称“指南”),至此,《网络安全法》、《数据安全法》、《个人信息保护法》中均有提及的“安全评估”终于从纸上程序落实到了实处。是否需要进行数据出境安全评估以及如何开展也成了许多涉及数据出境场景的公司,尤其是驻华跨国企业的重要合规课题。


本文将从《办法》的适用范围、安全评估流程、所需提交材料介绍以及企业合规建议角度对《办法》及申报指南进行简要解读。


一、适用范围


《办法》中规定的数据出境场景包括哪些呢?根据《办法》第2条及指南第一条,数据出境包括两类情形,一种是主动出境,即数据处理者在日常运营中收集和产生的数据传输、存储至境外,实践中常见的场景是境内主体通过软件包括电子邮件、FTP、跨境搭建的VPN、API等传输信道以及硬件包括U盘、移动硬盘、甚至装载数据的便携笔记本等向境外主体提供数据,或者境内主体使用海外服务器时产生的数据上传或存储;另外一种是被动出境,即数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出,实践中常见的场景是境外主体通过访问境内主体部署于境内的公开网页、服务器、数据库或信息系统等获取数据。相比于主动出境的情形,数据被动出境的情形更容易被企业忽略。


什么样的情况下需要进行申报安全评估呢?根据《办法》第四条,当符合以下四个条件之一时,便需依照《办法》的规定,进行申报:


(1)向境外提供重要数据;

(2)关键信息基础设施运营者和处理100万人以上个人信息的处理者向境外提供个人信息;

(3)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;

(4)网信部门规定的需要进行申报的情形。


然而,目前现行有效的法律法规、国家标准以及指南中并没有对《办法》中未释明的部分(比如哪些属于重要数据、个人信息数量的计算标准等)作进一步的细化和解释,现阶段企业还是需要参考已发布的相关信息安全技术国家标准的征求意见稿进行判断,这同时也为企业在短时间进行数据合规的内部排查带来了不小的挑战。


二、申报安全评估


若企业经梳理,落入了《办法》的适用范围,应该依照怎样的流程开展数据安全评估工作呢?


《办法》明确了安全评估的具体流程,首先是应进行自评估,自评估结束形成自评估报告后并齐备其他所需材料提交所在地省级网信部门,省级网信部门在收到材料后5个工作日内进行形式审查并决定是否报送国家网信部门进行审查。国家网信部门在收到后7个工作日内确定是否受理,并在发出受理通知后45个工作日完成安全评估并告知申请人结果。整个申报流程最短需57个工作日。若出现补充、更正材料的,该周期将会进一步延长。


明白了申报流程,那么需要进行申报的企业应准备哪些材料呢?


《办法》第六条规定了提交安全评估所需提交的材料,而指南则进一步细化并提供了相应模板。从提交的申报材料来看,主要有申报人身份信息材料、经办人授权委托书、申报表、与数据接收方签订的数据出境相关合同或其他法律文件、自评估报告以及其他证明材料。值得一提的是,申报表中要求数据处理者提供自身基本信息、法定代表人、数据安全负责人和管理机构信息、经办人信息、数据出境的业务、目的、方式、链路、出境数据情况、境外接收方信息及接收方数据安全责任人和管理机构信息,且要求数据处理者对于遵守中国法律、行政法规、部门规章情况进行说明。


本次发布的指南也附带了自评估报告的模板,模板中要求数据处理者对自身的基本情况、出境数据情况、数据安全保障能力等进行说明和评估。且对境外接收方的基本情况和数据安全保障能力进行评估。同时,还应当对评估发现的问题和风险隐患采取了怎样的整改措施及达到了什么样的整改效果进行说明。


需要特别注意的是,安全评估并非一劳永逸,评估结果自通过之日起两年内有效,若企业在两年后仍有数据出境活动的,则应当在评估结果期满之前60个工作日重新申报安全评估。由此看来,定期数据安全评估将成为有数据跨境传输需求的企业的常态化数据合规工作之一。同时《办法》给予了尚未进行安全评估的企业6个月的整改期限,要求落入适用范围的企业在《办法》生效之日起6个月内完成整改。


三、企业合规建议


数据出境已成为企业经营过程中需要重点关注的合规风险,企业的数据出境合规必须做到全面有效地识别出境数据,持续控制和监管数据出境路径和出境接口,建立数据出境的管理体系和制度,从而实现企业全面和常态化数据出境合规管理。因此,根据上述内容介绍,我们建议企业可以从以下方面尽快开展数据合规管理工作:


1.指南中发布的申报表中,要求明确数据处理者及境外接收方的数据安全负责人和管理机构信息。为了更加有序高效的开展数据出境安全评估工作,建议尚未设立数据安全负责人和机构的公司,应当尽快指定,并明确工作职责、工作规程等。对于落入《办法》适用范围的企业,因安全评估需要定期进行,所以建议设置常设岗位。


2.由于《办法》给予企业的整改期限仅有6个月,且申报周期也较长,对于存在数据出境场景的企业,建议尽快开展内部梳理,估算整体出境数据规模,尽早决定是否申报安全评估。而且因提交材料中涉及到境外接收者的很多信息,在企业内部梳理同时,也应当并行开展跟境外接收方的沟通及基础资料准备工作,避免造成因沟通不畅而产生过多的时间和精力。


3.本次指南提供的模板中,数据处理者需要说明自身的“数据安全管理能力,包括管理组织体系和制度建设情况,全流程管理、分类分级、应急处置、风险评估、个人信息权益保护等制度及落实情况”。对于此前未系统开展过数据合规工作的企业,应尽快制定符合前述要求的数据安全管理框架及各项数据合规规章制度,既为了满足法律法规的要求,也能够促进数据合规工作的有效顺利开展。《办法》不过短短20条,指南也只有寥寥几页,但是其中却涉及了纷繁复杂的数据合规工作,给企业的合规工作带了巨大的挑战。数字化时代,我们不可能也不应该逆流而行,而应顺应时代要求,切实重视数据合规工作,并予以落实。


(原标题:中国《数据出境安全评估办法》及申报指南解读)


来源:IPRdaily中文网(iprdaily.cn)

作者:刘海生 夏琳 上海魏和刘律师事务所

编辑:IPRdaily赵甄          校对:IPRdaily纵横君


注:原文链接中国《数据出境安全评估办法》及申报指南解读点击标题查看原文)


中国《数据出境安全评估办法》及申报指南解读  ​中国《数据出境安全评估办法》及申报指南解读  ​

中国《数据出境安全评估办法》及申报指南解读  ​

中国《数据出境安全评估办法》及申报指南解读  ​

中国《数据出境安全评估办法》及申报指南解读  ​


中国《数据出境安全评估办法》及申报指南解读  ​

「关于IPRdaily」


IPRdaily是全球领先的知识产权综合信息服务提供商,致力于连接全球知识产权与科技创新人才。汇聚了来自于中国、美国、欧洲、俄罗斯、以色列、澳大利亚、新加坡、日本、韩国等15个国家和地区的高科技公司及成长型科技企业的管理者及科技研发或知识产权负责人,还有来自政府、律师及代理事务所、研发或服务机构的全球近100万用户(国内70余万+海外近30万),2019年全年全网页面浏览量已经突破过亿次传播。


(英文官网:iprdaily.com  中文官网:iprdaily.cn) 


本文来IPRdaily中文网(iprdaily.cn)并经IPRdaily.cn中文网编辑。转载此文章须经权利人同意,并附上出处与作者信息。文章不代表IPRdaily.cn立场,如若转载,请注明出处:“http://www.iprdaily.cn”

知联社投稿作者
共发表文章1873
最近文章
关键词
首席知识产权官 世界知识产权日 美國專利訴訟管理策略 大数据 软件著作权登记 专利商标 商标注册人 人工智能 版权登记代理 如何快速获得美国专利授权? 材料科学 申请注册商标 软件著作权 虚拟现实与增强现实 专利侵权纠纷行政处理 专利预警 知识产权 全球视野 中国商标 版权保护中心 智能硬件 新材料 新一代信息技术产业 躲过商标转让的陷阱 航空航天装备 乐天 产业 海洋工程装备及高技术船舶 著作权 电子版权 医药及高性能医疗器械 中国专利年报 游戏动漫 条例 国际专利 商标 实用新型专利 专利费用 专利管理 出版管理条例 版权商标 知识产权侵权 商标审查协作中心 法律和政策 企业商标布局 新商标审查「不规范汉字」审理标准 专利机构排名 商标分类 专利检索 申请商标注册 法规 行业 法律常识 设计专利 2016知识产权行业分析 发明专利申请 国家商标总局 电影版权 专利申请 香港知识产权 国防知识产权 国际版权交易 十件 版权 顾问 版权登记 发明专利 亚洲知识产权 版权归属 商标办理 商标申请 美国专利局 ip 共享单车 一带一路商标 融资 驰名商标保护 知识产权工程师 授权 音乐的版权 专利 商标数据 知识产权局 知识产权法 专利小白 商标是什么 商标注册 知识产权网 中超 商标审查 维权 律所 专利代理人 知识产权案例 专利运营 现代产业
本文来自于iprdaily,永久保存地址为http://www.iprdaily.cn/article_32309.html,发布时间为2022-09-23 11:28:58

文章不错,犒劳下辛苦的作者吧

    我也说两句
    还可以输入140个字
    我要评论
    回复
    还可以输入 70 个字
    请选择打赏金额