《數據出境安全評估辦法》發布，安全評估問題解答

自2021年10月29日，國家互聯網信息辦公室發布《數據出境安全評估辦法（征求意見稿）》，時隔八個月，終于在2022年7月7日塵埃落定，《數據出境安全評估辦法》（以下簡稱《辦法》）正式出臺，明確了數據出境安全評估的目的、原則、范圍、流程等具體規定。萬方科技第一時間收集了《辦法》有關“安全評估”問題的解答，以便幫助企業更好地了解數據出境安全評估規定，促進企業數據出境合規。

問：《辦法》出臺的依據與意義？

答：制定出臺《辦法》是落實《網絡安全法》、《數據安全法》、《個人信息保護法》有關數據出境規定的重要舉措。

2016年11月通過的《網絡安全法》，其中第37條規定了對關鍵信息基礎設施運營者的重要數據和個人信息需進行安全評估，但其他主體的重要數據和個人信息出境并未加以明確。2021年6月通過的《數據安全法》，其中第31條在重申關鍵信息基礎設施運營者的重要數據出境的安全評估要求之外，還進一步規定“其他數據處理者”的重要數據出境也需進行安全評估。2021年8月通過的《個人信息保護法》，其中第38條第1款第1項和第40條，在重申關鍵信息基礎設施運營者的個人信息出境安全評估要求之外，還進一步規定“達到國家網信部門規定數量的個人信息處理者”的個人信息出境也需進行安全評估。由此，上述三大立法全面建立起數據出境的基礎性制度——安全評估制度。

《辦法》的出臺，對數據出境管理中最為重要的“安全評估”手段予以明確，實現了規則性立法落地。

點擊了解更多

問：哪些情形需要申報數據出境安全評估？

答：《辦法》明確了4種應當申報數據出境安全評估的情形：一是數據處理者向境外提供重要數據。二是關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息。三是自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息。四是國家網信部門規定的其他需要申報數據出境安全評估的情形。

點擊了解更多

問：數據出境安全評估主要評估哪些內容？

答：數據出境安全評估重點評估數據出境活動可能對國家安全、公共利益、個人或者組織合法權益帶來的風險，主要包括以下事項：一是數據出境的目的、范圍、方式等的合法性、正當性、必要性。二是境外接收方所在國家或者地區的數據安全保護政策法規和網絡安全環境對出境數據安全的影響；境外接收方的數據保護水平是否達到中華人民共和國法律、行政法規的規定和強制性國家標準的要求。三是出境數據的規模、范圍、種類、敏感程度，出境中和出境后遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等風險。四是數據安全和個人信息權益是否能夠得到充分有效保障。五是數據處理者與境外接收方擬訂立的法律文件中是否充分約定了數據安全保護責任義務。六是遵守中國法律、行政法規、部門規章情況。七是國家網信部門認為需要評估的其他事項。

點擊了解更多

問：為了規范數據出境安全評估活動，《辦法》明確了哪些具體流程？

答：《辦法》明確了數據出境的具體流程。一是事前評估，數據處理者在向境外提供數據前，應首先開展數據出境風險自評估。二是申報評估，符合申報數據出境安全評估情形的，數據處理者應通過所在地省級網信部門向國家網信部門申報數據出境安全評估。三是開展評估，國家網信部門自收到申報材料之日起7個工作日內確定是否受理評估；自出具書面受理通知書之日起45個工作日內完成數據出境安全評估；情況復雜或者需要補充、更正材料的，可以適當延長并告知數據處理者預計延長的時間。四是重新評估和終止出境，評估結果有效期屆滿或者在有效期內出現本辦法中規定重新評估情形的，數據處理者應當重新申報數據出境安全評估。已經通過評估的數據出境活動在實際處理過程中不再符合數據出境安全管理要求的，在收到國家網信部門書面通知后，數據處理者應終止數據出境活動。數據處理者需要繼續開展數據出境活動的，應當按照要求整改，整改完成后重新申報評估。

具體而言，《辦法》明確安全評估的程序包括：（1）數據處理者自評估；（2）數據處理者申報安全評估；（3）省級網信部門的申報接收和國家網信部門的申報受理；（4）國家網信部門組織安全評估，評估過程中可要求數據處理者進行材料補充或更正；（5）評估結果的告知與申請復評；（6）通過數據出境安全評估但在有效期內出現特定情形的重新申報評估；（7）通過數據出境安全評估后的終止數據出境。

更多有關數據出境安全評估的詳細內容可以參見《數據出境合規服務》介紹：

http://www.tamaki-nami.com/product/showproduct.php?id=274

問：數據處理者何時申報數據出境安全評估？

答：數據處理者應當在數據出境活動發生前申報并通過數據出境安全評估。實踐中，數據處理者宜在與境外接收方簽訂數據出境相關合同或者其他具有法律效力的文件（以下統稱法律文件）前，申報數據出境安全評估。如果在簽訂法律文件后申報評估，建議在法律文件中注明此文件須在通過數據出境安全評估后生效，以避免可能因未通過評估而造成損失。

點擊了解更多

問：企業申報數據出境安全評估的結果可能有哪幾類？

答：一是申報不予受理。對于不屬于安全評估范圍的，數據處理者接到國家網信部門不予受理的書面通知后，可以通過法律規定的其他合法途徑開展數據出境活動。二是通過安全評估。數據處理者可以在收到通過評估的書面通知后，嚴格按照申報事項開展數據出境活動。三是未通過安全評估。未通過數據出境安全評估的，數據處理者不得開展所申報的數據出境活動。

點擊了解更多

問：對評估結果有異議如何處理？

答：數據處理者對評估結果有異議的，可以在收到評估結果15個工作日內向國家網信部門申請復評，復評結果為最終結論。

點擊了解更多

問：通過數據出境安全評估的結果有效期是多久？

答：通過數據出境安全評估的結果有效期為2年，自評估結果出具之日起計算。有效期屆滿，需要繼續開展數據出境活動的，數據處理者應當在有效期屆滿60個工作日前重新申報評估。

點擊了解更多

問：企業如何更快速通過數據出境安全評估？

答：

聯系我們：188 188 60088 (微信同號)、188 188 63388 (微信同號)，萬方科技隨時為您服務！