深圳市数据出境安全评估申报工作指引
(2024版)
为指导和帮助数据处理者规范、有序申报数据出境安全评估,根据《数据出境安全评估办法》《促进和规范数据跨境流动规定》《数据出境安全评估申报指南(第二版)》,制定本指引。
一、有关用语
本指引下列用语的含义:
(一)数据
数据,是指任何以电子或者其他方式对信息的记录。
(二)数据处理
数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。
(三)个人信息
个人信息,是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
(四)敏感个人信息
敏感个人信息,是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
(五)重要数据
重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。
(六)数据处理者
数据处理者,是指在数据处理活动中自主决定处理目的和处理方式的个人和组织。
(七)向境外提供数据
本指引所称向境外提供数据主要指以下数据处理活动:
1.数据处理者将在境内运营中收集和产生的数据传输至境外;
2.数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;
3.符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他数据处理活动。
二、申报主体
本指引适用申报主体为注册地在深圳市的开展数据处理活动的组织,或在深圳市开展数据处理活动的个人。
三、申报情形
数据处理者向境外提供数据,有下列情形之一的,应当参照本指引,通过广东省互联网信息办公室(以下简称省网信办)向国家互联网信息办公室(以下简称国家网信办)申报数据出境安全评估:
(一)关键信息基础设施运营者向境外提供个人信息或者重要数据;
(二)关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。
属于《促进和规范数据跨境流动规定》第三条、第四条、第五条、第六条规定情形的,从其规定;适用《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》规定情形的,从其规定。
四、申报方式
五、申报流程
数据出境安全评估申报工作主要包括以下步骤:
(一)判断是否符合申报情形。数据处理者全面梳理所处理的数据,判断是否符合需要申报数据出境安全评估的情形。
(二)开展数据出境风险自评估。数据处理者在申报数据出境安全评估前应当自行或委托第三方开展数据出境风险自评估,根据自评估情况进行整改。重点评估以下事项:
1.数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
2.出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
3.境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
4.数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
6.其他可能影响数据出境安全的事项。
(三)准备申报材料。申报材料要求见附件1,主要包括:
1.统一社会信用代码证件影印件
2.法定代表人身份证件影印件
3.经办人身份证件影印件
5.数据出境安全评估申报书(模板见附件3)
(1)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;
(2)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;
(3)对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;
(4)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施;
(5)违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;
(6)出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。
(五)查验申报材料。省网信办在数据处理者提交申报材料之日起5个工作日内完成申报材料完备性查验,并向数据处理者告知查验结果。通过完备性查验的,省网信办将申报材料提请国家网信办受理;未通过完备性查验的,省网信办向数据处理者告知未通过完备性查验原因。
(六)反馈受理情况。国家网信办将在收到申报材料之日起7个工作日内,确定是否受理并书面通知数据处理者。予以受理的,进入安全评估阶段。
六、重新评估
在数据出境安全评估的结果有效期内出现以下情形之一的,数据处理者应当重新申报评估:
(一)向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的;
(二)境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的;
(三)出现影响出境数据安全的其他情形。
通过数据出境安全评估的结果有效期为3年,自评估结果出具之日起计算。有效期届满,需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的,数据处理者可以在有效期届满前60个工作日内通过省网信办向国家网信办提出延长评估结果有效期申请。经国家网信办批准,可以延长评估结果有效期3年。
七、咨询、举报联系方式
020-87100794
八、注意事项
1.数据处理者对所提交申报材料的真实性负责,提交虚假材料的,按照评估不通过处理,并依法追究相应法律责任。
2.数据处理者向境外提供个人信息的,应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。
3.数据处理者向境外提供数据的,应当遵守法律、法规的规定,履行数据安全保护义务,采取技术措施和其他必要措施,保障数据出境安全。发生或者可能发生数据安全事件的,应当采取补救措施,及时向省级以上网信部门和其他有关主管部门报告。
4.深圳市互联网信息办公室依法加强对数据处理者数据出境活动的指导监督,健全完善数据出境安全评估制度,优化评估流程;强化事前事中事后全链条全领域监管,发现数据出境活动存在较大风险或者发生数据安全事件的,要求数据处理者进行整改,消除隐患;对拒不改正或者造成严重后果的,依法追究法律责任。
附件:1.数据出境安全评估申报材料要求
3.数据出境安全评估申报书(模板)
4.数据出境风险自评估报告(模板)
向下滑动查看所有内容
深圳市数据出境风险自评估指引
为指导和帮助数据处理者规范开展数据出境活动,促进数据出境安全、有序流动,根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《促进和规范数据跨境流动规定》等法律法规,制定本指引。
一、适用范围
数据处理者向境外提供数据,可参照本指引开展数据出境风险自评估工作,以及个人信息保护影响评估、数据安全风险评估、个人信息保护合规审计等涉及数据出境场景的工作。
二、术语定义
(一)出境
出境,是指由中国内地向其他国家或者地区,由中国内地向香港特别行政区、澳门特别行政区,由中国大陆向台湾地区。
参考:《中华人民共和国出境入境管理法》第八十九条。
(二)数据
(三)数据处理
(四)数据出境行为
以下情形属于数据出境行为:
(五)个人信息
(六)个人信息处理者
个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
(七)重要数据
(八)数据处理者
三、自评估概述
(一)自评估目的
数据出境风险自评估是数据处理者开展数据出境管理工作的必要基础和依据,数据处理者应充分运用自评估结果,确保数据出境管理的资源、技术保障能力与评估所识别的风险相匹配,将风险控制在可接受的水平,最大限度地保障出境数据的安全。
(二)自评估原则
数据处理者开展自评估工作应当符合法律、法规和强制性国家标准的规定,并对其数据处理活动负责。
1.全面性原则。数据处理者应从组织架构、业务、数据等方面梳理出境活动。
2.客观性原则。数据处理者应以客观公正的态度收集有关数据和资料,以充分完整的事实为依据,力求全面准确地反映其存在或可能存在的数据出境风险。
3.匹配性原则。数据出境风险自评估应当与国家数据分类分级保护制度、重要数据目录管理工作相匹配。
4.有效性原则。适用数据出境安全评估要求的自评估工作应当在申报前3个月内完成,其他涉及数据出境场景的评估工作应当在法律法规要求的期限内完成。
5.持续性原则。数据处理者应当以自评估结果为基础,制定、完善数据出境管理措施,针对自评估识别的高风险或较高风险情形,应当采取强化措施,管理和降低风险,并持续跟踪执行情况。
(三)自评估方式
数据处理者可以自行开展数据出境风险自评估工作,也可以委托第三方机构协助开展。
四、自评估流程
数据处理者开展数据出境风险自评估工作,主要包括自评估准备、方案落实和报告编制三个阶段。
(一)自评估准备阶段
4.数据处理者认为需要准备的其他事项。
(二)自评估方案落实
数据处理者主要从信息收集、风险分析、改进措施和全面研判等四个方面开展自评估方案的落实工作。
1.信息收集
自评估工作组通过资料查验、人员访谈、系统演示、技术测试等方式,结合调研清单开展信息收集工作,厘清和分析数据处理者基本情况、拟出境数据情况、数据处理者数据安全保障能力情况、境外接收方情况、法律文件约定数据安全保护责任义务的情况等,形成数据出境信息收集报告。重点收集识别以下事项:
(1)识别数据处理者的基本情况。调查了解股权结构、实际控制人、境内外投资情况、组织架构和数据安全管理机构、整体业务与数据资产等信息。
(4)识别境外接收方情况。调查了解境外接收方基本情况,处理数据的用途、方式,履行责任义务的管理和技术措施、能力等。
(5)识别法律文件约定数据安全保护责任义务的情况。调查了解数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化,以及发生其他不可抗力情形,导致难以保障数据安全时,应当采取的安全措施;违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。
(6)数据处理者认为需要收集的其他事项。
2.风险分析
自评估工作组通过数据出境活动的合法、正当、必要性,出境数据的规模、范围、种类、敏感程度,数据出境中和出境后可能存在的安全风险,境外接收方数据保护能力有效性、法律文件约定责任义务的充分性等方面研判数据出境风险。重点分析以下事项:
(1)业务合规性风险。数据处理者通过梳理业务流程,识别其是否与当前国家法律法规要求、行业主管部门规定和国家标准建议等存在差距。
(2)出境数据风险。数据处理者通过数据资产盘点,梳理出境数据的规模、范围、种类、敏感程度,识别出境数据中是否包含敏感个人信息或重要数据,是否存在不必要的出境数据等。
(3)数据安全管理风险。数据处理者通过人员访谈、查验安全管理制度,识别是否明确数据安全管理机构、设立数据安全负责人、建立数据安全管理制度体系、落实管理监督考核机制等。
(4)数据安全技术保障风险。数据处理者通过技术工具、渗透测试等手段检测数据安全保障防护措施有效性,识别应对数据被篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险的数据安全技术能力。
(6)法律文件风险。数据处理者与境外接收方签订或拟签订的有关数据出境的法律文件是否充分约定出境数据储存情况、出境数据再转移要求、境外接收方变化应对措施、违反合同应对措施、出境数据权益保障等数据安全保护责任义务。
(7)数据处理者认为需要开展风险分析的其他事项。
3.改进措施
数据处理者针对已识别的安全隐患,从改进数据出境业务流程、完善数据出境安全管理制度、建设技术防护体系、加强法律条款约束等方面一一提出相应的改进措施。主要包括以下事项:
(1)针对业务合规性风险。数据处理者应严格落实《网络安全法》、《数据安全法》、《个人信息保护法》关于数据出境安全管理的规定,对业务模式进行必要调整。
(2)针对出境数据风险。数据处理者应筛除不必要的数据出境字段,对敏感个人信息和重要数据采取脱敏、去标识等必要的技术手段,以降低出境数据可能对国家安全、公共利益、个人或者组织合法权益带来的风险。
(3)针对数据安全管理风险。数据处理者应建立或完善数据安全管理组织架构,设立数据安全负责人等关键岗位。健全数据处理活动全流程、数据分类分级、应急处置、个人信息权益保护等管理制度,并持续跟踪改进情况。
(7)数据处理者认为需要改进的其他事项。
4.全面研判
数据处理者针对已识别的风险采取的改进措施,进行有效性评价。从数据出境安全风险一旦发生,对国家安全、社会公共利益、其他组织或者个人的合法权益造成的危害程度进行分析,同时考虑风险发生可能性、出境数据敏感程度和重要性、安全措施有效性和管理制度完备性等因素,研判自评估结论。必要时可邀请行业领域和数据安全、法律、技术等方面专家对自评估结论进行评议。
(三)编制自评估报告
附件:1.数据出境风险自评估报告(模板)
2.深圳市数据出境风险自评估指引与数据出境风险自评估报告(模板)内容对比