刘境棠:数据出境安全评估申报经验分享
倒计时13天!对不符合《数据出境安全评估办法》规定的数据出境活动,企业需在2023年3月1日前完成整改。整改deadline迫在眉睫!
CISO、DPO们一肚子苦水,自评估报告写得如此辛苦,法律文件与境外接收方讨价还价得如此艰难,为何申报材料完备性审查还是过不了?不妨看看“前车们”的血泪经验。
数据出境安全评估申报材料要求*
在提交上述书面材料的同时,需通过光盘方式提交相应电子版文件。
*参考自《数据出境安全评估申报指南 (第一版)》
1
申报材料准备注意事项
1.申报表、数据出境风险自评估报告、法律文件三者所呈现的内容需严格保持一致。
展开全文
2.承诺书和经办人授权委托书严格按照模板(不可双语,不可改格式,注意日期、签名),授权委托期限建议起始日为【提交申报材料之日之前】至【网信办反馈安全评估结果之日为止】,因何时拿到评估结果难以估算,建议写到2023年6月份之后。
3.盖章要求严格参照申报指南,自评估报告扉页、申报表注意盖公章,骑缝章无要求。
4.自评估报告的目录严格按照网信办的《数据出境风险自评估报告(模板)》的标题,至少具体到三级标题,可对三级标题再行细化四级、五级、六级标题,但是不能自行整合三级标题。
5.法律文件中,与申报表【13相关条款在法律文件中的页码及条款】相关的内容需要全部高亮出来(黑白打印亦可,不强制彩色打印),高亮部分不止包括高亮标题,还需包括具体内容,如《个人信息出境协议》中的“附录一: 个人信息出境说明”,如全文都相关,需全文高亮。打印、扫描时注意打印机、扫描仪是否吞页吞色。
6.通过光盘方式提交相应电子版文件,必须是所有文件打印、盖章、签字后的扫描版,多份报告可以只提交一个光盘,分文件夹存储,文件夹名称写明所属报告;上海网信办建议附上word版本的材料。
2
《数据出境安全评估申报表》填写注意事项
1.数据处理者情况:按照工商登记如实填写,主营业务可查国家企业信用信息公示系统网站()。
2.数据安全负责人和管理机构信息:若数据处理者尚未成立专门的数据安全管理部门,可填写现履行数据安全管理职责的部门名称(也可为两个部门共同管理)。
3.经办人信息:建议填写对所提交申报材料最为了解的内部人员,国家网信办收到材料后,有可能会直接打电话给经办人核对需要再确认的信息和要求补充说明。
4.数据出境业务描述:简要描述出境出境业务场景,如同一个业务场景中有多条业务线,可简要说明。
5.数据出境的目的:与自评估报告、法律文件严格保持一致。
6.数据出境的方式:可分物理层面与逻辑层面进行描述,物理层面如:通过专线传输/公共互联网传输,逻辑层面:最好写明加密方式。
7.数据出境链路:参考《申报指南》的描述,若有多条链路,分条写;写明数据出境链路提供商(线路提供商、服务提供商)、链路数量与带宽(数量X条、带宽XXMbps)、境内数据中心及机房物理位置、IP地址(境内XX数据中心、具体位置(XX市XX路XX号XX楼)、IP地址需完整具体)、境外数据中心及机房物理位置、IP地址(境外XX数据中心、具体位置(如无具体地址,精确到XX国XX市)、IP地址需完整具体)。
8.拟出境数据情况
敏感程度:至少写明是否包括一般个人信息、敏感个人信息,也可以参考35273附录填入子类别。
数据规模:需要写明【未来两年预计出境的数据规模】,【未来两年预计出境的数据规模】=【现已出境的数据量/自上年1月1日起累计向境外提供的数据量】+【未来两年预计新增出境的数据量】,数据规模需填写XXGB/MB,可以为估算值。
涉及自然人数量:需要写明未来两年预计出境的数据所涉及的自然人数量约为XX人,同上,可以为估算值,但需标注是否去重。
涉及重要数据数量:若不涉及,请填【不涉及】。
示例:
9.境外接收方情况
境外接收方负责人:可以不是法人或CEO,但需写明职务。
10.境外接收方数据安全责任人和管理机构情况:根据实际情况填写,可以和境外接收方负责人为同一个人。
11.法律文件:名称与拟订立的法律文件严格保持一致。
12.相关条款在法律文件中的页码及条款:页码及条款需精准,建议提交材料前再次确认,避免打印版本不同出现页码不一致的问题。
示例如下:
(1)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等。
所在文件名称及页码:《个人信息出境协议》第xx-xx页
所述条款:附录x第x条第x款(目的)、附录x第x条第x款(方式)、附录x第x条第x款、第x款(数据范围)、附录x第x条第x款(用途)、附录x第x条第x款(方式)
*以上为本机构数据安全评估申报经验的分享,非官方权威解释,仅供参考,若有其他问题需要探讨,请后台留言。
*关于数据出境风险自评估报告、拟订立法律文件的经验分享,请关注下期文章。
*其他实务经验可参考上海网信办发布的《数据出境安全评估申报工作实务问答(二)》
作者:刘境棠 上海赛博网络安全产业创新研究院高级研究员
CYBER RESEARCH INSTITUTE