适用场景
计划或正在向境外提供数据(包括允许境外访问)的中国出海企业,特别是处理重要数据、大量个人信息或敏感个人信息的企业。
核心要点
1. 触发安全评估的四种情形
企业需申请数据出境安全评估的情形主要有四种:一是出境数据中包含重要数据;二是关键信息基础设施运营者出境个人信息;三是处理超过规定数量个人信息的处理者出境个人信息;四是出境大量个人信息或敏感个人信息。具体数量阈值需与监管沟通确认。
2. “数据出境”的广泛定义
“数据出境”不仅指将境内数据物理传输至境外存储,也包括数据存储在境内,但能被境外机构、组织或个人查询、调取、下载、导出等情形。这意味着许多跨国集团的内部数据访问、SaaS服务等都可能落入监管范围。
3. 申请流程与材料要求
申请需通过省级网信部门向国家网信办提交,材料包括书面和电子版。申请前必须完成数据出境风险自评估,且自评估完成日期距申请日不得超过三个月。申请材料一旦被省级网信部门认为不齐全,将被直接退回,无补正机会。
4. 风险自评估报告的核心内容
自评估报告需详细说明数据出境情况、评估组织情况,并重点评估数据出境可能带来的风险。报告必须涵盖数据出境目的、规模、方式,境外接收方情况,数据安全保护能力,以及出境后数据被篡改、破坏、泄露、非法利用等风险。
5. 申请材料的详细性与严肃性
申请材料要求极为详细,包括数据出境链路技术细节、合同关键条款索引、双方数据安全负责人信息、近两年受处罚情况等。企业需签署承诺书,保证数据收集的合法性及所提交材料的真实性、准确性、完整性和有效性。
实务建议
- 立即开展数据出境情况盘查:梳理业务中是否存在向境外提供数据(包括允许境外访问)的场景,并对照四种触发情形进行初步判断。
- 提前启动风险自评估:自评估是申请的前置步骤,建议尽早按照官方模板框架开展,全面识别风险并制定整改措施。
- 组建跨部门项目组并考虑引入外部支持:数据出境评估涉及法务、IT、业务、安全等多个部门,流程复杂且时限紧张,可聘请专业第三方机构协助制定项目计划并准备材料。
- 同步准备全套申请材料:在自评估的同时,即可对照申请材料清单(如统一社会信用代码证、法定代表人证件、申请表、法律文件、自评估报告等)开始同步准备。
- 评估业务连续性方案:提前考虑数据本地化部署等替代方案,以防安全评估未能通过对业务运营造成中断影响。
风险提示
- 切勿低估“数据出境”定义的广泛性:存储在境内服务器但允许境外总部或员工访问,即构成“数据出境”,需纳入合规考量。
- 自评估报告不是形式文件:报告需实质性地分析风险并提出有效整改,流于形式可能导致申请被拒。
- 申请材料务必确保真实、完整、准确:提交不实材料或关键信息缺失,将导致申请被直接退回,延误整体合规进程。
- 注意申请时限:从完成自评估到提交申请不能超过三个月,且材料准备和审批流程耗时可能较长,需尽早规划。
- 关注境外接收方的合规能力:评估时需详细调查境外接收方的数据保护制度与技术措施,其所在国家或地区的法律环境也是评估重点。