数据出境安全评估及申报实践的最新20问答

发布时间:2022-09-01

文 | 黄春林 潘玲 汇业律师事务所

1、线下还是线上提交申报文件?

答:全国统一线上提交申报文件。汇业黄春林律师团队介绍,目前网信办系统已经开发完成,即将公开上线。

2线上注册需要哪些信息?

答:申报者基本信息、法定代表人基本信息、经办人基本信息及注册授权书等。

3申报表包含哪些内容?

答:除了前述注册信息外,还包括数据出境目的、方式、链路,以及出境数据情况、接收方情况、法律文件及条款索引、申报方遵守中国法律法规情况等。

4何为申报方遵守中国法律法规情况?

答:申报方简述近2年在业务经营活动中受到行政处罚和有关主管监管部门调查及整改情况,重点说明个人信息、数据和网络安全方面相关案件。

5自评估报告有官方参考模板吗?

答:有。参考模板内容主要包括:

(1)自评估工作开展情况,包括起止时间、组织情况、实施过程、实施方式等内容。

(2)出境活动整体情况,包括数据处理者基本情况、数据出境涉及业务和信息系统情况、拟出境数据情况、数据处理者数据安全保障能力情况、境外接收方情况、法律文件约定数据安全保护责任义务的情况,等等。

(3)拟出境活动的风险评估情况,以及相应采取的整改措施及整改效果。

(4)评估结论及其理由、论据等。

6要备案出境方、接收方的数据安全责任人和管理机构情况吗?

答:要的。包括姓名、职务、国籍、联系信息及证件类型(可以是护照及港澳通行证)等,以及所在机构名称及人数等信息。因此,汇业黄春林律师团队建议,还未确立数据安全负责人和机构的公司,应当尽快指定,并明确工作职责、工作规程等。

7重要数据和个人信息可以一起申报吗?

答:可以。

8可以聘请外部机构开展自评估吗?

答:可以。若有,应在自评估报告中说明第三方的基本情况及参与评估的情况。建议企业聘请具有丰富经验和良好资质的第三方机构参与自评估工作。

9申报方基本情况包括哪些内容?

答:要披露股权结构和实际控制人情况、组织架构情况、整体业务及数据情况等。

10要披露出境所涉业务及系统情况吗?

答:要。应详细描述业务场景、依托系统、机房或云服务情况、出境链路等。

11何为数据出境链路?

答:如链路提供商、链路数量与带宽、境内外落地数据中心名称及机房物理位置、IP地址等。

12要披露本地化情况吗?

答:要。要披露拟出境数据在境内存储的系统平台、数据中心等情况。

13如何阐述数据安全管理能力?

答:应详细描述数据安全有关的管理组织体系和制度建设情况。汇业黄春林律师团队介绍,具体包括但不限于分类分级、教育培训、数据出境管理、应急预案及应急处置、个人信息保护影响评估、个人信息权益保护等制度及落实情况。

14需要提供数据安全能力有关认证、佐证吗?

答:要。要提供数据安全保障措施有效性证明,例如开展的数据安全风险评估、数据安全能力认证、数据安全检查测评、数据安全合规审计、网络安全等级保护测评、ISO认证等情况。

15如何阐述风险评估情况?

答:严格按照《数据出境安全评估办法》第五条的要求,一一对应、逐项评估,重点说明评估发现的问题和风险隐患,剩余风险以及相应采取的整改措施、整改计划等。

16自评估报告应多久完成?

答:申报前3个月内完成。因此,汇业黄春林律师团队介绍,考虑到《数据出境安全评估办法》的整改大限,建议企业尽快启动自评估相关的工作。

17需要提供自评估报告的工作底稿吗?

答:重要事项应提供工作底稿作为支持文件。例如PIA报告、认证证书、审计报告等。

18递交申报后可以补正材料吗?

答:可以。但可能会延长评估周期。

19系统填写的申报经办人必须为本单位人员吗?

答:是的。需提交企业盖章的授权委托书。

20需要提交法定代表人身份信息、联系信息吗?申报文件需要其签字吗?

答:需要且需要提交扫描件。但可以是护照、港澳通行证等证件。联系信息需要提交手机号及邮箱。授权书需要法定代表人签字。

返回列表