3、数据出境安全评估:触发条件、评估流程、申报材料清单、评估重点要素、评估结果与有效期
大家好,我是老李。今天咱们聊聊数据出境安全评估。说实话,这个环节是很多企业最头疼的。我经手过不少申报项目,有的企业材料准备了大半年,结果因为一个细节没到位被打回来重做。嗯,咱们今天就把这事掰开揉碎了讲清楚。
3.1 触发条件:什么时候必须做安全评估?
先问个问题:是不是所有数据出境都要做安全评估?答案是否定的。只有满足特定条件才需要触发。我给大家梳理一下,说白了就是看三个维度:数据类型、数据量、主体身份。
触发安全评估的三种情形:
- 情形一:处理100万人以上个人信息的数据处理者,向境外提供个人信息。
- 情形二:自上年1月1日起,累计向境外提供10万人以上个人信息或1万人以上敏感个人信息。
- 情形三:向境外提供重要数据(无论数量多少,只要涉及重要数据就必须申报)。
这里有个坑,我提醒一下。很多企业以为「我没到100万人就不用管」,其实不对。你想想看,如果你公司去年累计向境外提供了9.5万人的个人信息,今年又提供了5000人,加起来就超过10万了。嗯,这个累计计算是跨年的,很多人会忽略。
避坑指南:我曾经遇到一个客户,他们自认为只涉及「普通个人信息」,结果一查,里面包含了员工的银行账号、健康信息,这些都属于敏感个人信息。一旦超过1万人,就必须申报。所以,数据分类分级是第一步,千万别跳过。
3.2 评估流程:从准备到拿结果,总共分几步?
整个流程我习惯分成五个阶段。咱们用一张图来看清楚:
我详细说说每个阶段具体做什么:
- 自评估与准备(1-2周):这是最关键的阶段。你得先搞清楚:数据传到哪?传给谁?传什么?怎么传?然后写一份《数据出境风险自评估报告》。我个人习惯是先做数据盘点,再写报告,顺序别搞反了。
- 提交申报材料(3-4周):通过省级网信办提交。注意,不是直接寄到北京。省级网信办会先做形式审查,材料不全的会退回补正。
- 省级网信办受理(5-8周):省级网信办完成材料完备性审核后,上报国家网信办。这里有个细节:如果省级网信办认为不需要评估,会直接告知你;如果认为需要,就往上送。
- 国家网信办评估(9-12周):国家网信办组织专家评审,必要时会要求你补充材料或进行现场访谈。我遇到过最长的案例,光补充材料就来回三次。
- 获取评估结果:通过后会拿到《数据出境安全评估结果通知书》,有效期2年。
小技巧:在自评估阶段,我建议你拉上法务、IT、业务三个部门一起开会。因为数据流往往涉及多个环节,光靠一个部门容易遗漏。我曾经见过IT部门自己写报告,结果漏掉了业务部门通过邮件附件传输的数据,最后被要求重做。
3.3 申报材料清单:一份都不能少
材料清单是硬功夫。我给大家列个表,对照着准备就行:
| 序号 | 材料名称 | 说明 | 注意事项 |
|---|---|---|---|
| 1 | 数据出境安全评估申报书 | 统一格式,网信办官网可下载 | 法定代表人签字并加盖公章 |
| 2 | 数据出境风险自评估报告 | 详细描述数据出境场景、风险分析 | 需包含法律、技术、管理三个维度 |
| 3 | 数据处理者与境外接收方拟订立的法律文件 | 合同、协议等 | 需明确双方数据安全责任义务 |
| 4 | 数据出境安全评估承诺书 | 承诺材料真实、合法、有效 | 需法定代表人签署 |
| 5 | 其他相关证明材料 | 如数据分类分级报告、安全管理制度等 | 视具体情况提供 |
这里我特别强调一下第2项——自评估报告。这是整个申报的核心。我见过很多企业把自评估报告写成「流水账」,什么「我们很安全」「我们很合规」,这不行。你得具体写:数据字段有哪些?传输链路怎么加密?境外接收方怎么存储?有没有第三方共享?
避坑指南:我曾经遇到一个案例,企业提交的法律文件是英文版的,没有中文翻译件。网信办直接退回,要求提供中文译本并公证。所以,所有外文材料必须附中文翻译,而且翻译件要加盖公章。
3.4 评估重点要素:网信办到底看什么?
很多朋友问我:「老李,网信办评估的时候到底看什么?」我总结了一下,核心就四个字——风险可控。具体来说,评估重点包括以下六个方面:
- 数据出境的目的、范围、方式:是不是必要?有没有更安全的方式?比如,能传脱敏数据就别传原始数据。
- 数据的安全性和合法性:数据来源是否合法?有没有侵犯用户权益?我见过一个案例,企业收集用户数据时没明确告知会出境,结果被认定为违规收集。
- 境外接收方的安全保障能力:对方有没有数据安全管理制度?有没有发生过数据泄露事件?如果对方在某个「数据保护水平不足」的国家,风险会更高。
- 数据出境后的风险及应对措施:万一泄露了怎么办?有没有应急预案?
- 数据处理者的责任义务:合同里有没有明确约定双方责任?有没有监督机制?
- 对国家安全、公共利益的影响:这是最高级别的考量。如果涉及重要数据,评估会非常严格。
说白了,网信办评估的逻辑就是:你传出去的数据,能不能保证安全?如果出了问题,你能不能兜得住?
3.5 评估结果与有效期:通过之后就万事大吉了吗?
评估结果有三种:通过、不通过、终止评估。通过后会发通知书,有效期2年。但注意,这不是一劳永逸的。
需要重新申请评估的情形:
- 有效期内,数据出境目的、方式、范围、类型发生重大变化
- 境外接收方发生重大变化(如被收购、破产)
- 法律、行政法规规定的其他情形
我举个例子。有个客户在评估通过后,业务部门又新增了一个数据出境场景——把用户行为数据传给境外合作方做分析。他们以为「反正已经通过了,加个场景没事」。结果被网信办抽查发现,要求重新申报。嗯,这个教训挺深刻的。
另外,有效期届满前60个工作日,你得提交延续申请。别等到过期了才想起来,那时候数据出境就变成「非法出境」了。
我的建议:建立内部数据出境台账,记录每次出境的数据类型、数量、接收方、时间。这样无论是续期还是应对检查,你都有据可查。我自己的团队就是这么做的,效果很好。
好了,关于数据出境安全评估的核心内容就这些。记住,安全评估不是终点,而是数据合规管理的起点。拿到通过通知书后,持续监控、定期复盘才是长久之计。
公众号:蓝海资料掘金营,微信deep3321