-700x525.jpg)
为指导和帮助数据处理者规范、有序申报数据出境安全评估,保障数据要素安全跨境流动,海南省互联网信息办公室(以下简称“省网信办”)根据《数据出境安全评估办法》(以下简称《办法》)《促进和规范数据跨境流动规定》以及国家互联网信息办公室(以下简称“国家网信办”)《数据出境安全评估申报指南(第二版)》,制定本指引。
一、术语
(一)数据,本指引所称数据是指任何以电子或者其他方式对信息的记录。
(二)重要数据,本指引所称重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。数据处理者需根据相关行业标准界定出境数据是否为重要数据,如无行业标准,可参考如下标准:
1.未公开的政务数据、工作秘密、情报数据和执法司法数据;
2.重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据;
3.达到国家有关部门规定规模或者精度的基因、地理、矿产、气象等国家基础数据;
4.影响关键信息基础设施安全稳定运行的数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据;
5.出口管制物项涉及的核心技术、设计方案、生产工艺等相关数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争力有直接影响的科学技术成果数据;
6.国家法律、行政法规、部门规章明确规定需要保护或者限制处理的国家经济运行数据、重要行业和领域业务数据、统计数据等;
7.其他一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。
(三)个人信息,本指引所称个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
(四)敏感个人信息,本指引所称敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
(五)数据处理,本指引所称数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。
二、适用范围
(一)适用主体。注册地为海南的开展数据处理活动的法人、公共机构、政府机关等组织,或在海南开展数据处理活动的个人。
(二)适用情形。
数据处理者向境外提供数据,有下列情形之一的,应当申报数据出境安全评估:
(一)关键信息基础设施运营者向境外提供个人信息或者重要数据;
(二)关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。
属于《促进和规范数据跨境流动规定》第三条、第四条、第五条、第六条规定情形的,从其规定。
以下情形属于数据出境行为:
1.数据处理者将在境内运营中收集和产生的数据传输至境外;
2.数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;
3.符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他数据处理活动。
三、申报方式
数据处理者申报数据出境安全评估,应当通过数据出境申报系统提交申报材料,系统网址为https://sjcj.cac.gov.cn。关键信息基础设施运营者或者其他不适合通过数据出境申报系统申报数据出境安全评估的,采用线下方式通过所在地省级网信办向国家网信办申报数据出境安全评估,申报方式为送达书面申报材料并附带材料电子版,书面申报材料需装订成册。
四、申报流程
数据出境安全评估申报工作主要包括以下步骤:
(一)判断是否符合申报情形。数据处理者全面梳理处理和出境的数据,判断是否符合需要申报评估的情形。
(二)开展数据出境风险自评估。数据处理者自行或委托第三方开展数据出境风险自评估。
(三)提交申报材料。
申报材料要求见附件1,主要包括:
1.统一社会信用代码证件影印件
2.法定代表人身份证件影印件
3.经办人身份证件影印件
4.经办人授权委托书(模板见附件2)
5.数据出境安全评估申报书(模板见附件3)
6.与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件(须明确订立日期、生效期限或有效期限;若仅有非中文版本,须同步提交中文版本;确保与申报书相关内容一致),至少包括以下内容:
(1)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;
(2)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;
(3)对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;
(4)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施;
(5)违反与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;
(6)出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。
7.数据出境风险自评估报告(落款时间不得早于申报之日前3个月,模板见附件4),重点评估以下事项:
(1)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
(2)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
(3)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
(4)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
(5)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务;
(6)其他可能影响数据出境安全的事项。
8.其他相关证明材料。
(四)查验申报材料。省网信办收到申报材料后,5个工作日内完成申报材料查验,并将存在的问题一次性告知数据处理者,数据处理者应及时按照要求补充或更正材料,无正当理由不补充或更正的,安全评估将会终止。
查验内容主要包括:是否满足安全评估申报条件、申报材料是否齐全准确、自评估报告是否符合要求、法律文件是否全面有效、数据处理者是否有重大违法违规行为、数据处理者是否存在重大数据安全风险且尚未完成整改、数据处理者是否重复提交未评估通过场景等。
(五)反馈受理情况。国家网信办在收到申报材料之日起7个工作日内,确定是否受理并书面通知数据处理者。予以受理的,在45个工作日内完成安全评估,情况复杂或者需要补充、更正材料的,可适当延长并告知数据处理者预计延长的时间。
在实施安全评估过程中,数据处理者如被告知补充或者更正申报材料,应当及时按照要求补充或者更正材料。无正当理由不补充或者更正申报材料的,安全评估将会终止。
(六)通知评估结果。评估完成后,数据处理者将收到评估结果通知书。对评估结果无异议的,数据处理者须按照数据出境安全管理相关法律法规和评估结果通知书的有关要求,规范相关数据出境活动;对评估结果有异议的,数据处理者可在收到评估结果通知书15个工作日内向国家网信办申请复评,复评结果为最终结论。
五、其他
(一)数据处理者对所提交申报材料的真实性负责,故意提交虚假材料的,将被按照评估不通过处理,并将被依法追究相应法律责任;按照相关法律法规和评估结果要求规范数据出境行为。
(二)各市、县网信办、省各行业主管(监管)部门加强数据出境相关法律法规、标准规范宣贯,梳理摸排本地区、本行业企事业单位数据出境需求,指导数据处理者合法合规跨境传输数据,提供数据出境安全评估、个人信息出境标准合同相关咨询服务。
(三)省网信办将根据国家法律法规和相关要求,以及我省执行情况,适时修订本指引。
六、联系方式
电子邮件:wxbcjpg@hainan.gov.cn(海南)
联系电话:0898-65380723(海南)
010-55627135(国家)
报送地址:海南省海口市美兰区国兴大道69号9号楼6楼615室
下载附件:
1.数据出境安全评估申报材料要求
2.经办人授权委托书(模板)
3.数据出境安全评估申报书(模板)
4.数据出境风险自评估报告(模板)
》-228x171.jpg)
