适用场景
任何在中国境内运营并收集、产生数据,计划向境外传输重要数据或个人信息的中国出海企业。尤其适用于涉及大量用户数据、敏感个人信息或被认定为关键信息基础设施运营者的企业。
核心要点
1. 评估范围与强制申报条件
本办法适用于在中国境内运营中收集和产生的重要数据及个人信息向境外提供时的安全评估。企业需关注以下强制申报情形:向境外提供重要数据;关键信息基础设施运营者或处理100万人以上个人信息的数据处理者向境外提供个人信息;自上年1月1日起累计向境外提供10万人个人信息或1万人敏感个人信息的数据处理者向境外提供个人信息;以及国家网信部门规定的其他情形。
2. 事前风险自评估是关键
在正式申报安全评估前,数据处理者必须自行开展数据出境风险自评估。评估内容包括数据出境目的、范围、方式的合法性与必要性,出境数据的规模、种类、敏感程度及潜在风险,境外接收方的数据安全保障能力,以及与境外接收方拟订立的法律文件中数据安全保护责任义务的充分性等。
3. 申报流程与材料要求
企业需通过所在地省级网信部门向国家网信部门申报。申报材料通常包括申报书、数据出境风险自评估报告、与境外接收方拟订立的法律文件,以及安全评估工作需要的其他材料。省级网信部门将进行完备性查验,国家网信部门决定是否受理。
4. 安全评估的核心考量因素
国家网信部门的评估重点在于数据出境活动可能对国家安全、公共利益、个人或组织合法权益带来的风险。具体考量包括出境目的的合法性、境外接收方所在国家的数据保护政策与网络安全环境、出境数据的敏感度与潜在风险、数据安全和个人信息权益保障的有效性,以及法律文件中数据安全保护责任义务的约定情况。
5. 评估结果有效期与再评估机制
数据出境安全评估结果有效期为两年。在有效期内,若数据出境的目的、方式、范围、种类、境外接收方处理数据的用途、方式发生变化影响出境数据安全,或境外接收方实际控制权、所在国家数据安全政策环境发生变化等,企业需重新申报评估。有效期届满需继续出境的,应提前60个工作日重新申报。
实务建议
- 建立完善的数据资产清单和数据分类分级管理制度,清晰识别重要数据和个人信息。
- 在规划任何跨境数据传输前,对照《办法》第四条,主动识别是否触发安全评估要求。
- 参照《办法》第五条和第八条,提前开展全面的数据出境风险自评估,并形成规范的自评估报告。
- 与境外数据接收方签订具有法律约束力的协议,明确约定数据出境的目的、范围、存储期限、再转移限制、安全保障措施、违约责任及个人信息权益维护渠道等。
- 指定专人或团队负责数据出境合规事务,确保申报材料的真实性、完整性,并持续关注评估结果有效期及再评估触发条件。
风险提示
- 未按规定申报数据出境安全评估,可能面临行政处罚、业务中断甚至刑事责任。
- 提交虚假或不真实的申报材料,将导致评估不通过,并依法追究相应法律责任。
- 与境外接收方签订的法律文件未能充分约定数据安全保护责任,是评估不通过的常见原因。
- 评估结果有效期届满或发生重大变化时未及时重新申报,将使数据出境活动面临合规风险。
- 境外接收方所在国家或地区的数据保护水平不达标,或其网络安全环境存在重大风险,可能导致评估不通过。