《数据出境安全评估申报指南（第一版）》正式实施

　　【合规资讯】

　　为了指导和帮助数据处理者规范、有序申报数据出境安全评估，2022年8月31日，国家互联网信息办公室发布《数据出境安全评估申报指南（第一版）》（以下简称《指南》），对数据出境安全评估申报方式、申报流程、申报材料等具体要求作出了说明。《指南》在《数据出境安全评估办法》的基础上对“数据出境”的范围进一步进行了明确，包括：（1）数据处理者将在境内运营中收集和产生的数据传输、存储至境外；（2）数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；（3）国家网信办规定的其他数据出境行为。《指南》中数据出境安全评估申报范围包括以下情形：（1）向境外提供重要数据；（2）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；（3）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；（4）国家网信办规定的其他需要申报数据出境安全评估的情形。数据处理者因业务需要确需向境外提供数据，符合数据出境安全评估适用情形的，应当根据《指南》规定，申报数据出境安全评估。（资讯来源：国家网信办）

　　【合规提示】

　　《指南》中，特别值得相关企业关注的是什么场景下可能构成“数据出境”。典型的数据出境场景包括比如国际贸易、国际物流、国际合作、国际科研、境外上市、境外子公司数据往来、员工海外出差、境外司法执法等。具体来说包括但不限于：（1）境内主体使用专用于数据传递功能的软件或硬件介质（如电子邮件、跨境搭建的VPN、API等传输信道、移动硬盘等）向境外主体提供数据；（2）境内主体使用服务器位于海外的信息系统、软件平台时产生的数据上载或存储；（3）境外访问数据处理者部署于境内的服务器/数据库/信息系统等。建议相关企业结合自身商业需求和实际情况，充分梳理和识别涉及数据出境的经营、管理和业务相关情形，按照《指南》等相关法律法规要求切实履行数据出境合规方面的义务。此外，需要注意《指南》提供的《数据出境风险自评估报告（模板）》中要求数据处理者需要说明自身的“数据安全管理能力，包括管理组织体系和制度建设情况，全流程管理、分类分级、应急处置、风险评估、个人信息权益保护等制度及落实情况”，对于此前从未系统进行过数据合规整改工作的企业而言，建议还需要尽快建立符合国家网信办要求的数据安全管理框架及各项数据合规规章制度，从而在实质上符合上述要求。

[ 期号：20220822-20220904]