2022數(shù)據(jù)出境安全合規(guī)十個(gè)問題

1十問數(shù)據(jù)出境安全合規(guī)2021年01

回顧數(shù)據(jù)出境法律法規(guī)202

十問之應(yīng)知必會(huì)2020年1月1日施行中華人民共和國密碼法歷程回顧：“數(shù)據(jù)出境安全評(píng)估”是國家數(shù)據(jù)治理持續(xù)性工作之一中華人民共和國國家安全法個(gè)人信息出境安全評(píng)估辦法（征求意見稿）2019年6月13日頒布中華人民共和國網(wǎng)絡(luò)安全法2017年6月1日施行中華人民共和國個(gè)人信息保護(hù)法2021年11月1日施行2015年7月1日施行①

針對(duì)數(shù)據(jù)出境進(jìn)行有效管理，是國家數(shù)據(jù)安全治理、數(shù)據(jù)開發(fā)利用等工作的重要內(nèi)容，同時(shí)也是國家網(wǎng)信部門一直在完善的重點(diǎn)工作；②

2017年的18條要求，到2019年的22條要求，再到2021年的18條，除了看到要求不斷在完善，還能從“數(shù)字”和“流程”，看到國家對(duì)數(shù)據(jù)出境安全評(píng)估這項(xiàng)工作的務(wù)實(shí)態(tài)度與落實(shí)決心?！拔宸ā笔钱?dāng)前國家數(shù)據(jù)安全和個(gè)人信息保護(hù)的頂層設(shè)計(jì)布局“五法”包含數(shù)據(jù)出境安全相關(guān)要求中華人民共和國數(shù)據(jù)安全法2021年9月1日施行個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）2017年4月11日頒布數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）2021年10月29日頒布網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）2021年11月14日頒布2021年9月1日施行關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例342017年：個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）中華人民共和國國家安全法中華人民共和國網(wǎng)絡(luò)安全法《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）》揭開序幕個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）2017年4月11日2015年7月1日施行 2017年6月1日施行境外訪問從境外直接或間接訪問位于中國境內(nèi)的服務(wù)器查閱、調(diào)取數(shù)據(jù)的跨境企業(yè)跨境企業(yè)內(nèi)部數(shù)據(jù)流動(dòng)的，向境外關(guān)聯(lián)機(jī)構(gòu)提供數(shù)據(jù)的傳輸方式通過“線上”或“線下”方式將數(shù)據(jù)傳輸至境外，或以其他方式使數(shù)據(jù)“物理”轉(zhuǎn)移到境外的過境數(shù)據(jù)不屬于“數(shù)據(jù)出境”：過境數(shù)據(jù)境外數(shù)據(jù)經(jīng)由中華人民共和國中轉(zhuǎn)，未經(jīng)任何變動(dòng)或加工處理的情形不屬于數(shù)據(jù)出境下列情形屬于“數(shù)據(jù)出境”的范圍：52019年：個(gè)人信息出境安全評(píng)估辦法（征求意見稿）2019年6月13日頒布關(guān)鍵信息《個(gè)人信息出境安全評(píng)估辦法（征求意見稿）》影響深遠(yuǎn)個(gè)人信息出境安全評(píng)估辦法（征求意見稿）2019年評(píng)估辦法給出定義個(gè)人敏感信息，是指一旦被泄露、竊取、篡改、非法使用可能危害個(gè)人信息主體人身、財(cái)產(chǎn)安全，或?qū)е聜€(gè)人信息主體名譽(yù)、身心健康受到損害等的個(gè)人信息。個(gè)人信息保護(hù)法定義敏感個(gè)人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息。網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）2021年：數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）中華人民共和國個(gè)人信息保護(hù)法2021年11月1日施行2021年10月29日頒布 2021年11月14日頒布（征求意見稿）不能作為司法解釋，但可以洞察文件精神，對(duì)于企業(yè)經(jīng)營、組織管理來說，可以把工作做到前頭，避免“臨時(shí)抱佛腳”。2021年評(píng)估辦法完整度更高，邏輯縝密。從監(jiān)管抓手，到企業(yè)應(yīng)對(duì)，操作性更強(qiáng)。中華人民共和國數(shù)據(jù)安全法2021年9月1日施行6數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）總結(jié)構(gòu)數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）1.立法目的 2.適用范圍 3.安全評(píng)估原則4.觸發(fā)安全評(píng)估情形6.數(shù)據(jù)出境安全評(píng)估申報(bào)材料7.受理時(shí)間期限與結(jié)果反饋5.風(fēng)險(xiǎn)自評(píng)估重點(diǎn)事項(xiàng)8.安全評(píng)估重點(diǎn)事項(xiàng)10.安全評(píng)估相關(guān)部門11.受理后完成安全評(píng)估時(shí)間13.評(píng)估材料提交注意事項(xiàng)12.有效期及重新申報(bào)情形715.投訴舉報(bào)機(jī)制 16.不符合要求的處理規(guī)定 17.違規(guī)法律責(zé)任 18.

施行時(shí)間9.與境外訂立合同的責(zé)任義務(wù)14.評(píng)估機(jī)構(gòu)和人員保密責(zé)任立法依據(jù)：《數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）》是網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、個(gè)人信息保護(hù)法延伸第一條

為了規(guī)范數(shù)據(jù)出境活動(dòng)，保護(hù)個(gè)人信息權(quán)益，維護(hù)國家安全和社會(huì)公共利益，促進(jìn)數(shù)據(jù)跨境安全、自由流動(dòng)，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個(gè)人信息保護(hù)法》等法律法規(guī)，制定本辦法。*

第十七條

違反本辦法規(guī)定的，依照《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個(gè)人信息保護(hù)法》等法律法規(guī)的規(guī)定處理；構(gòu)成犯罪的，依法追究刑事責(zé)任。《密碼法》2020年1月1日起施行，提出數(shù)據(jù)保護(hù)技術(shù)手段《國家安全法》2015年7月1日通過并實(shí)施維護(hù)國家總體安全的基本法律跨境敏感個(gè)人信息兒童個(gè)人信息權(quán)利響應(yīng)《數(shù)據(jù)安全法》2021年9月1日正式施行提升國家數(shù)據(jù)安全保障能力核心數(shù)據(jù)嚴(yán)格管理數(shù)據(jù)交易中介配合調(diào)取數(shù)據(jù)分級(jí)分類重要數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估特殊類型數(shù)據(jù)汽車數(shù)據(jù)健康醫(yī)療數(shù)據(jù)測(cè)繪數(shù)據(jù)……數(shù)據(jù)本地化與跨境網(wǎng)絡(luò)安全審查和供應(yīng)鏈安全《網(wǎng)絡(luò)安全法》2017年6月1日起施行規(guī)定網(wǎng)絡(luò)安全治理道路網(wǎng)絡(luò)運(yùn)行安全等級(jí)保護(hù)安全風(fēng)險(xiǎn)處置網(wǎng)絡(luò)實(shí)名制網(wǎng)絡(luò)產(chǎn)品/服務(wù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)信息安全內(nèi)容控制憲法相關(guān)法經(jīng)濟(jì)法《個(gè)人信息保護(hù)法》2021年11月1日正式施行加速個(gè)人信息法制化進(jìn)程經(jīng)濟(jì)法經(jīng)濟(jì)法行政法82021年的“評(píng)估辦法”立法依據(jù)充分，與“五法”相互呼應(yīng)。監(jiān)管范圍：重要數(shù)據(jù)和個(gè)人信息出境第二條

數(shù)據(jù)處理者向境外提供在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)和依法應(yīng)當(dāng)進(jìn)行安全評(píng)估的個(gè)人信息，應(yīng)當(dāng)按照本辦法的規(guī)定進(jìn)行安全評(píng)估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。屬地原則網(wǎng)絡(luò)運(yùn)營者數(shù)據(jù)處理者境內(nèi)運(yùn)營中收集和產(chǎn)生的境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)，應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的{重要數(shù)據(jù)}和{依法應(yīng)當(dāng)進(jìn)行安全評(píng)估的個(gè)人信息}收集的個(gè)人信息前版新版910辦法主旨：事前評(píng)估和持續(xù)監(jiān)督、風(fēng)險(xiǎn)自評(píng)估與安全評(píng)估第三條

數(shù)據(jù)出境安全評(píng)估堅(jiān)持事前評(píng)估和持續(xù)監(jiān)督相結(jié)合、風(fēng)險(xiǎn)自評(píng)估與安全評(píng)估相結(jié)合，防范數(shù)據(jù)出境安全風(fēng)險(xiǎn)，保障數(shù)據(jù)依法有序自由流動(dòng)。不通過組織評(píng)估通過（出境前）網(wǎng)信部門會(huì)組織安全評(píng)估（出境后）網(wǎng)信部門會(huì)持續(xù)監(jiān)督①

撤銷評(píng)估結(jié)果，終止數(shù)據(jù)出境活動(dòng)②

進(jìn)行整改，重新申報(bào)評(píng)估風(fēng)險(xiǎn)自評(píng)估第五條安全評(píng)估第八條：第十六條

國家網(wǎng)信部門發(fā)現(xiàn)已經(jīng)通過評(píng)估的數(shù)據(jù)出境活動(dòng)在實(shí)際處理過程中不再符合數(shù)據(jù)出境安全管理要求的，應(yīng)當(dāng)撤銷評(píng)估結(jié)果并書面通知數(shù)據(jù)處理者，數(shù)據(jù)處理者應(yīng)當(dāng)終止數(shù)據(jù)出境活動(dòng)。需要繼續(xù)開展數(shù)據(jù)出境活動(dòng)的，數(shù)據(jù)處理者應(yīng)當(dāng)按照要求進(jìn)行整改，并在整改完成后重新申報(bào)評(píng)估。：第十五條

任何組織和個(gè)人發(fā)現(xiàn)數(shù)據(jù)處理者未按照本辦法規(guī)定進(jìn)行評(píng)估向境外提供數(shù)據(jù)的，可以向省級(jí)以上網(wǎng)信部門投訴、舉報(bào)。投訴舉報(bào)[2]安全事件執(zhí)法檢查數(shù)據(jù)出境管理持續(xù)監(jiān)督[1]02

十問之應(yīng)知必會(huì)1101

回顧數(shù)據(jù)出境法律法規(guī)《數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）》第四條數(shù)據(jù)處理者向境外提供數(shù)據(jù)，符合以下情形之一的，應(yīng)當(dāng)通過所在地省級(jí)網(wǎng)信部門向國家網(wǎng)信部門申報(bào)數(shù)據(jù)出境安全評(píng)估。1.

關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)；2.

出境數(shù)據(jù)中包含重要數(shù)據(jù)；3.

處理個(gè)人信息達(dá)到一百萬人的個(gè)人信息處理者向境外提供個(gè)人信息；4.

累計(jì)向境外提供超過十萬人以上個(gè)人信息或者一萬人以上敏感個(gè)人信息；5.

國家網(wǎng)信部門規(guī)定的其他需要申報(bào)數(shù)據(jù)出境安全評(píng)估的情形。一問：什么情況會(huì)觸發(fā)“安全評(píng)估”？排除企業(yè)運(yùn)營數(shù)據(jù)對(duì)應(yīng)《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》第三十七條數(shù)據(jù)處理者向境外提供在中華人民共和國境內(nèi)收集和產(chǎn)生的數(shù)據(jù)，屬于以下情形的，應(yīng)當(dāng)通過國家網(wǎng)信部門組織的數(shù)據(jù)出境安全評(píng)估：出境數(shù)據(jù)中包含重要數(shù)據(jù)；關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理一百萬人以上個(gè)人信息的數(shù)數(shù)量據(jù)疊處加理主者體向境外提供個(gè)人信息；國家網(wǎng)信部門規(guī)定的其它情形。法律、行政法規(guī)和國家網(wǎng)信部門規(guī)定可以不進(jìn)行安全評(píng)估的，從其規(guī)定。主體維度 排除企業(yè)運(yùn)營數(shù)據(jù)類別維度數(shù)量疊加主體數(shù)量疊加主體12是否屬于關(guān)基運(yùn)營者？關(guān)鍵信息基礎(chǔ)設(shè)施定義關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定重要參考13反映戰(zhàn)略儲(chǔ)備情況支撐支撐

重點(diǎn)

與統(tǒng)

反映

涉及工業(yè)

行業(yè)、

計(jì)相

人口

健康生產(chǎn)領(lǐng)域關(guān)情況

醫(yī)療運(yùn)行涉及食品藥品情況涉及

涉及

涉及

涉及地理

水利

地震

氣象信息

情況

情況

情況涉及環(huán)保監(jiān)測(cè)情況涉及海洋環(huán)境監(jiān)測(cè)情況涉及涉及涉及涉及出口特殊重大國家管制知識(shí)發(fā)明科技物項(xiàng)產(chǎn)權(quán)發(fā)現(xiàn)計(jì)劃涉及網(wǎng)絡(luò)安全，可被網(wǎng)絡(luò)攻擊者或惡涉及

意競(jìng)爭者物理

利用，以攻擊網(wǎng)絡(luò)安全

系統(tǒng)或通過網(wǎng)絡(luò)發(fā)起攻擊的數(shù)

據(jù)屬于重要數(shù)據(jù)與經(jīng)濟(jì)運(yùn)與人口與與自然資源與科學(xué)技與安全保護(hù)與應(yīng)用服與政務(wù)活行相關(guān)健康相關(guān)與環(huán)境相關(guān)術(shù)相關(guān)相關(guān)務(wù)相關(guān)動(dòng)相關(guān)國家用戶用戶

機(jī)關(guān)委托使用

產(chǎn)生數(shù)據(jù)數(shù)據(jù)

的數(shù)據(jù)公民企業(yè)上報(bào)數(shù)據(jù)其他其他一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的非國家秘密信息，屬于重要數(shù)據(jù)是否處理了重要數(shù)據(jù)？國標(biāo)

重要數(shù)據(jù)識(shí)別指南工信部：強(qiáng)化車聯(lián)網(wǎng)數(shù)據(jù)出境安全管理14（十六）強(qiáng)化數(shù)據(jù)出境安全管理。智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)、車聯(lián)網(wǎng)服務(wù)平臺(tái)運(yùn)營企業(yè)需向境外提供在中華人民共和國境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)的，應(yīng)當(dāng)依法依規(guī)進(jìn)行數(shù)據(jù)出境安全評(píng)估并向所在?。▍^(qū)、市）通信管理局、工業(yè)和信息化主管部門報(bào)備。各?。▍^(qū)、市）通信管理局會(huì)同工業(yè)和信息化主管部門做好數(shù)據(jù)出境備案、安全評(píng)估等工作。15如何理解個(gè)人信息處理百萬量級(jí)？處理個(gè)人信息達(dá)到百萬人大城市（城區(qū)常住人口100至500萬的城市）截止到2019年底，中國主要的大城市包括太原、烏魯木齊、廈門、合肥、哈爾濱、大連、昆明、長春、長沙、蘇州、呼和浩特、寧波、南寧、福州、南昌、海口、蘭州、貴陽、石家莊、銀川、西寧。據(jù)報(bào)道：2019年6月，百萬量級(jí)以上的小程序數(shù)量已達(dá)

883個(gè)，同比暴增一倍，而月活用戶超過500萬的小程序數(shù)量也增長到了1

8

0

個(gè)，

同比增長35.3%。關(guān)于個(gè)人信息和敏感個(gè)人信息？十萬人以上個(gè)人信息一萬人以上敏感個(gè)人信息第二十八條

敏感個(gè)人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息。*

引用自《個(gè)人信息保護(hù)法》姓名身份證號(hào)電話疾病就診日期地址緊急聯(lián)系人指紋藥物劉**14***********37135*********炎*月*日**省**市馬**8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92**霉素**林16表A.1

/

B.1引自：GB/T

35273

信息安全技術(shù)

個(gè)人信息安全規(guī)范去標(biāo)識(shí)化后個(gè)人信息要不要申報(bào)？“安全評(píng)估”與《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》中的“安全審查”有何區(qū)別？2021年7月發(fā)布的《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》擴(kuò)大了現(xiàn)行《網(wǎng)絡(luò)安全審查辦法》的適用范圍，將數(shù)據(jù)處理活動(dòng)納入網(wǎng)絡(luò)安全審查范圍，并將“核心數(shù)據(jù)、重要數(shù)據(jù)或大量個(gè)人信息被竊取、泄露、毀損以及非法利用或出境的風(fēng)險(xiǎn)”列入主要考慮因素之中。網(wǎng)絡(luò)安全審查與數(shù)據(jù)出境安全評(píng)估的區(qū)別為：171、制度的落腳點(diǎn)和目的《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》第二條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，數(shù)據(jù)處理者開展數(shù)據(jù)處理活動(dòng)，影響或可能影響國家安全的，應(yīng)當(dāng)按照本辦法進(jìn)行網(wǎng)絡(luò)安全審查。而《評(píng)估辦法》第二條指出，

網(wǎng)絡(luò)運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)，應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照本辦法進(jìn)行安全評(píng)估。2、審查/評(píng)估的內(nèi)容數(shù)據(jù)出境安全評(píng)估主要圍繞數(shù)據(jù)出境風(fēng)險(xiǎn)展開，而數(shù)據(jù)出境風(fēng)險(xiǎn)只是網(wǎng)絡(luò)安全審查的部分內(nèi)容。3、監(jiān)管部門網(wǎng)絡(luò)安全審查是由中央網(wǎng)絡(luò)安全和信息化委員會(huì)領(lǐng)導(dǎo)，特別設(shè)立網(wǎng)絡(luò)安全審查辦公室；而數(shù)據(jù)出境安全評(píng)估由國家網(wǎng)信部門主導(dǎo)，并未設(shè)置常設(shè)機(jī)構(gòu)。18二問：安全評(píng)估流程？第五條第七條第六條第八條第十條第八條第九條第十三條第十六條第十五條第十一條第十二條第十四條負(fù)責(zé)數(shù)據(jù)出境安全評(píng)估的部門有哪些？國家網(wǎng)信部門負(fù)責(zé)數(shù)據(jù)出境的安全評(píng)估。國家網(wǎng)信部門受理數(shù)據(jù)出境安全評(píng)估申報(bào)的，將組織行業(yè)主管部門、國務(wù)院有關(guān)部門（例如公安部門）、省級(jí)網(wǎng)信部門、專門機(jī)構(gòu)等進(jìn)行安全評(píng)估。涉及重要數(shù)據(jù)出境的，國家網(wǎng)信部門將征求相關(guān)行業(yè)主管部門意見。國家網(wǎng)信部門國家網(wǎng)信部門行業(yè)主管部門行業(yè)主管部門國務(wù)院有關(guān)部門（例如公安部門）國務(wù)院有關(guān)部門（例如公安部門）省級(jí)網(wǎng)信部門省級(jí)網(wǎng)信部門專門機(jī)構(gòu)專門機(jī)構(gòu)19三問：安全評(píng)估如何申報(bào)？條款關(guān)鍵詞解讀（一）申報(bào)書；（二）數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估報(bào)告；（三）數(shù)據(jù)處理者與境外接收方擬訂立的合同或者其他具有法律效力的文件等（以下統(tǒng)稱合同）；（四）安全評(píng)估工作需要的其他材料。申報(bào)書統(tǒng)一模板自評(píng)估報(bào)告提前實(shí)施，提前準(zhǔn)備[1]合同法律聲明：本合同會(huì)提交***，審核其他材料網(wǎng)信部門管理材料；過程文檔或其它佐證20[1]：第七條

國家網(wǎng)信部門自收到申報(bào)材料之日起七個(gè)工作日內(nèi)，確定是否受理評(píng)估并以書面通知形式反饋受理結(jié)果。第六條

申報(bào)數(shù)據(jù)出境安全評(píng)估，應(yīng)當(dāng)提交以下材料：四問：自評(píng)估報(bào)告內(nèi)容？第五條

數(shù)據(jù)處理者在向境外提供數(shù)據(jù)前，應(yīng)事先開展數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估，重點(diǎn)評(píng)估以下事項(xiàng)：條款關(guān)鍵詞解讀（一）數(shù)據(jù)出境及境外接收方處理數(shù)據(jù)的目的、范圍、方式等的合法性、正當(dāng)性、必要性；目的、范圍、方式業(yè)務(wù)使命…（二）出境數(shù)據(jù)的數(shù)量、范圍、種類、敏感程度，數(shù)據(jù)出境可能對(duì)國家安全、公共利益、個(gè)人或者組織合法權(quán)益帶來的風(fēng)險(xiǎn)；數(shù)量、范圍、種類、敏感程度、風(fēng)險(xiǎn)風(fēng)險(xiǎn)分析…（三）數(shù)據(jù)處理者在數(shù)據(jù)轉(zhuǎn)移環(huán)節(jié)的管理和技術(shù)措施、能力等能否防范數(shù)據(jù)泄露、毀損等風(fēng)險(xiǎn)；管理和技術(shù)手段管理：組織、人員、制度、流程…技術(shù)：加密、去標(biāo)識(shí)化、數(shù)字水印…（四）境外接收方承諾承擔(dān)的責(zé)任義務(wù)，以及履行責(zé)任義務(wù)的管理和技術(shù)措施、能力等能否保障出境數(shù)據(jù)的安全；接收方承諾、管理和技術(shù)合同，罰則，技術(shù)條件…（五）數(shù)據(jù)出境和再轉(zhuǎn)移后泄露、毀損、篡改、濫用等的風(fēng)險(xiǎn)，個(gè)人維護(hù)個(gè)人信息權(quán)益的渠道是否通暢等；個(gè)人信息權(quán)益維護(hù)通道投訴渠道，安全保證金…（六）與境外接收方訂立的數(shù)據(jù)出境相關(guān)合同是否充分約定了數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)。爭議解決條款合同條款細(xì)則2122對(duì)應(yīng)《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》第三十九條數(shù)據(jù)處理者向境外提供數(shù)據(jù)應(yīng)當(dāng)履行以下義務(wù)：（三）采取合同等有效措施監(jiān)督數(shù)據(jù)接收方按照雙方約定的目的、范圍、方式使用數(shù)據(jù)，履行數(shù)據(jù)安全保護(hù)義務(wù)，保證數(shù)據(jù)安全；五問：合同要求有哪些？第九條

數(shù)據(jù)處理者與境外接收方訂立的合同充分約定數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)，應(yīng)當(dāng)包括但不限于以下內(nèi)容：條款關(guān)鍵詞解讀（一）數(shù)據(jù)出境的目的、方式和數(shù)據(jù)范圍，境外接收方處理數(shù)據(jù)的用途、方式等；目的、范圍、方式合同關(guān)鍵項(xiàng)（二）數(shù)據(jù)在境外保存地點(diǎn)、期限，以及達(dá)到保存期限、完成約定目的或者合同終止后出境數(shù)據(jù)的處理措施；保存地點(diǎn)、期限（三）限制境外接收方將出境數(shù)據(jù)再轉(zhuǎn)移給其他組織、個(gè)人的約束條款；出境數(shù)據(jù)再轉(zhuǎn)移（四）境外接收方在實(shí)際控制權(quán)或者經(jīng)營范圍發(fā)生實(shí)質(zhì)性變化，或者所在國家、地區(qū)法律環(huán)境發(fā)生變化導(dǎo)致難以保障數(shù)據(jù)安全時(shí)，應(yīng)當(dāng)采取的安全措施；接收方側(cè)變化后，安全措施（五）違反數(shù)據(jù)安全保護(hù)義務(wù)的違約責(zé)任和具有約束力且可執(zhí)行的爭議解決條款；爭議解決條款（六）發(fā)生數(shù)據(jù)泄露等風(fēng)險(xiǎn)時(shí)，妥善開展應(yīng)急處置，并保障個(gè)人維護(hù)個(gè)人信息權(quán)益的通暢渠道。個(gè)人信息權(quán)益維護(hù)通道*

第十四條

參與安全評(píng)估工作的相關(guān)機(jī)構(gòu)和人員對(duì)在履行職責(zé)中知悉的國家秘密、個(gè)人隱私、個(gè)人信息、商業(yè)秘密、保密商務(wù)信息等數(shù)據(jù)應(yīng)當(dāng)依法予以保密，不得泄露或者非法向他人提供。六問：安全評(píng)估內(nèi)容與關(guān)注要點(diǎn)？條款關(guān)鍵詞解讀（一）數(shù)據(jù)出境的目的、范圍、方式等的合法性、正當(dāng)性、必要性；合理性查報(bào)告、合同（二）境外接收方所在國家或者地區(qū)的數(shù)據(jù)安全保護(hù)政策法規(guī)及網(wǎng)絡(luò)安全環(huán)境對(duì)出境數(shù)據(jù)安全的影響；境外接收方的數(shù)據(jù)保護(hù)水平是否達(dá)到中華人民共和國法律、行政法規(guī)規(guī)定和強(qiáng)制性國家標(biāo)準(zhǔn)的要求；評(píng)估數(shù)據(jù)接收方的環(huán)境接收地審核（三）出境數(shù)據(jù)的數(shù)量、范圍、種類、敏感程度，出境中和出境后泄露、篡改、丟失、破壞、轉(zhuǎn)移或者被非法獲取、非法利用等風(fēng)險(xiǎn)；風(fēng)險(xiǎn)分析是否完備查報(bào)告（四）數(shù)據(jù)安全和個(gè)人信息權(quán)益是否能夠得到充分有效保障；個(gè)人權(quán)益保障查報(bào)告、合同（五）違反數(shù)據(jù)安全保護(hù)義務(wù)的違約責(zé)任和具有約束力且可執(zhí)行的爭議解決條款；爭議解決條款查合同（六）遵守中國法律、行政法規(guī)、部門規(guī)章情況；關(guān)聯(lián)法規(guī)審核查其它材料（七）國家網(wǎng)信部門認(rèn)為需要評(píng)估的其他事項(xiàng)。關(guān)聯(lián)法規(guī)審核查其它材料第十條

國家網(wǎng)信部門受理申報(bào)后，組織行業(yè)主管部門、國務(wù)院有關(guān)部門、省級(jí)網(wǎng)信部門、專門機(jī)構(gòu)等進(jìn)行安全評(píng)估。涉及重要數(shù)據(jù)出境的，國家網(wǎng)信部門征求相關(guān)行業(yè)主管部門意見。第八條

數(shù)據(jù)出境安全評(píng)估重點(diǎn)評(píng)估數(shù)據(jù)出境活動(dòng)可能對(duì)國家安全、公共利益、個(gè)人或者組織合法權(quán)益帶來的風(fēng)險(xiǎn)，主要包括以下事項(xiàng)：對(duì)應(yīng)《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》第四十條境外提供個(gè)人信息和重要數(shù)據(jù)的數(shù)據(jù)處理者，應(yīng)當(dāng)在每年1月31日前編制數(shù)據(jù)出境安全報(bào)告，向設(shè)區(qū)的市級(jí)網(wǎng)信部門報(bào)告上一年度以下數(shù)據(jù)出境情況：（一）全部數(shù)據(jù)接收方名稱、聯(lián)系方式；（二）出境數(shù)據(jù)的類型、數(shù)量及目的；（三）數(shù)據(jù)在境外的存放地點(diǎn)、存儲(chǔ)期限、使用范圍和方式；（四）涉及向境外提供數(shù)據(jù)的用戶投訴及處理情況；（五）發(fā)生的數(shù)據(jù)安全事件及其處置情況；（六）數(shù)據(jù)出境后再轉(zhuǎn)移的情況；（七）國家網(wǎng)信部門明確向境外提供數(shù)據(jù)需要報(bào)告的其他事項(xiàng)。2324七問：安全評(píng)估時(shí)長？第七條

國家網(wǎng)信部門自收到申報(bào)材料之日起七個(gè)工作日內(nèi)，確定是否受理評(píng)估并以書面通知形式反饋受理結(jié)果。第十一條

國家網(wǎng)信部門自出具書面受理通知書之日起四十五個(gè)工作日內(nèi)完成數(shù)據(jù)出境安全評(píng)估；情況復(fù)雜或者需要補(bǔ)充材料的，可以適當(dāng)延長，但一般不超過六十個(gè)工作日。評(píng)估結(jié)果以書面形式通知數(shù)據(jù)處理者。第十三條

數(shù)據(jù)處理者應(yīng)當(dāng)按照本辦法的規(guī)定提交評(píng)估材料，材料不齊全或者不符合要求的，應(yīng)當(dāng)及時(shí)補(bǔ)充或者更正，拒不補(bǔ)充或者更正的，國家網(wǎng)信部門可以終止安全評(píng)估；數(shù)據(jù)處理者對(duì)所提交材料的真實(shí)性負(fù)責(zé)，故意提交虛假材料的，按照評(píng)估不通過處理。向境外提供個(gè)人信息和重要數(shù)據(jù)的數(shù)據(jù)處理者設(shè)區(qū)的市級(jí)網(wǎng)信部門編制數(shù)據(jù)安全評(píng)估報(bào)告每年1月31日前報(bào)送22個(gè)工作日7個(gè)工作日60個(gè)工作日通知通過整改不受理準(zhǔn)備受理評(píng)估《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》《數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）》八問：安全評(píng)估有效期？第十二條

數(shù)據(jù)出境評(píng)估結(jié)果有效期二年。在有效期內(nèi)出現(xiàn)以下情形之一的，數(shù)據(jù)處理者應(yīng)當(dāng)重新申報(bào)評(píng)估：（一）向境外提供數(shù)據(jù)的目的、方式、范圍、類型和境外接收方處理數(shù)據(jù)的用途、方式發(fā)生變化，或者延長個(gè)人信息和重要數(shù)據(jù)境外保存期限的；（二）境外接收方所在國家或者地區(qū)法律環(huán)境發(fā)生變化，數(shù)據(jù)處理者或者境外接收方實(shí)際控制權(quán)發(fā)生變化，數(shù)據(jù)處理者與境外接收方合同變更等可能影響出境數(shù)據(jù)安全的；（三）出現(xiàn)影響出境數(shù)據(jù)安全的其他情形。有效期屆滿，需要繼續(xù)開展原數(shù)據(jù)出境活動(dòng)的，數(shù)據(jù)處理者應(yīng)當(dāng)在有效期屆滿六十個(gè)工作日前重新申報(bào)評(píng)估。未按本條規(guī)定重新申報(bào)評(píng)估的，應(yīng)當(dāng)停止數(shù)據(jù)出境活動(dòng)。25數(shù)據(jù)出境管理要變成組織或公司數(shù)據(jù)安全中重要工作，常態(tài)性工作九問：和我的企業(yè)有關(guān)嗎？關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者重要數(shù)據(jù)一百萬人十萬人以上一萬人以上26通信、信息服務(wù)、能源、交通、水利、金融…跨國業(yè)務(wù)與合作跨國貿(mào)易跨國結(jié)算國際物流國際航班……與經(jīng)濟(jì)運(yùn)行相關(guān)、與人口與健康相關(guān)、與自然資源與環(huán)境相關(guān)、

與科學(xué)技術(shù)相關(guān)、與安全保護(hù)相關(guān)、與應(yīng)用服務(wù)相關(guān)、與政務(wù)活動(dòng)相關(guān)

…跨國業(yè)務(wù)與合作國際聯(lián)合醫(yī)療聯(lián)合科學(xué)實(shí)驗(yàn)室多國公司……處理個(gè)人信息達(dá)到一百萬人的個(gè)人信息處理者向境外提供個(gè)人信息；跨國業(yè)務(wù)與合作某地級(jí)市“智慧城市APP”，提供境外商品代購服務(wù)母嬰用品APP，外包境外精準(zhǔn)營銷分析公司，提供數(shù)據(jù)分析……累計(jì)向境外提供超過十萬人以上個(gè)人信息或者一萬人以上敏感個(gè)人信息；跨國業(yè)務(wù)與合作跨境旅游留學(xué)務(wù)工在線外語培訓(xùn)職業(yè)資質(zhì)認(rèn)證……在企業(yè)有跨國業(yè)務(wù)或跨國合作前提下，需要深入分析，審核業(yè)務(wù)中數(shù)據(jù)流轉(zhuǎn)，確認(rèn)是否有重要數(shù)據(jù)和需要保護(hù)的個(gè)人信息跨境流轉(zhuǎn)。27未經(jīng)安全評(píng)估即進(jìn)行數(shù)據(jù)出境活動(dòng)的，會(huì)受到什么處罰？《數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）》第十七條違反本辦法規(guī)定的，依照《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個(gè)人信息保護(hù)法》等法律法規(guī)的規(guī)定處理；構(gòu)成犯罪的，依法追究刑事責(zé)任?！毒W(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征）》第六十四、六十五、六十六條第六十四條數(shù)據(jù)處理者違反第三十五條、第三十六條、第三十七條、第三十九條第一款、第四十條、第四十二條的規(guī)定，由有關(guān)部門責(zé)令改正，給予警告，暫停數(shù)據(jù)出境，可以并處十萬元以上一百萬元以下罰款，對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員可以處一萬元以上十萬元以下罰款；情節(jié)嚴(yán)重的，處一百萬元以上一千萬元以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照，對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處十萬元以上一百萬元以下罰款。第六十五條違反本條例第三十九條第二款的規(guī)定，未經(jīng)主管機(jī)關(guān)批準(zhǔn)向外國司法或者執(zhí)法機(jī)構(gòu)提供數(shù)據(jù)的，由有關(guān)主管部門給予警告，可以并處十萬元以上一百萬元以下罰款，對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員可以處一萬元以上十萬元以下罰款；造成嚴(yán)重后果的，處一百萬元以上五百萬元以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照，對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處五萬元以上五十萬元以下罰款。第六十六條個(gè)人和組織違反第四十一條的規(guī)定，由有關(guān)主管部門責(zé)令改正，給予警告、沒收違法所得；拒不改正的，處違法所得一倍以上十倍以下的罰款，沒有違法所得的，對(duì)直接負(fù)責(zé)的主管人員和其他直接負(fù)責(zé)人員，處五萬元以上五十萬元以下罰款；情節(jié)嚴(yán)重的，由有關(guān)主管部門依照相關(guān)法律、行政法規(guī)的規(guī)定，責(zé)令其暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照；構(gòu)成犯罪的，依照相關(guān)法律、行政法規(guī)的規(guī)定處罰?！稊?shù)據(jù)安全法》第四十六條違反本法第三十一條規(guī)定，向境外提供重要數(shù)據(jù)的，由有關(guān)主管部門責(zé)令改正，給予警告，可以并處十萬元以上一百萬元以下罰款，對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員可以處一萬元以上十萬元以下罰款；情節(jié)嚴(yán)重的，處一百萬元以上一千萬元以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照，對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處十萬元以上一百萬元以下罰款?！毒W(wǎng)絡(luò)安全法》第六十六條關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者違反本法第三十七條規(guī)定，在境外存儲(chǔ)網(wǎng)絡(luò)數(shù)據(jù)，或者向境外提供網(wǎng)絡(luò)數(shù)據(jù)的，由有關(guān)主管部門責(zé)令改正，給予警告，沒收違法所得，處五萬元以上五十萬元以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照；對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款。違反本法規(guī)定處理個(gè)人信息，或者處理個(gè)人信息未履行本法規(guī)定的個(gè)人信息保護(hù)義務(wù)的，由履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正，給予警告，沒收違法所得，對(duì)違法處理個(gè)人信息的應(yīng)用程序，責(zé)令暫?；蛘呓K止提供服務(wù)；拒不改正的，并處一百萬元以下罰款；對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款。有前款規(guī)定的違法行為，情節(jié)嚴(yán)重的，由省級(jí)以上履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正，沒收違法所得，并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、通報(bào)有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營業(yè)執(zhí)照；對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處十萬元以上一百萬元以下罰款，并可以決定禁止其在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級(jí)管理人員和個(gè)人信息保護(hù)負(fù)責(zé)人。《個(gè)人信息保護(hù)法》第六十六條我的企業(yè)怎么干？馬上就干！28①

較多的業(yè)務(wù)（跨國）本身需要提供身份認(rèn)證、數(shù)據(jù)交換等，考慮到安全評(píng)估時(shí)長與周期，馬上著手是“上上策”結(jié)合上一頁，要好好評(píng)估，是否有數(shù)據(jù)跨境且屬于《數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）》監(jiān)管范圍。②

注意“評(píng)估辦法”

不是60分萬歲?！霸u(píng)估方法”的本質(zhì)是：指導(dǎo)企業(yè)完善數(shù)據(jù)出境合規(guī)，最終保護(hù)個(gè)人信息權(quán)益，維護(hù)國家安全和社會(huì)公共利益，這是法律紅線！對(duì)于企業(yè)，實(shí)際要做的比法律紅線更好?、?/p>

自證安全（無責(zé)）和惡意訴訟。數(shù)據(jù)動(dòng)態(tài)流轉(zhuǎn)特性，和數(shù)字經(jīng)濟(jì)時(shí)代數(shù)據(jù)資產(chǎn)特性，企業(yè)必然需要經(jīng)營和運(yùn)營重要數(shù)據(jù)和個(gè)人信息，而且要求企業(yè)充分做好事前自評(píng)估安全性，要做到自證安全，事后做到可證無責(zé)。同時(shí)，在數(shù)據(jù)跨進(jìn)成為常態(tài)情況下，企業(yè)考慮到不法分子惡意利用法律法規(guī)發(fā)起惡意訴訟。④

數(shù)據(jù)出境如其它網(wǎng)絡(luò)安全、數(shù)據(jù)安全工作理念一致，務(wù)必把握兩個(gè)重要原則：“應(yīng)盡職責(zé)”、“應(yīng)盡關(guān)注”。我的企業(yè)怎么干—管理角度三定：定人、定崗、定責(zé)29本身管理、技術(shù)、運(yùn)營的數(shù)據(jù)安全手段很多，但作為經(jīng)營者、數(shù)據(jù)（個(gè)人信息）處理者，應(yīng)當(dāng)捫心自問，做到心中有數(shù)。我的企業(yè)怎么干—技術(shù)角度核心手段：加