数据出境安全合规白皮书(2024版)_第1页
数据出境安全合规白皮书(2024版)_第2页
数据出境安全合规白皮书(2024版)_第3页
数据出境安全合规白皮书(2024版)_第4页
数据出境安全合规白皮书(2024版)_第5页
已阅读5页,还剩80页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

目录前言 1提示 2版权声明 31 数据出境安全合规背景概述 6数据出境安全风险 6数据出境法律框架 7数据出境制度演进 8数据出境监管现状 82 数据出境安全合规路径分析 9数据出境合规三种路径 9数据出境合规路径适用 11数据出境合规路径比较 13数据出境安全评估申报指南 15适用范围 15申报方式及流程 16申报材料 17咨询、举报联系方式 183.5 附件 18个人信息出境标准合同备案指南 19适用范围 19备案方式 19备案流程 19咨询、举报联系方式 214.5 附件 21个人信息保护认证指南 22适用范围 22认证依据 22认证模式 22认证实施程序 22认证证书和认证标志 23认证实施细则 24认证责任 25咨询联系方式 255.9 附件 256 数据出境安全合规申报案例 26数据出境安全评估申报案例 27个人信息出境标准合同备案案例 27个人信息保护认证案例 27附录A数据出境安全评估申报附件 28附录B个人信息出境标准合同备案附件 41附录C个人信息保护认证附件 60附录D常见实务问题Q&A 70附录E各地网信部门联系方式 81附录F快页数据安全能力介绍 83数据安全服务能力 83数安全体规服务 83数分级类服务 83数合规估服务 84数风险测服务 84持安全营服务 84应响应溯源务 85数出境报服务 85数据安全工具能力 86数安全控平台 86数跨境测系统 87参考文献 88数据出境安全合规背景概述2021610(接连对“滴滴出行”“运满满”“货车帮”“BOSS据出境的企业来说,保障数据安全不仅是合规需求,更是业务发展的基础。数据出境安全风险数据出境安全风险是指在数据传输或存储过程中面临的安全威胁和挑战,主要表现在以下几个方面:1、 合规风险各国对于数据出境的法律规定各有不同,且不断更新。企业如果不遵守相关法规,可能会面临罚款、诉讼甚至被取缔的风险。2、 技术风险在数据传输和存储过程中,如果没有足够的加密和隐私保护技术,可能会被黑客攻击、拦截或窃取。此外,云服务、大数据等新技术应用也带来了新的安全挑战。3、 业务风险如果企业对数据出境缺乏足够的风险意识和管理手段,可能会在业务合作过程中泄露敏感信息,给企业带来损失。提高员工的安全意识等。同时,政府和监管机构也需要加强数据安全监管和国际合作,共同推动全球数据安全治理的健康发展。数据出境法律框架机构需要制定相应的法律框架来确保数据的安全和合规。在中国,数据出境的法律框架主要包括以下几个方面:1信息基础设施的运营者在境内运营中收集和产生的个人信息和重要数据应当在境内存全评估。2网信部门会同国务院有关部门制定。3、《数据出境安全评估办法》:该办法规定了中国数据出境安全评估的具体要求办法还规定了申报数据出境安全评估的具体情形和要求。4、《个人信息出境标准合同规定》:该规定是为了保障个人信息在出境后的合法人信息保护影响评估。法》等相关法律法规和政策文件,共同构成了中国数据出境的法律体系。通过加强国际合作和建立互信机制,推动全球数据安全治理的健康发展。数据出境制度演进中国数据出境制度的沿革和演进可以大致分为以下几个阶段:1、早期探索阶段(2010):保护的重要性,但相关的法律法规和政策体系尚未建立。2(2010-2015于加强网络信息保护的决定》、《网络安全法》等。3、逐步完善阶段(2016):在这个阶段,我国进一步加强了对数据安全和威胁。数据出境监管现状数据出境监管现状主要包括以下几个方面:1、法律法规体系不断完善:我国近年来加强了对数据安全和隐私保护的法律法规保护法》等,为数据出境监管提供了更加完善的法律基础。2、监管力度持续加强:我国对数据出境的监管力度不断加强,对违法违规行为加环节的安全管理,提高了数据出境的整体安全水平。3、监管技术不断创新:随着科技的不断进步,我国在数据出境监管中加强了对新的合规使用和安全管理提供了更加可靠的技术支持。4、国际合作逐步深化:我国积极参与全球数据安全治理,与国际社会加强了合作与交流,共同打击跨国数据安全威胁,推动建立更加公正合理的国际数据治理体系。数据出境安全合规路径分析数据出境安全合规路径分析是指对数据跨境流动的安全性和合规性进行全面评估相关法律法规的要求。数据出境合规三种路径数据出境合规的三种路径包括:数据出境安全评估、个人信息出境标准合同和个人信息保护认证。图1数据出境合规三种路径其中,个人信息出境标准合同通常对应为《通用数据保护条例》(GeneralDataProtectionRegulation,GDPR)SCC(StandardContractualClauses);GDPRBCRs(BindingCorporateRules)。1、数据出境安全评估:根据《数据出境安全评估办法》,满足一定条件的数据处理者应当对出境数据进行安全评估。评估内容包括申报书、数据出境风险自评估报告、数据处理者与境外接收方拟订立的法律文件以及安全评估工作需要的其它材料。100触发条件(任何一种):(1)出境数据中含有重要数据;(2)数据处理者为关键信息基础设适用数据类型:数据(含个人信息)2)3)1) 出境安全评估申报指南(第二版)》等自上年自上年1月11015)申报提交材料:(一申报书;(二)数据出境风险自评估报告;(三(四57452、标准合同备案:虽然《个人信息保护法》第三十八条要求个人信息处理者任选考虑适用出境标准合同的机制。表2个人信息出境标准合同备案路径(第二版)》等):(1)(2)1001110111()。10备案提交材料:(一(二个人信息权益的其他情形。个人信息权益的其他情形。3、个人信息保护认证:当个人信息出境,但不满足《数据出境安全评估管理办法》第四条规定的情况时,可以执行此路径。依据《个人信息跨境处理活动安全认证规范》指导个人信息处理者规范开展个人信息跨境处理活动。件,如房租合同或产权证明),自评价表及相关证据材料、业务流程及描述、组织机构图或职能表述、数据目录、其他补充材料。件,如房租合同或产权证明),自评价表及相关证据材料、业务流程及描述、组织机构图或职能表述、数据目录、其他补充材料。8) 70)。证书有效期:三年。认证机构:中国网络安全审查认证和市场监管大数据中心(简称“CCRC”)。(认证实施程序:认证委托、技术验证、现场审核、认证结果评价和批准、获证后监督。4)5)6)7)指定个人信息保护负责人、设立个人信息保护机构,并建立个人信息处理者和境外接收方共同适用的个人信息跨境处理规则。适用要求:个人信息处理者与境外接收方签订法律文件,开展个人信息保护影响评估,双方均适用数据类型:个人信息2)3)1) TC260-PG-20222A处理活动安全认证规范》等数据出境合规路径适用数据出境合规路径的适用需要根据具体情况进行选择。图2数据出境路径选择方式,即采取个人信息保护认证或签署个人信息出境标准合同。以下是一些适用的场景和条件:1、数据安全评估路径:适用于满足《数据出境安全评估管理办法》规定的条件的和社会公共利益。2、个人信息保护认证路径:适用于个人信息处理者向境外提供个人信息的情况。律法规要求,保障个人信息主体的合法权益。31001110111法律法规要求,保障国家安全和社会公共利益。表4免于出境申报活动条件20242024322123、为订立、履行个人作为一方当事人的合同,确需向境外提供个人信息的。45、紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的。61110个人信息(不含敏感个人信息)的。个人信息(不含敏感个人信息)的。总的来说,数据出境合规路径的选择需要根据具体情况进行评估和选择。建议数据处理者在专业数据安全服务机构或监管机构的指导下,根据自身的情况选择最适合的合规路径。数据出境合规路径比较表5数据出境合格路径比较路径《个人信息出境标准合同办法》《个人信息保护认证实施规则》《个人信息跨境处理活动安全认证规范》适用对象个人信息+重要数据的跨境提供行为个人信息的跨境提供行为个人信息的跨境提供行为具体流程数据处理者提交申报材料监管部门书面反馈受理监管部门联合组织安全监管部门出具书面评估如有异议,可在收到评15上一安全评估有效期满60报个人信息处理者在标准合10认证机构明确公布认监管部门国家网信部门,评估时会同国务院有关部门、省级网信部门、专门机构等所在省级网信部门备案认证机构所需材料申报书数据出境风险自评估报告数据处理者与境外接收报告内控措施证明、合规证明、法律合同等方拟订立的合同或者其他具有法律效力的文件等4.安全评估工作需要的其他材料有效期2年,自评估结果出具之日起计算;非一事一议,出现特除情形需重新申报评估标准合同有效期内出现特殊情形需重新签订标准合同并备案认证证书有效期3年数据出境安全评估申报指南20227720229120220831(第一版20240322安全评估申报指南(第二版)》。适用范围数据处理者向境外提供数据,有下列情形之一的,应当申报数据出境安全评估:(一)关键信息基础设施运营者向境外提供个人信息或者重要数据;(二11100(不含敏感个人信息1以上敏感个人信息。的,从其规定。以下情形属于数据出境行为:(一)数据处理者将在境内运营中收集和产生的数据传输至境外;(二)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;(三息等其他数据处理活动。第三条第三条第四条第五条(一(二)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;(二)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;(三)紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;(四11万人个人信息(不含敏感个人信息)的。前款所称向境外提供的个人信息,不包括重要数据。第六条(以下简称负面清单)自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。申报方式及流程。关键信息基础设施运营者或者其他不适合通过数申报材料需装订成册。5验原因。7并书面通知数据处理者。计延长的时间。评估完成后,国家网信办向数据处理者出具评估结果通知书。数据处理者应当按照15申报材料

图3数据出境安全评估流程数据处理者申报数据出境安全评估,应当提交如下材料(数据出境安全评估申报材料要求见附件A.1):统一社会信用代码证件影印件法定代表人身份证件影印件经办人身份证件影印件经办人授权委托书(A.2)数据出境安全评估申报书(A.3)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件影印件数据出境风险自评估报告(A.4)其他相关证明材料数据处理者对所提交材料的真实性负责,提交虚假材料的,按照评估不通过处理,并依法追究相应法律责任。咨询、举报联系方式联系电话子邮箱:sjcj@附件见附件A:A.1.数据出境安全评估申报材料要求A.2.经办人授权委托书(模板)A.3.数据出境安全评估申报书(模板)A.4.数据出境风险自评估报告(模板)个人信息出境标准合同备案指南2023年2月,网信办发布《个人信息出境标准合同办法》,根据该办法,网信办于2023530(第一版)2024322(第二版)》。期间,各省级网信办陆京市个人信息出境标准合同备案指引》《关于个人信息出境标准合同备案的通知》。适用范围个人信息处理者通过订立标准合同的方式向境外提供个人信息,同时符合下列情形的应当向所在地省级网信部门备案:(一)关键信息基础设施运营者以外的数据处理者;(二)1110100(不含敏感个人信息)的;(三)自当年1月1日起,累计向境外提供不满1万人敏感个人信息的。的,从其规定。个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。以下情形属于个人信息出境行为:(一)个人信息处理者将在境内运营中收集和产生的个人信息传输至境外;(二)个人信息处理者收集和产生的个人信息存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;(三息等其他个人信息处理活动。备案方式10。备案流程标准合同备案流程包括材料提交、材料查验及反馈备案结果、补充或者重新备案等环节。(一)材料提交个人信息处理者备案标准合同,应当提交如下材料(要求见附件B.1):1.统一社会信用代码证件影印件法定代表人身份证件影印件经办人身份证件影印件经办人授权委托书(B.2)承诺书(B.3)标准合同(B.4)《个人信息保护影响评估报告》(B.5)(二)材料查验及反馈备案结果1510(三)补充或者重新备案在标准合同有效期内出现下列情形之一的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续:向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;个人信息权益的;3.可能影响个人信息权益的其他情形。个人信息处理者在标准合同有效期内补充订立标准合同的,应当向所在地省级网15个人信息处理者对所提交材料的真实性负责,提交虚假材料的,注销备案编号,并依法追究相应法律责任。图4个人信息出境标准合同备案流程咨询、举报联系方式联系电话子邮箱:bzht@附件见附件B:B.1.个人信息出境标准合同备案材料要求B.2.经办人授权委托书(模板)承诺书(模板)个人信息出境标准合同(范本)B.5.个人信息保护影响评估报告(模板)个人信息保护认证指南20221118适用范围认证依据GB/TTC260-PG-20222A息跨境处理活动安全认证规范》的要求。上述标准、规范原则上应当执行最新版本。认证模式个人信息保护认证的认证模式为:技术验证+现场审核+获证后监督认证实施程序认证委托托书、相关证明文档等。查后及时反馈是否受理。认证机构应当根据认证委托资料确定认证方案,包括个人信息类型和数量、涉及的个人信息处理活动范围、技术验证机构信息等,并通知认证委托人。技术验证技术验证机构应当按照认证方案实施技术验证,并向认证机构和认证委托人出具技术验证报告。现场审核认证机构实施现场审核,并向认证委托人出具现场审核报告。认证结果评价和批准认证。如发现认证委托人、个人信息处理者存在欺骗、隐瞒信息、故意违反认证要求等严重影响认证实施的行为时,认证不予通过。获证后监督监督的频次认证机构应当在认证有效期内,对获得认证的个人信息处理者进行持续监督,并合理确定监督频次。监督的内容认证机构应当采取适当的方式实施获证后监督,确保获得认证的个人信息处理者持续符合认证要求。获证后监督结果的评价处理。认证时限认证机构应当对认证各环节的时限作出明确规定,并确保相关工作按时限要求完成。认证委托人应当对认证活动予以积极配合。认证证书和认证标志认证证书认证证书的保持认证证书有效期为3年。在有效期内,通过认证机构的获证后监督,保持认证证书的有效性。证书到期需延续使用的,认证委托人应当在有效期届满前6个月内提出认证委托。认证机构应当采用获证后监督的方式,对符合认证要求的委托换发新证书。认证证书的变更认证证书有效期内,若获得认证的个人信息处理者名称、注册地址,或认证要求、认证范围等发生变化时,认证委托人应当向认证机构提出变更委托。认证机构根据变更的内容,对变更委托资料进行评价,确定是否可以批准变更。如需进行技术验证和/或现场审核,还应当在批准变更前进行技术验证和/或现场审核。认证证书的注销、暂停和撤销当获得认证的个人信息处理者不再符合认证要求时,认证机构应当及时对认证证书予以暂停直至撤销。认证委托人在认证证书有效期内可申请认证证书暂停、注销。认证证书的公布认证机构应当采用适当方式对外公布认证证书颁发、变更、暂停、注销和撤销等相关信息。(2) 5.2认证标志不含跨境处理活动的个人信息保护认证标志如下:包含跨境处理活动的个人信息保护认证标志如下:“ABCD”代表认证机构识别信息。(3) 5.3认证证书和认证标志的使用中正确使用认证证书和认证标志,不得对公众产生误导。认证实施细则认证机构应当依据本规则有关要求,细化认证实施程序,制定科学、合理、可操作的认证实施细则,并对外公布实施。认证责任认证机构应当对现场审核结论、认证结论负责。技术验证机构应当对技术验证结论负责。认证委托人应当对认证委托资料的真实性、合法性负责。咨询联系方式联系电话系邮箱:data@附件见附件C:个人信息保护认证申请书数据出境安全合规申报案例(或“备案”)29表6成功通过数据出境申报企业名单数据出境安全评估申报案例首都医科大学附属北京友谊医院与荷兰阿姆斯特丹大学医学中心合作研究项目成为全国首个数据合规出境案例。批,成为我国汽车领域首个通过国家互联网办公室的审批的数据出境安全评估项目。境安全评估,成为跨境电商领域全国首个数据合规出境案例。马自达(中国)企业管理有限公司、丝芙兰(上海)化妆品销售有限公司是上海首批通过数据出境安全评估的两家企业。杭州海康威视数字技术股份有限公司、杭州萤石网络股份有限公司是浙江省首批通过国家网信办数据出境安全评估的企业。个人信息出境标准合同备案案例北京德亿信数据有限公司与香港诺华诚信有限公司签订的个人信息出境标准合同202300001”,家通过订立标准合同实现个人信息合规出境的企业。(长沙境的企业。个人信息保护认证案例(中国5业颁发了我国首批个人信息保护认证证书。附录A数据出境安全评估申报附件附件A.1数据出境安全评估申报材料要求序号材料名称要求备注1统一社会信用代码证件影印件加盖公章2法定代表人身份证件影印件加盖公章3经办人身份证件影印件加盖公章4经办人授权委托书5数据出境安全评估申报书5.1承诺书5.2数据出境安全评估申报表使用中文填写6与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件对数据出境相关法律文件以中文步提交准确的中文译本。7数据出境风险自评估报告使用中文撰写8其他相关证明材料注:采用线下方式提交申报材料的数据处理者,需同步通过光盘提交相应电子版材料。附件A.2经办人授权委托书本人姓名(身份证件号码:)系数据处理者名称的法定代表人,现授权我单位姓名(身份证件号码:)为数据出境安全评估申报工作经办人。经办人代表我单位均予以承认,并将承担相应的法律责任。授权委托期限:年月日至年月日经办人无转委托权。单位名称(盖章):法定代表人(签字):经办人(签字年 月 日附件A.3数据出境安全评估申报书(模板)填写说明:一、由数据处理者法定代表人或其授权的数据出境安全评估申报工作经办人填写。二、有选择的地方请勾选左侧“”符号,有横线的部分应当填写相关信息。三、承诺书和申报表严格按照模板填写。申报表必须使用中文填写,字体四号“仿宋”,数字、字母统一使用四号“TimesNewRoman”162字符。页面设置:A42.54cm3.18cm。进和规范数据跨境流动规定》等法律法规和部门规章。五、由国家互联网信息办公室制定并负责解释。一、承诺书本单位郑重承诺:一、申报出境数据的收集、使用符合中华人民共和国有关法律法规规定;二、申报材料所有内容真实、完整、准确和有效;三、为国家网信办组织实施的数据出境安全评估工作提供必要的配合和支持;四、自评估工作为申报之日前3个月内完成,且至申报之日未发生重大变化。本单位知晓并充分理解上述承诺内容,若承诺不实或者违背承诺,愿意承担相应法律责任。法定代表人(签字):单位(盖章):年 月 日二、数据出境安全评估申报表1数据处理者情况单位名称单位性质政府部门事业单位企业社会组织其他 单位类型内资外资中外合资港澳台资其他 单位注册地办公所在地员工数量统一社会信用代码是否为关键信息基础设施运营者是否处理个人信息规模按自然人(去重)统计数量2法定代表人信息姓名职务/国籍联系电话电子邮箱证件类型居民身份证护照台湾居民来往大陆通行证港澳居民来往内地通行证其他 证件号码3数据安全负责人和管姓名职务/国籍联系电话电子邮箱理机构信息证件类型居民身份证护照台湾居民来往大陆通行证港澳居民来往内地通行证其他 证件号码管理机构名称管理机构人数4经办人信息姓名职务/国籍联系电话电子邮箱证件类型居民身份证 护照台湾居民来往大陆通行证港澳居民来往内地通行证其他 证件号码5数据处理者遵守中国法律、行政法规、部门规章情况简述近2年在业务经营活动中受到行政处罚和有关主管监管部门调查及整改情况,重点说明数据和网络安全方面相关情况6数据出境场景1出境场景简述数据出境方式等,应与法律文件中涉及业务名称一致,不超过100字(数据出境方式参考:公共互联网传输、跨境专线传输、公共互联网远程访问、跨境专线远程访问等)拟出境数据情况数据类型重要数据重要数据认定主管部门名称个人信息是否包含敏感个人信息是否涉及行业/领域工业电信交通金融自然资源卫生健康教育科技能源国防科工文旅跨境电商零售互联网其他 涉及自然人(去重)数量包括当年已出境数量、未来三年出境数量以及两者的关系涉及重要数据规模MB/GB/TB境外接收方情况境外接收方名称所在国家或者地区所在地址主营业务负责人姓名负责人职务联系方式电话:邮箱:统计说明:(如需)6数据出境场景2出境场景简述数据出境方式等,应与法律文件中涉及业务名称一致,不超过100字(数据出境方式参考:公共互联网传输、跨境专线传输、公共互联网远程访问、跨境专线远程访问等)拟出境数据情况数据类型重要数据重要数据认定主管部门名称个人信息是否包含敏感个人信息是否涉及行业/领域工业电信交通金融自然资源卫生健康教育科技能源国防科工文旅跨境电商零售互联网其他 涉及自然人(去重)数量包括当年已来三年出境涉及重要数据规模MB/GB/TB数量以及两者的关系境外接收方情况境外接收方名称所在国家或者地区所在地址主营业务负责人姓名负责人职务联系方式电话:邮箱:统计说明:(如需)6数据出境场景3......注:1.其他申报材料内容应与申报表内容保持一致。6项应按场景分项描述,可根据实际申报的出境场景数量增加申报表第6项。出境个人信息涉及自然人范围一致的场景应当合并。6项境外接收方情况可填写统计数据。附件A.4数据出境风险自评估报告(模板)数据处理者名称: (盖章年 月 日说明:(一)数据处理者申报数据出境安全评估时需提供自评估报告,并对所提交的自评估报告及附件材料真实性负责;(二)报告所述自评估活动为本次申报前3个月内完成;(三)如有第三方机构参与自评估,须在自评估报告中说明第三方机构的基本情况及参与评估的情况;(四NewRoman”2622.54cm3.18cm。一、自评估工作情况简要概述自评估工作开展情况,包括起止时间、组织情况、实施过程、实施方式等内容。二、出境活动整体情况简要说明数据处理者基本情况、数据处理者安全保障能力情况、境外接收方情况、法律文件约定情况等,详细说明拟出境数据情况。包括不限于:(一)数据处理者基本情况基本情况简介,包括股权结构、实际控制人、境内外投资情况等;组织架构和数据安全管理机构信息;整体业务与数据资产情况。(二)拟出境数据情况数据出境涉及业务、数据资产等情况;数据出境及境外接收方处理数据的目的、范围、方式,及其合法性、正当性、必要性;一说明(如下表所示),同一场景下的数据项需去重;序号数据项名称内容描述出境必要性示例备注12......拟出境数据在境内存储的系统平台、数据中心(包含云服务)链路相关情况,计划出境后存储的系统平台、数据中心等;数据出境后向境外其他接收方提供的情况;涉及个人信息的,按照自然人(去重)3境数量。(三)数据处理者数据安全保障能力情况应急处置、风险评估、个人信息权益保护等制度及落实情况;(十三条第一款第二项至第七项规定情形的,不需取得个人同意)除等全流程所采取的安全技术措施等;数据安全检查测评、数据安全合规审计、网络安全等级保护测评等情况;遵守数据和网络安全相关法律法规的情况。(如涉及受到行政处罚和监管整改的,可以提供证明整改完成的相关佐证材料)(四)境外接收方情况境外接收方基本情况;境外接收方处理数据的用途、方式等;境外接收方履行责任义务的管理和技术措施、能力等。(五)法律文件约定数据安全保护责任义务的情况数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;止后出境数据的处理措施;对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;保障数据安全时,应当采取的安全措施;违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。(六)数据处理者认为需要说明的其他情况三、出境活动的风险自评估情况及结论对照《数据出境安全评估办法》第五条规定事项,说明数据出境风险自评估情况,重点说明自评估发现的问题和整改情况。综合风险自评估情况和相应整改情况,对拟申报的数据出境活动作出客观的风险自评估结论,充分说明得出自评估结论的理由。附录B个人信息出境标准合同备案附件附件B.1个人信息出境标准合同备案材料要求序号材料名称要求1统一社会信用代码证件影印件加盖公章2法定代表人身份证件影印件加盖公章3经办人身份证件影印件加盖公章4经办人授权委托书5承诺书6个人信息出境标准合同7个人信息保护影响评估报告使用中文撰写附件B.2经办人授权委托书(模板)本人姓名(身份证件号码:)系个人信息处理者名称的法定代表人,现授权我单位姓名(身份证件号码:)为个人信息出境标准合同备案经办人。经办人代表我单位均予以承认,并将承担相应的法律责任。授权委托期限: 年 月 日至 年 月 经办人无转委托权。单位名称(盖章):法定代表人(签字经办人(签字):年 月 日附件B.3承诺书(模板)本单位郑重承诺:一、出境个人信息的收集、使用符合中华人民共和国有关法律法规规定;二、备案材料所有内容真实、完整、准确和有效;同的方式向境外提供;3本单位知晓并充分理解上述承诺内容,若承诺不实或者违背承诺,愿意承担相应法律责任。法定代表人(签字):单位(盖章):年 月 日附件B.4个人信息出境标准合同国家互联网信息办公室 制定为了确保境外接收方处理个人信息的活动达到中华人民共和国相关法律法规规定经双方协商一致,订立本合同。人信息处理者: 址: 系方式: 联系人: 职务: 外接收方: 址: 系方式: 联系人: 职务: 个人信息处理者与境外接收方依据本合同约定开展个人信息出境活动,与此活动关的商业行为双【已【约定于 年 月 日订立 (商业合同如有本合同正文根据《个人信息出境标准合同办法》的要求拟定,在不与本合同正文内第一条定义在本合同中,除上下文另有规定外:(一)“个人信息处理者”是指在个人信息处理活动中自主决定处理目的、处理方式的,向中华人民共和国境外提供个人信息的组织、个人。(二)“境外接收方”是指在中华人民共和国境外自个人信息处理者处接收个人信息的组织、个人。(三)个人信息处理者或者境外接收方单称“一方”,合称“双方”。(四)“个人信息主体”是指个人信息所识别或者关联的自然人。(五)“个人信息”是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。(六)“敏感个人信息”是指一旦泄露或者非法使用,容易导致自然人的人格尊严(七)“监管机构”是指中华人民共和国省级以上网信部门。(八)“相关法律法规”是指《中华人民共和国网络安全法》《中华人民共和国数共和国民事诉讼法》《个人信息出境标准合同办法》等中华人民共和国法律法规。(九)本合同其他未定义术语的含义与相关法律法规规定的含义一致。第二条个人信息处理者的义务个人信息处理者应当履行下列义务:(一)按照相关法律法规规定处理个人信息,向境外提供的个人信息仅限于实现处理目的所需的最小范围。(二)向个人信息主体告知境外接收方的名称或者姓名、联系方式、附录一“个人信息出境说明”要告知的除外。(三)独同意。法律、行政法规规定应当取得书面同意的,应当取得书面同意。(四)30日内明确拒绝,则可以依据本合同享有第三方受益人的权利。(五)尽合理地努力确保境外接收方采取如下技术和管理措施(综合考虑个人信息输及境外接收方的保存期限等可能带来的个人信息安全风险务:(如加密、匿名化、去标识化、访问控制等技术和管理措施) 六)根据境外接收方的要求向境外接收方提供相关法律规定和技术标准的副本。(七)答复监管机构关于境外接收方的个人信息处理活动的询问。(八)按照相关法律法规对拟向境外接收方提供个人信息的活动开展个人信息保护影响评估。重点评估以下内容:当性、必要性。益带来的风险。出境个人信息的安全。益维护的渠道是否通畅等。按照本合同第四条评估当地个人信息保护政策和法规对合同履行的影响。3(九)根据个人信息主体的要求向个人信息主体提供本合同的副本。如涉及商业秘进行适当处理。(十)对本合同义务的履行承担举证责任。(十一)息,包括所有合规审计结果。境外接收方应当履行下列义务:(一)按照附录一“个人信息出境说明”所列约定处理个人信息。如超出约定成年人的父母或者其他监护人的单独同意。(二)受个人信息处理者委托处理个人信息的,应当按照与个人信息处理者的约定(三)根据个人信息主体的要求向个人信息主体提供本合同的副本。如涉及商业秘进行适当处理。(四)采取对个人权益影响最小的方式处理个人信息。(五)个人信息的保存期限为实现处理目的所必要的最短时间,保存期限届满的,(包括所有备份储和采取必要的安全保护措施之外的处理。(六)按下列方式保障个人信息处理安全:保个人信息安全。确保授权处理个人信息的人员履行保密义务,并建立最小授权的访问控制权限。(七)如处理的个人信息发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问,应当开展下列工作:及时采取适当补救措施,减轻对个人信息主体造成的不利影响。含下列事项:问的个人信息种类、原因和可能造成的危害。已采取的补救措施。个人信息主体可以采取的减轻危害的措施。负责处理相关情况的负责人或者负责团队的联系方式。2个人信息处理者委托处理个人信息的,由个人信息处理者通知个人信息主体。授权提供或者访问有关的情况,包括采取的所有补救措施。(八)同时符合下列条件的,方可向中华人民共和国境外的第三方提供个人信息:确有业务需要。权益的影响。但是法律、行政法规规定不需要告知的除外。基于个人同意处理个人信息的,应当取得个人信息主体的单独同意。涉及不满十律、行政法规规定应当取得书面同意的,应当取得书面同意。与第三方达成书面协议,确保第三方的个人信息处理活动达到中华人民共和国相人信息而侵害个人信息主体享有权利的法律责任。根据个人信息主体的要求向个人信息主体提供该书面协议的副本。如涉及商业秘进行适当处理。(九)受个人信息处理者委托处理个人信息,转委托第三方处理的,应当事先征得“个人信息出境说明”中约(十项,或者向个人信息主体提供便捷的拒绝方式。(十一)计,并为个人信息处理者开展合规审计提供便利。(十二)3关法律法规要求直接或者通过个人信息处理者向监管机构提供相关记录文件。(十三)同意在监督本合同实施的相关程序中接受监管机构的监督管理,包括但不提供已采取必要行动的书面证明等。第四条境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响(一)(机关访问个人信息的规定)影响境外接收方履行本合同约定的义务。(二)双方声明,在作出本条第一项的保证时,已经结合下列情形进行评估:出境的具体情况,包括个人信息处理目的、传输个人信息的种类、规模、范围及关要求其提供个人信息的请求及境外接收方应对的情况。境外接收方所在国家或者地区的个人信息保护政策和法规,包括下列要素:该国家或者地区现行的个人信息保护法律法规及普遍适用的标准。境外接收方安全管理制度和技术手段保障能力。(三)境外接收方保证,在根据本条第二项进行评估时,已尽最大努力为个人信息处理者提供了必要的相关信息。(四)双方应当记录根据本条第二项进行评估的过程和结果。因境外接收方所在国家或者地区的个人信息保护政策和法规发生变化(包括境外接收方所在国家或者地区更改法律,或者采取强制性措施)导致境外接收方无法履行本合同的,境外接收方应当在知道该变化后立即通知个人信息处理者。境外接收方接到所在国家或者地区的政府部门、司法机构关于提供本合同项下的个人信息要求的,应当立即通知个人信息处理者。第五条个人信息主体的权利双方约定个人信息主体作为本合同第三方受益人享有以下权利:(一除其个人信息,有权要求对其个人信息处理规则进行解释说明。(二)当个人信息主体要求对已经出境的个人信息行使上述权利时,个人信息主体息处理者无法实现的,应当通知并要求境外接收方协助实现。(三在合理期限内实现个人信息主体依照相关法律法规所享有的权利。境外接收方应当以显著的方式、清晰易懂的语言真实、准确、完整地告知个人信息主体相关信息。境外接收方拒绝个人信息主体的请求的,应当告知个人信息主体其拒绝的原因,以及个人信息主体向相关监管机构提出投诉和寻求司法救济的途径。(五)个人信息主体作为本合同第三方受益人有权根据本合同条款向个人信息处理者和境外接收方的一方或者双方主张并要求履行本合同项下与个人信息主体权利相关的下列条款:第二条,但第二条第五项、第六项、第七项、第十一项除外。24三项除外。第四条,但第四条第五项、第六项除外。第五条。第六条。第八条第二项、第三项。第九条第五项。第六条救济(一)境外接收方应当确定一个联系人,授权其答复有关个人信息处理的询问或者信息主体该联系人信息,具体为:联系人及联系方式(办公电话或电子邮箱) 一方因履行本合同与个人信息主体发生争议的,应当通知另一方,双方应当合作解决争议。(三)争议未能友好解决,个人信息主体根据第五条行使第三方受益人的权利的,境外接收方接受个人信息主体通过下列形式维护权利:向监管机构投诉。向本条第五项约定的法院提起诉讼。(四)选择适用中华人民共和国相关法律法规的,从其选择。(五)双方同意个人信息主体就本合同争议行使第三方受益人权利的,个人信息主体可以依据《中华人民共和国民事诉讼法》向有管辖权的人民法院提起诉讼。(六)双方同意个人信息主体所作的维权选择不会减损个人信息主体根据其他法律法规寻求救济的权利。第七条合同解除(一)境外接收方违反本合同约定的义务,或者境外接收方所在国家或者地区的个(取强制性措施收方提供个人信息,直到违约行为被改正或者合同被解除。(二)有下列情形之一的,个人信息处理者有权解除本合同,并在必要时通知监管机构:1个月。境外接收方遵守本合同将违反其所在国家或者地区的法律规定。境外接收方严重或者持续违反本合同约定的义务。信息处理者违反了本合同约定的义务。124目的情况下,境外接收方可以解除本合同。(三)经双方同意解除本合同的,合同解除不免除其在个人信息处理过程中的个人信息保护义务。(四)合同解除时,境外接收方应当及时返还或者删除其根据本合同所接收到的个(包括所有备份难以实现的,应当停止除存储和采取必要的安全保护措施之外的处理。第八条违约责任(一)双方应就其违反本合同而给对方造成的损失承担责任。(二)任何一方因违反本合同而侵害个人信息主体享有的权利,应当对个人信息主事等法律责任。(三)双方依法承担连带责任的,个人信息主体有权请求任何一方或者双方承担责任。一方承担的责任超过其应当承担的责任份额时,有权向另一方追偿。第九条其他(一(二)本合同的成立、效力、履行、解释、因本合同引起的双方间的任何争议,适用中华人民共和国相关法律法规。(三(以航空信件寄送确认副本(具体地址)以航空挂号信寄出本合同项下的通知,在邮戳日期后的天应当视为收讫;如以电子邮件、电报、电传或者传真发出,在发出以后的个工作日应当视为收讫。(四)种方式加以解决(如选择仲裁,请勾选仲裁机构):仲裁。将该争议提交□中国国际经济贸易仲裁委员会□中国海事仲裁委员会□北京仲裁委员会(北京国际仲裁中心)□上海国际仲裁中心□其他《承认及执行外国仲裁裁决公约》成员的仲裁机构 按其届时有效的仲裁规则在(仲裁地点) 进行仲裁;诉讼。依法向中华人民共和国有管辖权的人民法院提起诉讼。(五)本合同应当按照相关法律法规的规定进行解释,不得以与相关法律法规规定的权利、义务相抵触的方式解释本合同。(六)本合同正本一式 份,双方各执 份,其法律效力相同本合同在(地点) 签订个人信息处理者: 年 月 日外接收方: 年 月 日附录一个人信息出境说明(一)处理目的:(二)处理方式:(三)出境个人信息的规模:(四)出境个人信息种类(参考GB/T35273《信息安全技术个人信息安全规范》和相关标准):(五)出境敏感个人信息种类(如适用,参考GB/T35273《信息安全技术个人信息安全规范》和相关标准):(六)境外接收方只向以下中华人民共和国境外第三方提供个人信息(如适用):(七)传输方式:(八)出境后保存期限:(年月日至年月日)(九)出境后保存地点:(十)其他事项(视情况填写):附录二双方约定的其他条款(如需要)附件B.5个人信息保护影响评估报告(模板)(出境版)个人信息处理者名称: (盖章年 月 日说明:(一并对所提交的评估报告真实性负责;(二)3个月内完成;(三)如有第三方机构参与评估,须在评估报告中说明第三方机构的基本情况及参与评估的情况;(四“仿宋”(用四号“TimesNewRoman”2622.54cm3.18cm。一、出境活动整体情况(一)个人信息处理者基本情况保护机构信息等。整体业务与处理个人信息情况。拟出境个人信息情况。个人信息出境涉及业务、个人信息收集使用、信息系统等情况;正当性、必要性;出境个人信息的规模、范围、种类、敏感程度,处理敏感个人信息情况;关情况,计划出境后存储的系统平台、数据中心等;个人信息出境后向境外其他接收方提供的情况。遵守个人信息保护相关法律法规的情况。(二)境外接收方情况境外接收方基本情况;境外接收方处理个人信息的用途、方式等;境外接收方履行责任义务的管理和技术措施、能力等。(三)个人信息处理者认为需要说明的其他情况二、拟出境活动的影响评估情况及结论重点说明评估发现的问题和整改情况。综合影响评估情况和相应整改情况,对个人信息出境活动作出客观的影响评估结论,充分说明得出评估结论的理由和论据。附录C个人信息保护认证附件个人信息保护认证申请书申请方名称(盖章):申请日期:中国网络安全审查技术与认证中心填写说明1、本申请书适用于向中国网络安全审查技术与认证中心申请个人信息保护认证。2A4子版方式提交申请书和申请书中要求的相关材料。3、联系信息联系电话系邮箱:data@联系地址:北京市东城区安定门外大街56号楼5层(100011)申请方声明本组织正式提出个人信息保护认证申请,并对以下活动作出声明:12重大个人信息安全事件;申请时所提供的信息以及在整个认证过程中提供的信息属实;遵守中国网络安全审查技术与认证中心的有关规范和程序要求,配合认证相关工作;获证后遵守认证证书、认证标志使用相关的规定。对于影响认证有效性的变更(包括但不限于:数据目录变更、业务范围变更等),应通知中国网络安全审查技术与认证中心相关变更情况。申请方代表(签名):申请方(盖章):年月日个人信息保护认证申请书申请信息认范扩大 证缩小 申方称更 注册址生更其他变更:GB/T35273-2020《信息安全技术个人信息安全规范》TC260-PG-20222A《网络安全标准实践指南个人信息跨境处理活动安全认证规范》相关标准、规范申请方信息2.1)2.2.1()(若申请通过认证,除中文版认证证书外是否需要英文版认证证书:是;否。申请方全称(中文):;申请方全称(英文):;统一社会信用代码:;注册地址(中文):,邮编:,行政区划代码:;注册地址(英文):;申请证围盖人:;请总人:人年营务入在2000万元上是 否所属民济业: ;参照GB/T4754-2017《民济行业类代》,写4数小法人: 个信护负人: ;联系: 电: 机: 真:E-mail: 讯: 。覆盖的组织范围(中文):;覆盖的组织范围(英文):;覆盖的地址(中文):,邮编:;如涉及多个场所需分别填写,详见附录B中B.1.1覆盖的地址(英文):。覆盖的业务范围(中文):;覆盖的业务范围(英文):;涉及的个人信息处理活动类型: 收集 存储 使用 委托处理 共享转让、公开 第三方应用 跨境提供涉及个人信息主体量级为:个人信息主体数量100万以下个人信息主体数量1000万以下100万以上(含)个人信息主体数量1亿以下1000万以上(含)个人信息主体数量1亿以上(含)111)个人信息涉及主体的量级:向境外提供10万人以上个人信息向境外提供10万人以下个人信息2)敏感个人信息涉及主体的量级:11BB.1.2申请认证所需提供的材料申请方的营业执照/法人证书复印件;自评价表及相关证据材料;业务流程及描述;本章节材料请参考附录B中B.2提供; 申请认证的业务流程、数据流图及描述:如涉及跨境提供,提供跨境业务流程、数据流图及描述:3.4涉及认证对象的组织机构图或职能表述文件:涉及个人信息处理活动的组织架构描述;如涉及跨境提供,跨境业务涉及的组织机构图或职能表述文件:3.5请参考附录B中B.1.1提供;如涉及跨境提供,请参照附录BB.2.1请参考附录B中B.4提供;3.7其他补充资料。其它申请方是否获得数据相关认证,如数据安全管理认证、App?(选)否;是申请方可从下列技术验证机构中选择一家实施技术验证:机构一名称机构二名称申请方选择技术验证机构入场方式:技术验证机构单独入场技术验证机构和审核组一同入场其他需要说明的问题:。附件C.1场所地址序号名称地址)职工数所涉及的部门所涉及的业务活动所涉及的个人信息处理活动固定/临时行政区划代码收集存储使用委托处理共享、转让、公开第三境外接收方基本情况序号注册地址联系人联系方式接收数据基本情况涉及的业务涉及数据量目的范围类型敏感程度方式保存期限存储地点1境外接收方110万人以上个人信息10万人以上个人信息1万人以上敏感个人信息1万人以下敏感个人信息2境外接收方2……附件C.2承载业务的系统列表序号业务名称业务系统名称业务系统描述是否涉及跨境XX业务系统业务系统框架及功能介绍请描述系统功能架构图和介绍材料XX业务系统框架图请描述实际业务系统架构图XX业务系统序号业务系统名称业务功能列表所涉及的个人信息所涉及的处理活动XX业务和数据流程图请描述数据流图(主要是个人信息)以及与业务活动的关系跨境业务和数据流程图如涉及跨境提供,请描述跨境业务流和数据流图(主要是跨境提供的个人信息),以及与跨境业务活动的关系。附件C.3XXXX(模板)发布日期:XXXX年XX月XX日,版本号:XXX数据类型类型1级子类类型2级子类……处理活动级别个人信息示例,个人基本信息示例,敏感个人信息如涉及跨境提供,请提供下表:涉及跨境提供数据目录(模板)数据类型类型1级子类类型2级子类……境外接收方国别个人信息示例,个人基本信息示例,敏感个人信息注:B.3.1和B.3.2应满足以下要求:1、本目录的数据类型、分类层级及分级可参考相应标准细化和调整。2(3、提供数据目录的范围应是此次申请认证的范围,版本的控制应该遵循申请组织相关的要求。附件C.4适用性声明编号标准条款评价项不适用原因备注123456789申请方代表(签名):申请方(盖章):年 月 日附录D常见实务问题Q&A一、 什么是“数据出境”?有哪几种常见类型?根据《办法》规定和国家网信办答记者问,《办法》所称数据出境活动主要如下两种:第一种:数据处理者将在境内运营中收集和产生的数据传输、存储至境外。第二种:以访问或者调用。数据类型境内运营中收集和产生的重要数据或个人信息出境方式向境外提供,包括物理跨越和远程访问境外的含义中华人民共和国大陆地区的以外的其他国家/地区,包括港澳台地区开展数据出境活动的双方涉及数据传输方和数据接收方如下图所示:常见场景如下表所示:场景判断某境外公司A情形1AAPP某境外公司A境内有子公司B情形21A公司在境外使用云服务器CA与C情形3BAPPB信息同步给其总部A,B与C情形4BIT系统是境外技术服务提供D本地化部署的,且DITBug修复,B与D二、 “数据出境安全评估”的触发条件有哪几种?触发条件有四种,达到其中之一即应当启动出境安全评估,分别为:向境外提供重要数据;关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;11日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;国家网信部门规定的其他需要进行安全评估的情况。名称定义标准关键信息基础设施企业要判断其数据出境行为是否适用《办法》的规定,就要判断企业是否属于关键信息基础设施运营者。企业应根据以上情况判定是否应当进行出境安全评估。三、 什么是“关键信息基础设施运营者”与“重要名称定义标准关键信息基础设施企业要判断其数据出境行为是否适用《办法》的规定,就要判断企业是否属于关键信息基础设施运营者。运营者2021第二基于此,企业一旦被认定为关键信息基础设施的运营者将会收到相关主管部门的通知。可以理解,企业如未收到主管部门的认定关键信息基础设施的运营者的通知,企业可以暂时认为自己不是CIIO。重要数据依据《办法》第十九条,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。据此可以判断,重要数据的识别主要聚焦于数据的性质和对国家安全和公共利益影响。重要数据采用的是定性与定量相结合判断的方法。若单条信息对国家安全可能造成影响的,单条信息亦可能构成重要数据,如国家战略物资的储备量。但若单条或少量信息不会影响国家安全或社会公共利益,但覆盖较大范围或较长时间的,或是涉及某些重要区域或时期的信息集合亦可能构成重要数据。从实务角度出发,虽然《数据安全法》规定由各地区、各部门负责确定本地区、本部门以及相关行业、领域的重要数据目录,但目前,汽车领域出台了《汽车数据安全管理若干规定(试行)》对此做出尝试,通信行业发布了行标《YD/T3867-2021基础电信企业重要数据识别指南》,正在制定的国标《信息安全技术重要数据识别指南》已被终止,其他领域的重要数据识别指南仍有待进一步细化。以下为各标准规范(含在制定中)中的“重要数据”定义:四、什么是“敏感个人信息”?如何判断?敏感个人信息属于个人信息的一部分,凡是能够定位到特定主体、特定自然人活动的信息就是个人信息,而在全部个人信息中,一旦泄露能够对个人人身、财产、人格尊严造成伤害的信息属于敏感个人信息。最新发布的《中华人民共和国个人信息保护法》对于敏感个人信息进行了列举,归纳为7类:生物识别:如人脸识别;宗教信仰;特定身份(十四周岁以下未成年人等);医疗健康;金融账户;行踪轨迹;等信息(现在不能列举的敏感个人信息)。但对于敏感个人信息的具体认定与适用,目前需要结合个人信息的信息主体、信息处理者、使用目的、危害后果等多个维度,以及需要对个案或个别企业的情况及业务场景进行综合考虑来判断相关信息是否应属于敏感个人信息,可以从以下四个方面进行考虑:要素描述信息主体281信息处理者一是信息处理者的规模会导致信息由非敏感变为敏感;二是信息处理者的技术操控能力可能会使信息由非敏感变为敏感;三是第三方主体往往是敏感个人信息的接收方,其与信息处理者或信息主体的关系可能影响信息的敏感度,比如一般而言,作为信息处理者的委托处理方相较作为信息主体指定的接收信息方更敏感。使用目的对于具体的个人信息,还应当依据使用场景的不同,使用目的的不同,来对其是否属于敏感个人信息进行判断。例如,在金融机构办理相关业务时,提供个人的身份信息、金融账户信息,由于这些信息与个人的财产安全紧密相关,基于处理目的的敏感性,上述信息属于敏感个人信息。使用打车软件时,所提供的个人位置信息、个人电话号码,上述信息与个人的人身自由与安全密切相关,同样属于敏感个人信息。危害后果与人格尊严、人身财产权益相关的个人信息一旦被信息处理者利用来谋取利益,那对个人可能会造成危害将难以预料和控制。比如掌握自然人的基因、指纹、声纹、掌纹、脸部特征等生物识别信息,就可以精准且永久识别特定自然人。若个人的上述身份识别信息被他人窃取并滥用,则极容易导致个人金融账户被远程盗取、个人的行踪信息被定位追踪、个人的肖像被替换滥用,对个人的人身、财产、人格尊严造成巨大的危害后果。五、 企业内部自评估与国家网信部安全评估有什么差异?企业内部自评估主管部门评估(一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;(一(二)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;(二((三(四)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;(四)数据安全和个人信息权益是否能够得到充分有效保障;(五)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务;(五)数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务;_(六)其他可能影响数据出境安全的事项。(七)国家网信部门认为需要评估的其他事项。六、数据出境自评估只能由企业自行开展吗?数据出境风险自评估可由企业自行开展,也可委托第三方机构开展。若企业自行开展自评估,建议评估团队涵盖数据出境安全相关人员;若企业委托第三方机构开展自评估,评估报告应加盖评估机构公章,第三方机构在自评估过程中对知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密;若选择有涉外背景的第三方机构开展自评估,应注意规避数据二次出境或转移风险。七、已订立标准合同或经过个人信息认证的,还需要进行安全评估吗?路径依据路径一通过国家网信部门组织的安全评估《数据出境安全评估管理办法》路径二经专业机构进行个人信息保护认证《个人信息跨境处理活动认证技术规范》路径三与境外接受方订立合同《个人信息出境标准合同规定(征求意见稿)》路径四《个人信息出境标准合同规定(征求意见稿)》_八、 “法律文件”与“标准合同”有什么区别?在《办法》所要求提交的申报资料包括“数据处理者与境外接收方拟订立的法律文件”(“法律文件”),《评估办法》第九条规定:数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,至少包括以下内容:(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;(二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;(三)对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;(四境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施;(五)违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;(六)出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。虽然“法律文件”在内容要求上类似合同,但是不限于合同一种形式,例如有约束的集团公司内部管理制度理论上也符合要求。《个人信息保护法》第三十八条第一款规定:个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务:(四)法律、行政法规或者国家网信部门规定的其他条件。《数据出境安全评估办法》提到的“法律文件”与《个人信息保护法》提到的“标准合同”不同,两者区别主要包括如下几个方面:序号法律文件标准合同一安全评估的申报资料之一与安全评估并列的个人信息出境的安全管理制度之一二由数据处理者与境外接收方在满足安全评估要求的前提下自由约定主要条款由国家网信部门制定三事前监管事后监管九、如何理解境外“接收方”与再转移“接收方”之间的关系?根据《办法》第九条以及《指南》当中的要求,数据处理者在与境外接收方订立的法律文件中,应当明确境外接收方将出境数据再转移给其他组织、个人的约束性要求。同时,在制作《数据出境风险自评估报告》(《报告》)的过程中,数据处理者还需要在专门章节描述数据出境后向境外其他接收方提供的情况。因此,境内数据处理者与境外接收方在订立法律文件时,需要专门约定境外接收方将接收到的数据再转移给第三方时,所应承担的对第三方的约束性义务。并在申报安全评估时,对再转移第三方的信息于《报告》中进行披露。结合《个人信息出境标准合同》第三条第(七)款的内容,以及上一问中阐释的对《个人信息出境标准合同》与“法律文件”的关系的理解,境外接收方在进行数据跨境的再转移之前,应当保证(1)原则上不进行数据再转移,除非确有需要;(2)充分履行告知义务,包括告知个人信息主体再转移接收方的身份、联系方式、处理目的、处理方式、个人信息种类以及行使个人信息主体权利的方式和程序等;(3)除非法律另有规定,取得个人信息主体的单独同意;(4)接收方与再转移接收方达成书面协议并向个人信息主体提供协议副本。另外,根据我们咨询网信办所得到的答复,再转移接收方无需按照《报告》对接收方的要求,描述并提供所在国家或者地区数据安全保护政策法规和网络安全环境的分析。当然,网信办在答复中并未禁止企业对再转移接收方所在国家或地区的数据安全保护政策法规和网络安全环境进行分析。我们认为,如果再转移接收方所在的国家或地区本身能够对所接收的境外数据提供强有力的保障(比如加入特定国际公约,承诺对成员国数据提供同等保护等),则建议企业增加相关描述。十、 如何理解《个人信息保护影响评估报告》(“PIA报告”)与《数据出境安全自评估报告》之间的关系?按照《个人信息保护法》第五十五条的要求,个人信息跨境活动属于需要进行个人信息保护影响评估的个人信息处理活动。考虑到时间与效率的问题,根据PIA报告具有一定的可操作性。但是我们并不推介企业采取这种方式履行个人信息保护影响评估义务。《报告》所要求的是对数据跨境活动进行评估,而《个人信息保护法》第五十五条还要求对个人信息跨境以外的敏感个人信息处理活动、自动化决策、委托处理、对外提供以及公开个人信息等进行个人信息保护影响评估。如果境内数据处理者根据《报告》内容出具PIA报告,而在跨境活动中还涉及对敏感个人信息的处理,则事实上所出具的PIA报告并不能全面覆盖《个人信息保护法》五十五条提出的合规要求。十一、若企业为境外接收方提供了可访问中国境内数据的通道,但事实上境外接收方从未访问境内数据,此种情形是否属于数据出境行为?属于。根据《数据出境安全评估申报指南(第一版)》对“数据出境”概念的阐述,只要境内数据处理者为境外机构开设了查询、调取、下载、导出数据的端口即视为数据出境。根据我们咨询网信办所得到的答复,可访问境内数据而实际未访问的境外主体,仍然会被认定为《办法》意义下的“境外接收方”,且只有境内数据处理者完全关闭为境外机构开设的访问渠道,同时停止其他一切积极跨境传输行为时,才能被认定为不进行数据跨境。十二、如企业集团办理标准合同备案,能否向子公司或关联公司住所地的属地网信办提交备案申请?目前还没有统一的监管口径。企业在提交标准合同备案申请之前,可就集团企业的具体情况向网信办做情况说明和咨询,针对不同省级行政区的境内关联主体,建议根据本集团的组织架构情况,按照便利、统筹的原则与监管进行沟通。十三、国内有多家企业可以合并备案吗?合并与不合并的标准是什么?关于标准合同场景下的联合申报方式,原则上不同地区的境内关联主体应当独立向属地网信部门办理标准合同备案;同一地区的不同实体合并备案的,原则上应当满足:同一场景、同一服务器/系统、同一部署(个人信息分块管理逻辑)。因各地网信部门的要求可能有差异以及各家公司的具体情况各不相同,就个人信息出境标准合同的备案场景而言,有联合备案需求的企业可提前与属地网信办进行沟通。十四、如果企业已经签署基于GDPR的标准合同,是否还要签署中国版的标准合同?需要。基于《个人系信息出境标准合同办法》的要求,如企业选择通过订立标准合同的方式开展个人信息出境活动,则企业与境外接收方必须严格按照官方模板,订立标准合同。对于已经签署GDPR项下的SCCs的跨国企业,需注意处理中国版标准合同与已有数据处理协议之间的兼容与冲突问题。十五、若企业属于应申报数据出境安全评估的情况,却未进行评估申报,会有什么后果?我们认为,未履行出境安全评估义务的,行政机关有权依据《个人信息保护法》《网络安全法》《数据安全法》中的相关规定对企业进行处罚。具体而言,根据上述法规应开展数据出境安全评估而未开展数据出境安全评估的企业:根据《个人信息保护法》,将由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。根据《网络安全法》,关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论