2022-2023数据出境安全评估管理建议分析报告.pdf

2022-2023 数据出境安全评估管理建议分析报告数据出境安全评估办法出台过程20157.1中华人民共和国国家安全法20174.11个人信息和重要数据出境安全评估办法（征求意见稿）20176.1中华人民共和国网络安全法20196.13个人信息出境安全评估办法（征求意见稿）20219.1中华人民共和国数据安全法202111.1中华人民共和国个人信息保护法202110.29数据出境安全评估办法（征求意见稿）20229.1数据出境安全评估办法（即将生效）“制定出台数据出境安全评估办法是落实网络安全法、数据安全法、个人信息保护法有关数据出境规定的重要举措，目的是进一步规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动。”数据出境管理总体框架网络数据安全管理条例（征求意见稿）第32条，第35至42条个人信息安全规范个人信息安全影响评估指南网络数据处理安全规范（征求意见稿）数据出境安全评估指南（征求意见稿）汽车数据安全管理若干规定（试行）金融数据安全 数据生命周期安全规范健康医疗数据安全指南中华人民共和国人类遗传资源管理条例重要数据识别指南（征求意见稿）网安法第37条个保法第38至43条数安法第31条数据出境安全评估办法个人信息重要数据网络安全标准实践指南个人信息跨境处理活动安全认证规范个人信息出境标准合同规定（征求意见稿）*特定行业法规工业电信交通金融自然资源医疗健康教育科技其他数据出境活动管理参考数据出境管理主要组织国家网信部门省级网信部门国务院有关部门专门机构 制定安全评估办法 组织安全评估 规定个人信息保护认证规则 制定个人信息出境标准合同规定 境外的组织、个人“黑名单”编制、公告和限制 接收申报材料 申报材料完备性查验 协助国家网信部门开展安全评估 协同国家网信部门制定安全评估办法 协助国家网信部门开展安全评估（特别是针对重要数据的部分）协助国家网信部门开展安全评估认证机构暂待明确？个人信息保护认证？数据安全管理认证*重点行业?“受监管”数据类型个人信息个人信息以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。敏感个人信息一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。示例（粗体为敏感个人信息）：重要数据重要数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。如未公开的政府信息，大面积人口、基因健康、地理、矿产资源等。姓名 电话 电子邮箱 银行账户 身份证号或护照号 个人健康记录“受影响”的应用类型受影响的应用系统处理个人信息和（或）重要数据的业务系统可能“包含”个人信息和（或）重要数据（如：日志、备份等）的 IT 服务和工具嵌入在业务系统中的第三方服务（如：SDK、PaaS等）应用系统 A应用系统 n应用系统 B应用系统 C场景 1将从中国境内收集或产生的个人信息或重要数据传输至中国境外的应用系统应用系统 D场景 4将从中国境内收集或产生的个人信息或重要数据进一步传输至中国境外的其他应用系统 场景 2将从中国境内收集或产生的个人信息或重要数据手动输入或上传至中国境外的应用系统场景 3从境外访问或处理从中国境内收集或产生的且存储在中国境内应用系统中的个人信息或重要数据中国境内 中国境外作为“网络运营者”的数据处理者关键合规路径个人信息出境？开始重要数据出境？*建议进行年度数据安全和个人信息保护合规自查，以确保“新的”出境活动可以被及时识别并开展适当的合规举措。个人信息保护影响评估*建议每年更新单独同意标准合同和（或）认证*有待进一步明确风险自评估内部整改和申报准备申报提交国家网信部门确定受理？材料符合国家网信部门安全评估要求？一次性补充、更正材料通过国家网信部门安全评估？申请复评通过国家网信部门完成复评？收到国家网信部门书面通知 停止出境 收到国家网信部门书面通知 每2年更新或在发生重大变更时重新申报和评估通过省级网信部门的完备性查验？*材料完备性问题或可多次提交，但“冷却期”需待进一步明确。*不受理可通过其他流程开展出境活动。向境外提供重要数据 处理100万人以上个人信息的数据处理者 自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息是否需要向网信部门申报？每出境场景/每出境合同将自评估集成至影响评估流程如果判断为“否”如果判断为“是”通过风险自评估为国家网信部门安全评估作准备 数据处理者（发送方）所有权结构 接收方主体资格和政策法规环境 出境规模、范围、种类、敏感程度 合法性、正当性和必要性目的、范围、方式评估章节5.1章节8.1合法权益风险评估章节5.2安全保障能力评估 出境过程和出境后数据安全风险管理 对数据安全和个人信息权益保障 接收方安全技术和管理能力章节5.3，5.4，5.5章节8.3，8.4接收方所在国家或者地区的政策法规和网络安全环境章节8.2历史违规记录评估章节8.6合同合规性评估 章节5.5章节8.5建议的风险自评估报告主要内容数据出境风险评估数据安全评估合同约束风险评估 数据处理者（发送方）网络安全能力*确保数据生命周期保护的能力 接收方网络安全能力*安全管理和技术能力 与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件（如：个人信息出境标准合同）建议的风险自评估范围该部分属于国家网信部门安全评估范围，建议在风险自评估阶段完成内部自查和应对准备，以在安全评估阶段可应国家网信部门要求提供相关信息。关注“合同合规”个人信息出境说明根据本合同向境外提供个人信息的详情约定如下：（一）传输的个人信息属于下列类别的个人信息主体：（二）传输是为了以下目的：（三）传输个人信息的数量：（四）出境个人信息类别：（五）出境敏感个人信息类别：（六）境外接收方传输的个人信息只向以下接收方提供：（七）传输方式：（八）出境后存储时间：（九）出境后存储地点：（十）其他事项（视情况填写）：关于个人信息出境的“数据出境风险评估”应能基于此说明进行分析和总结个人信息处理者的义务（发送方）境外接收方的义务 遵循目的明确、最小必要原则 适当的告知与同意 落实安全保护措施“连带”境外接收方接受和配合监管活动 开展个人信息保护影响评估（3年）遵循公开透明原则（提供数据访问、合同副本、资质认证说明等）开展合同合规审计 执行合同备案 遵循目的明确、最小必要原则 遵循公开透明原则（提供数据访问、合同副本、资质认证说明等）严格执行数据留存策略，开展处置审计并提供报告 落实安全保护措施 落实数据泄露事件应急处置措施 审慎开展进一步委托处理或提供 遵循有关自动化决策的个人信息保护规定 记录和留存处理活动（3年）接受和配合监管活动以个人信息出境标准合同规定（征求意见稿）为例安全评估申报流程概览数据处理者申报前数据出境自评估准备申请材料：申报书、自评估报告、法律文件（合同）、其他申报数据出境安全评估所在地省级网信部门国家网信部门组织国务院有关部门、省级网信部门、专门机构等安全评估依据要求提交补充材料或进行更正完成评估形成评估结果自出具书面受理通知之日起45个工作日完成，特殊情况进行延长告知。对评估结果有异议的，可以在收到评估结果15个工作日内向国家网信部门申请复评评估结果2年有效期内发生需重新申报评估的情形2年有效期届满60个工作日前5个工作日内完成完备性查验如申报材料不齐全，退回并告知需要补充的材料国家网信部门7个工作日内确定是否受理，并书面通知下一步工作建议2022.07-2022.09识别“高风险”出境活动 识别需申报和评估的出境活动落实快速整改工作 完成个人信息保护影响评估，落实单独同意，完成标准合同签署等制定“Plan B”制定并准备业务连续性计划，以应对潜在“高风险”出境活动被暂停或终止的风险2022.09-2023.02完成风险自评估（试点）完成风险自评估和必要整改完成安全评估申报 完成申报提交和安全评估2023.02 以后 建立健全数据出境管理流程和工具，考虑与现行资产管理、数据分级分类和个人信息保护影响评估等流程集成 继续完成适用范围内出境活动的自评估和安全评估申报工作持续关注有待监管明确事项个人信息出境标准合同、法律文件要求重要数据目录风险自评估和安全评估指南和模板安全评估申报和沟通的执行流程和方式个人信息保护认证的流程和方式 毕马威的服务毕马威网络安全评估平台出境活动梳理和规划识别和梳理个人信息/重要数据出境活动，制定合规计划和建议毕马威数据跨境处理管理服务风险自评估和整改协助开展风险自评估，提供整改建议，并协助落实整改措施安全评估申报支持协助开展安全评估申报工作数据出境管理框架建设建立数据出境活动管理和评估框架，制定相关制度、流程和工具出境日常管理支持协助持续开展出境活动记录盘点、自评估、整改辅导、管理培训等日常出境活动管理运行支持系统/数据本地化分析分析数据/系统本地化战略和计划，并提供建议