2022年9月1日生效的《数据出境安全评估办法》中规定了数据处理者需要通过自身所在地省级网信办向国家网信办申报数据出境安全评估的情形,分为三类:
第一类,适用特定数据类型,只要是重要数据出境,不论出境数量多少都需要评估;
第二类,适用特定重点关注的数据处理主体,只要是关键信息基础设施运营者和处理100万人以上个人信息的数据处理者,向境外提供个人信息,不论出境数量多少都需要评估;
第三类,只有此类是按出境数量来看是否需要出境评估的,自上年1月1日起已经累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者再向境外提供个人信息的。
除此之外还有一个兜底条款,即国家网信办规定的其他需要申报数据出境安全评估的情形也需要进行评估。
在此基础上,国家互联网信息办公室在2022年8月31日编制和发布了《数据出境安全评估申报指南(第一版)》(以下简称《指南》),为需要进行该评估的数据处理者提供了更加详细的实操性指南。
《指南》覆盖了数据出境安全评估的适用主体和情形、申报评估的方式及流程、申报评估需要提交的材料、咨询申报问题的方式。其中对于申报评估需要提交的材料,《指南》不仅提供了具体的清单,还提供了这些材料的填写和形式要求,以及重要文件的模板,包括《经办人授权委托书(模板)》、《数据出境安全评估申报书(模板)》和《数据出境风险自评估报告(模板)》。
根据上海市互联网信息办公室的统计数据,截至2023年1月31日,上海市互联网信息办公室接收正式申报材料67件,其中通过完备性查验并报送国家网信办35件,正在进行完备性查验17件,主要涉及零售、汽车、金融、医药等领域。
上海市互联网信息办公室结合日常咨询及操作过程中遇到的常见问题,分别于去年11月和今年2月在其公众号“网信上海”发布了两篇有关数据出境安全评估申报工作的实务问答。对于拟申报数据出境安全评估且位于上海的机构,这两篇文章可以帮助大家解决一些实务中的常见疑惑,包括申报材料清单和要求、申报经办人的要求、报告内容查验要求、申报材料提交形式等,详见:
复恩法律在社会组织与数据安全及个人信息保护领域有着丰富的研究与实务经验。一些过往的课程和视频干货,可以保护社会组织更好地做到数据安全以及个人信息保护合规。
01 3分钟告诉你,数据安全与社会组织有什么关系
02 个人信息保护与社会组织有什么关系
03 一句话告诉你,怎么做到个人信息保护合规
04 谁收集的数据,谁负责
05 个人信息跨境是什么怎么回事呢?
06 与别人分享收集的个人信息,要注意些什么呢?
07 你是不是网络运营者?
08 运营网站,《用户服务协议》到底怎么写?
09 基金会数据安全合规四步秘籍
10 涉外调查?境内机构和境外机构都要知道