成全在线观看免费完整的,成全影视大全免费追剧大全,成全视频高清免费播放电视剧好剧,成全在线观看免费完整,成全在线观看高清全集,成全动漫视频在线观看完整版动画

2022年7月7日，國家互聯網信息辦公室（“國家網信辦”）在其官網上公布了《數據出境安全評估辦法》（“《辦法》”）的正式文本[1]，該《辦法》將于2022年9月1日起施行?！掇k法》的出臺標志著國家網絡治理的三部大法（即《網絡安全法》、《數據安全法》與《個人信息保護法》）下的數據出境配套規范版圖日漸清晰，也為境內有數據出境需求的企業提供了更加明確與細化的指引。

本文將重點聚焦對《辦法》項下三大問題進行解讀，希望可以解答讀者的部分疑惑，并嘗試給予相關企業一些切實可行的針對性建議，以供參考。

內容索引

一、哪些企業需要申報數據出境安全評估？

1.主體身份識別

2.哪些場景屬于《辦法》下的“數據出境”？

3.安全評估的四大適用情形 

二、如何實施數據出境風險自評估？

1.不同類型的評估對照

2.數據出境風險自評估與數據出境安全評估的評估事項對比

3.數據出境風險自評估實施步驟

三、數據出境法律文件（合同文本）準備的注意要點

1.數據出境法律文件的形式

2.在商業合作場景下，數據出境法律文件與商業合作合同的體系安排

3.數據出境法律文件的必備條款

四、合規建議

1.數據出境路徑選擇

2.出境數據的本地化存儲

3.宜盡早開展數據出境風險自評估

在開展數據出境風險自評估工作之前，首先需要搞明白的一個問題就是，企業是否落入了《辦法》規定中需要申報數據出境安全評估（“安全評估”）的范圍？對此，可以從“主體”、“場景”和“適用情形”三大維度進行判斷。

1.主體身份識別

(1)  《辦法》規制的“數據處理者”的范圍

《辦法》第二條開宗明義地表達了《辦法》規制的是數據處理者向境外提供其在中國境內運營中收集和產生的重要數據和個人信息。不少人士可能會對“數據處理者”的內涵產生疑問。例如，數據處理者的受托方向境外傳輸數據，是否也需要申報安全評估？“數據處理者”是否包括《個人信息保護法》（“《個保法》”）第三條第（二）款規定的境外個人信息處理者？對此，我們認為：

1)  由于目前《辦法》及其所依據的上位法中的相關規定（即《個保法》第三十八條、《數據安全法》（“《數安法》”）第三十一條）并沒有對于境內受托方向境外傳輸的場景進行規范，且境內受托方的跨境傳輸行為系根據委托方的意志而實施，并非由于其自身處理目的，因此，我們認為申報安全評估的數據處理者應不包括受托方。盡管如此，仍有待監管部門進一步的澄清。

2) 結合《辦法》的現有條文以及《個保法》第三十八條規定來看，《個保法》第三十八條及《辦法》似乎不適用于《個保法》第三條第（二）款規定的境外個人信息處理者對境內自然人的個人信息處理活動。根據最近出臺的《網絡安全標準實踐指南——個人信息跨境處理活動安全認證規范》（TC260-PG-20222A），《個保法》第三條第（二）款規定適用的個人信息處理活動納入了可進行認證的范疇。因此，《辦法》是否亦可能規制《個保法》第三條第（二）款規定適用的個人信息處理活動，有待實踐觀察。

(2)  識別是否屬于“關鍵信息基礎設施運營者”

相較于對其他數據處理者的要求，《辦法》對于“關鍵信息基礎設施運營者”（“關基運營者”）申報數據出境安全評估的門檻顯然低得多，無論其向境外傳輸的是多少規模的重要數據與個人信息，一律要求進行數據出境安全評估。這主要是基于對關鍵信息基礎設施的運行安全對國家安全、國計民生和公共利益的重要保障而作出的嚴格要求。

《關鍵信息基礎設施安全保護條例》（“《關基條例》”）第二條在《網絡安全法》（“《網安法》”）第三十一條第（一）款的基礎上對“關鍵信息基礎設施”的定義做了細微更新，屬于重要行業和重要領域及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等都可能被認定為是關鍵信息基礎設施。此外，《關基條例》第十條也規定了，由保護工作部門根據認定規則負責組織認定本行業、本領域的關鍵信息基礎設施，并及時將認定結果通知運營者。因此，企業判斷是否自己屬于關基運營者，可以先從自己是否屬于《關基條例》中明確列舉的那些重要行業和重要領域的經營者進行初步判斷；第二，也可以反向推定，在沒有收到本行業、領域主管部門的認定關鍵信息基礎設施的運營者的通知，企業可以姑且認為自己不是關基運營者。

2. 哪些場景屬于《辦法》下的“數據出境”？

《辦法》規制的是數據處理者向境外提供其在中國境內運營中收集和產生的重要數據和個人信息。國家網信辦負責人在《辦法》答記者問中也提到了， “數據處理者向境外提供數據/個人信息”主要包括以下場景：（1）數據處理者將在境內運營中收集和產生的數據/個人信息傳輸、存儲至境外；（2）數據處理者將數據/個人信息存儲于境內，但同時給予境外機構或個人開啟數據訪問或調用通道。

此外，參考國家標準委2017年8月30日發布的《信息安全技術  數據出境安全評估指南（征求意見稿）》的相關規定，以下幾種情形可能不被視作是“數據出境”：（1）非在境內運營中收集和產生的個人信息和重要數據經由本國出境，未經任何變動或加工處理的；（2）非在境內運營中收集和產生的個人信息和重要數據在境內存儲、加工處理后出境，不涉及境內運營中收集和產生的個人信息和重要數據的。

3. 安全評估的四大適用情形   

《辦法》規定了安全評估的四大適用情形，包括：

• 數據處理者向境外提供重要數據；

• 關鍵信息基礎設施運營者向境外提供個人信息；

• 處理100萬人以上個人信息的數據處理者向境外提供個人信息

• 自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息。

我們可以發現，判斷是否適用安全評估的標準除了上文提到的識別主體是否屬于關基運營者外，還需要把握的兩大重點在于：（1）識別重要數據；（2）統計個人信息或敏感個人信息的數量。

(1) 重要數據的識別

《辦法》在《網安法》規定的基礎上，給予了“重要數據”更加清晰、明確的定義。依據《辦法》第十九條，重要數據，是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據。由此我們可以判斷，是否構成“重要數據”與數據對國家安全與社會公共利益影響程度大小相掛鉤。

《數安法》第二十一條規定，各地區、各部門應當按照數據分類分級保護制度，確定本地區、本部門以及相關行業、領域的重要數據具體目錄，對列入目錄的數據進行重點保護，然而目前僅有汽車領域出臺了相應規定，對于其他領域“重要數據”的判斷，仍有待相關行業、領域主管部門出臺相關規定予以明確。

(2) 個人信息或敏感個人信息的數量的統計

對于數據處理者向境外提供達到一定量的個人信息或敏感個人信息而需要申報安全評估的情形，我們理解，這里的“向境外”針對的是“所有境外接收方”而非“單個境外接收方”。這意味著，如果某一數據處理者同時分別向不同的境外接收方提供個人信息，其需要特別關注不同敏感程度的個人信息的大致規模，建立申報安全評估的分類數據數量預警機制，以便在數量快要接近安全評估閾值的時候及時準備申報材料。

1. 不同類型的評估對照

自《網安法》出臺以來，《網安法》、《數安法》、《個保法》等均規定了不同企業在特定場景下應履行的評估義務，為了便于大家理解不同的評估差異，我們簡單進行了如下對照，可以看出，該等評估可能存在交叉，但是觸發場景和評估重點并不相同。如企業已實施了部分評估，那么在數據出境風險自評估場景中，可以參考已實施完成的評估內容，僅須針對《辦法》中未實施的內容進行評估。

從上表可以看出，數據出境安全評估和數據出境風險自評估有所不同，數據出境安全評估是指網信部門通過企業提交的申報材料對企業數據出境行為進行安全評估的活動，網信部門評估工作組（包含網絡安全專家、數據安全專家以及行業專家等）可采取技術檢測、現場檢查、訪談等方式對出境目的和安全風險進行評估，如企業通過安全評估，則可實施數據出境行為，如未通過，已實施的數據出境行為應終止；數據出境風險自評估是企業針對數據出境活動在申報數據出境安全評估前進行的評估活動，企業可采取檢測工具與人工檢測相結合，產品交互頁面審查和法律文件審查相結合的方式對出境活動可能產生的風險進行評估，數據出境風險自評估報告是企業申報數據出境安全評估的申報材料之一。

2.數據出境風險自評估與數據出境安全評估的評估事項對比

從上表的評估重點對比來看，除了相同的評估內容外，網信部門還會針對數據出境接收方所在國家的政治法律環境以及數據處理者是否遵守法律、行政法規、部門規章的情況進行重點評估。由于國際局勢的不穩定以及國家戰略需要，對于境外接收方所在國家或地區是否達到了我國的保護水平以及特殊時期是否向特定國家傳輸數據，企業難以進行客觀全面的評估。此外，如企業在日常經營過程中存在違反網絡安全、數據安全等相關法律法規的情形，或在舉報平臺上有大量投訴或舉報記錄，我們認為有可能導致安全評估申報不通過，企業應積極梳理歷史違法違規及投訴情況，將負面影響降到最小。

3.數據出境風險自評估實施步驟

對于企業來說，應該如何有效開展數據出境風險自評估，下文詳細介紹了數據出境風險自評估步驟以及數據出境風險自評估報告模板，以供大家參考。

(1)  建立自評估工作組

工作組成員應包括法務、安全、技術、管理、產品等部門的成員，如企業已成立數據隱私合規組織，可繼續沿用。

(2)  制定數據出境風險自評估計劃

1) 法務人員應將風險自評估重點和安全評估重點拆解細化為合規檢測項；

2) 協商確定合規檢測項的可行性以及如何具體實施；

3) 根據評估重點制定境外接收方處理出境數據的盡調清單；

4) 制定數據出境風險自評估計劃。

(3) 合規檢測的實施

1) 利用檢測工具與人工檢測相結合的方式確定數據出境所涉重要數據和個人信息的類型、數量、范圍、敏感程度以及流轉路徑等。如某一敏感個人信息字段是否通過API接口對外輸出，境外個人或機構是否有訪問權限可訪問境內數據；

2) 梳理產品交互頁面是否滿足評估重點的合規要求。如數據出境是否通過彈窗獲得個人的單獨同意，是否在場景觸發時獲取必要權限；

3) 梳理產品所涉文本是否符合合規要求，如是否存在一攬子授權；是否向個人告知處理敏感個人信息的必要性以及對個人權益的影響。

(4) 對境外接收方的盡調

1) 境外接收方的基本信息、與數據處理者的關系；

2) 境外接收方處理數據的種類、范圍、用途和方式；

3) 境外接收方所采取的管理措施和技術措施，以及是否有能力保障出境數據的安全；

4) 數據在境外保存地點、期限，以及達到保存期限、完成約定目的或者法律文件終止后出境數據的處理措施；

5) 境外接收方是否會將出境數據再轉移給其他組織或個人；

6) 數據出境后遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等風險時，境外接收方是否有嚴密的應急機制可采取補救措施維護其個人信息權益；

7) 境外接收方所在國家或者地區的數據安全保護政策法規和網絡安全環境；

8) 境外接收方響應個人信息主體權益的途徑和方式。

(5) 合規整改

根據計劃的實施情況，法務給出合規整改意見，安全和技術落實具體的整改措施。

(6) 形成《數據出境風險自評估報告》

整改完成后，根據風險自評估重點和安全評估重點制作《數據出境風險自評估報告》，根據我們已實施的評估項目經驗，可參考如下報告體例：

數據出境風險自評估報告模板

一. 風險自評估主體

1.   企業基本信息

2.   股權結構和分支機構

3.   組織結構（網絡安全、個人信息保護負責人/機構設置）

4.   企業產品和業務情況（包括涉數據出境的產品和業務）

5.   數據合規管理體系制度和流程設置

……

二. 數據出境情況（可區分場景）

1.   場景一

1.1 出境數據的數量、范圍、種類、敏感程度

1.2 出境數據的處理目的和方式

1.3 出境數據的流轉路徑及所涉數據系統信息

1.4 企業所采取的防范數據泄露、損毀的管理和技術措施

管理措施包括企業的安全管理制度、對接觸數據的員工的管理、應急機制和審計機制的建立以及有效的申訴渠道

技術措施包括數據身份鑒別、存儲安全、傳輸安全、防網絡攻擊、漏洞修復等技術防護措施、數據傳輸日志以及對技術措施的定期審計和評估

1.5 境外接收方基本情況（資質、認證）

1.6 境外接收方處理數據的種類、范圍、用途和方式

1.7 境外接收方所采取的管理措施和技術措施

1.8 出境數據在境外保存地點、期限以及處理目的結束后的處理方式

1.9 出境數據的再轉移

1.10      境外接收方響應個人信息主體權益的途徑和方式

1.11      境外接收方所在國家或區域的政治法律環境

1.12      法律文件（DTA）對境外接收方責任義務的約定

1.13      ......

2.   場景二

……

三. 數據出境風險自評估

1.   出境數據處理目的、范圍、方式的合法性、正當性、必要性評估

2.   數據出境中和出境后遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、利用等風險評估

3.   數據出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險評估

4.   境外接收方履行責任義務的意愿和能力的評估

5.   境外接收方有效響應個人信息主體權益的渠道是否通暢的評估

6.   境外接收方控制權或其所在國家或區域的政治法律環境發生變化可能影響出境數據安全的評估

……

四. 數據出境風險自評估結論

......

1. 數據出境法律文件的形式

《辦法》規定，申報安全評估的申請材料之一即為數據處理者與境外接收方之間擬訂立的數據出境相關合同或者其他具有法律效力的文件等（“法律文件”）。我們理解，出境合同相關合同可能存在的形式包括雙方簽訂的合同或是單方承諾函。但是對于“其他具有法律效力的文件”是否包含類似于GDPR下Binding Corporate Rules（BCRs）形式的集團企業內部的數據保護公司規則或規章制度，還有待于后續觀察監管實況。

2.在商業合作場景下，數據出境法律文件與商業合作合同的體系安排

由于實務中，具有數據出境需求很可能是發生在商業合作場景下，對此合作雙方將訂立相應的商業合作合同。但是，是將數據出境法律文件作為商業合作合同的附件更合適，還是單獨簽訂數據出境法律文件更合適呢？對此，我們更推薦后者的做法，這將更有利于設計更針對于數據保護與數據出境相關的各方權利義務及違約責任條款，同時，對于爭議解決機制的選擇和合同生效條件的設置也更具有靈活性。

當然，考慮到在商業合作場景下，若安全評估不通過，很可能會影響商業合作合同的目的實現，因此可考慮在商業合作合同中約定添加一條“數據處理者身份對應的協議主體經事先通知，可無任何理由單方解除與境外接收方身份對應的協議主體訂立的商業合作合同，且在此種情形下，數據處理者身份對應的協議主體不構成違約”，以減少商業合作合同的合同僵局以及數據處理者的違約風險的產生。

3.數據出境法律文件的必備條款

由于數據出境法律文件是規定數據出境雙方之前權利、義務的基礎性文件，且該文件的內容可能會被網信部門在安全評估環節作為考量數據出境及數據安全事件發生是否會對國家利益、社會公共利益和個人信息主體權益帶來重大負面影響的一個重要參考。因此，制定好一個要素齊備、權利與義務約定明確具體的數據出境法律文件，不僅減少數據出境雙方在合同履行過程中出現爭議時陷于合同約定不明而相互推諉之境地，也一定程度上可以幫助網信部門打消數據出境的擔憂。以下我們參考了《辦法》及其上位法、以及《個人信息出境標準合同規定（征求意見稿）》等法律文件的相關規定，列出了數據出境合同中一些必備條款，供讀者參考。

根據《個保法》第三十八條的規定，個人信息處理者因業務等需要確需向中華人民共和國境外提供個人信息的，應當具備上述路徑之一即可。那么是否意味著企業與境外接收方訂立了合同或實施了個人信息保護認證，就可以不申報國家網信部門組織的安全評估？非也，《網安法》第三十七條已明確，關基運營者在境內運營中收集和產生的個人信息和重要數據業務需要確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。只要觸發《辦法》第四條規定的情形，應優先適用《辦法》的規定。觸發情形之外方可選擇與境外接收方訂立合同路徑（《個人信息出境標準合同規定（征求意見稿）》第四條也已明確）或個人信息保護認證路徑。而個人信息保護認證路徑較為特殊，僅適用于跨國公司或者同一經濟、事業實體內部的個人信息跨境處理活動以及境外個人信息處理者在境外處理境內自然人個人信息的活動。

同時，我們應注意到，申報國家網信部門組織的安全評估以及個人信息保護認證路徑均需要與相關方訂立具有約束力和執行力的法律文件（主要為合同）；采取與境外接收方訂立合同路徑的，也需要進行個人信息保護影響自評估。

2.出境數據的本地化存儲

對于許多外資企業來說，境內子公司通常會使用境外總部的WORKDAY、ERP、SAP、CRM系統，數據在境內無存儲，數據收集后直接存儲在境外服務器中，未境內存儲的數據出境能否通過數據出境安全申報？

我們認為，《數據安全出境安全評估辦法》第四條已經明確處理100萬人以上個人信息、自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息應申報數據出境安全評估。那么倒推《個保法》第四十條，關鍵信息基礎設施運營者和處理個人信息達到國家網信辦規定數量的個人信息處理者，應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的，應當通過國家網信部門組織的安全評估。是否意味著“國家網信部門規定數量”就是《數據安全出境安全評估辦法》第四條明確的數量，因為這個“規定數量”需要申報出境安全評估。

我們建議，為了防止數據出境申報不通過，有條件的企業應盡快在整改期內將境內收集的數據先行存儲在境內數據系統或境內云服務平臺后再行向境外傳輸。同時，要建立境內數據系統安全管理和技術措施。

3.宜盡早開展數據出境風險自評估

《辦法》自2022年9月1日起施行，但并不意味著企業在《辦法》施行前已經開展的數據出境活動9月1日后就不能繼續了，《辦法》第二十條給出了6個月的整改期，即企業應在2023年2月前完成整改，否則2023年3月1日后不符合辦法規定的數據出境活動應終止。

在正常情況下，國家網信部門自收到申報材料之日起7個工作日內發出書面受理通知書，評估周期為自發出書面受理通知書之日起45個工作日，對于情況復雜或者需要補充、更正材料的情況，還可以適當延長。即使在正常情況下也需要57個工作日的申報周期，其他情況下可能會更長。因而，我們建議企業應盡早開展數據出境風險自評估，并對不符合《辦法》的情形進行整改。如將境外供應商更換為境內供應商，非必要信息匿名化或終止出境，調整境外訪問權限等。