版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 举报,一经查实,本站将立刻删除。如若转载,请注明出处:http://www.51hangyebaogao.com/_chan____243/6271.html
定制报告-个性化定制-按需专项定制研究报告
行业报告、薪酬报告
联系:400-6363-638
《快页:2024数据出境安全合规白皮书(90页).pdf》由会员分享,可在线阅读,更多相关《快页:2024数据出境安全合规白皮书(90页).pdf(90页珍藏版)》请在本站上搜索。 1、 数据出境安全合规白皮书 2024 快页信息技术有限公司 数据出境安全合规白皮书 快页信息技术有限公司 第 1 页 前言前言 随着全球化和数字化的发展,数据已经成为重要的生产要素和商业资源。数据出境作为企业开展跨国业务、拓展国际市场的重要手段,已经成为企业发展的必经之路。然而,数据出境也带来了诸多安全和合规挑战,如何确保数据安全、合法、有效地出境已成为企业亟待解决的问题。本白皮书旨在为企业在数据出境过程中提供全面的安全和合规指导,帮助企业了解数据出境的法律法规、标准要求以及最佳实践,从而降低数据出境风险,保障企业的商业利益和声誉。本白皮书将详细介绍数据出境的背景和重要性、相关法律法规和标准要求2、、数据出境的风险和挑战、企业如何进行数据出境安全合规的自我评估、以及最佳实践和建议。希望通过本白皮书的发布,能够推动企业加强数据出境安全和合规管理,促进全球数字经济的健康发展。本白皮书由快页信息技术有限公司数安实验室组织牵头,凭阑江苏实验室科技有限公司参与联合编制,参与编写人员有吴青松、杨焕烽、陈雨萱、陶国军等。数据出境安全合规白皮书 快页信息技术有限公司 第 2 页 提示提示 本白皮书所附申请材料为截搞日(2024 年 3 月 25 日)的最新版本,如有更新恕不另行通知,请以官方最新版为准。本白皮书中所述内容可能会随着政策的更新,监管口径发生变化而改变,企业应当及时关注最新动态,本文不作为法3、律意见。数据出境安全合规白皮书 快页信息技术有限公司 第 3 页 版权声明版权声明 数据出境安全合规白皮书权利归属于快页信息技术有限公司所有。未经许可,任何组织或个人不得将报告的全部内容或部分内容为营利目的出版、编辑、翻译、网络传播、转让或出售等方式使用。转载、摘编使用本白皮书文字或观点应注明来源。数据出境安全合规白皮书 快页信息技术有限公司 第 4 页 目录目录 前言前言.1 提示提示.2 版权声明版权声明.3 1 数据出境安全合规背景概述数据出境安全合规背景概述.6 1.11.1 数据出境安全风险数据出境安全风险.6 1.21.2 数据出境法律框架数据出境法律框架.7 1.31.3 数据出4、境制度演进数据出境制度演进.8 1.41.4 数据出境监管现状数据出境监管现状.8 2 数据出境安全合规路径分析数据出境安全合规路径分析.9 2.12.1 数据出境合规三种路径数据出境合规三种路径.9 2.22.2 数据出境合规路径适用数据出境合规路径适用.11 2.32.3 数据出境合规路径比较数据出境合规路径比较.13 3 数据出境安全评估申报指南数据出境安全评估申报指南.15 3.13.1 适用范围适用范围.15 3.23.2 申报方式及流程申报方式及流程.16 3.33.3 申报材料申报材料.17 3.43.4 咨询、举报联系方式咨询、举报联系方式.18 3.53.5 附件附件.18 5、4 个人信息出境标准合同备案指南个人信息出境标准合同备案指南.19 4.14.1 适用范围适用范围.19 4.24.2 备案方式备案方式.19 4.34.3 备案流程备案流程.19 4.44.4 咨询、举报联系方式咨询、举报联系方式.21 4.54.5 附件附件.21 5 个人信息保护认证指南个人信息保护认证指南.22 5.15.1 适用范围适用范围.22 5.25.2 认证依据认证依据.22 5.35.3 认证模式认证模式.22 5.45.4 认证实施程序认证实施程序.22 5.55.5 认证证书和认证标志认证证书和认证标志.23 5.65.6 认证实施细则认证实施细则.24 5.75.7 6、认证责任认证责任.25 数据出境安全合规白皮书 快页信息技术有限公司 第 5 页 5.85.8 咨询联系方式咨询联系方式.25 5.95.9 附件附件.25 6 数据出境安全合规申报案例数据出境安全合规申报案例.26 6.16.1 数据出境安全评估申报案例数据出境安全评估申报案例.27 6.26.2 个人信息出境标准合同备案案例个人信息出境标准合同备案案例.27 6.36.3 个人信息保护认证案例个人信息保护认证案例.27 附录附录 A 数据出境安全评估申报附件数据出境安全评估申报附件.28 附录附录 B 个人信息出境标准合同备案附件个人信息出境标准合同备案附件.41 附录附录 C 个人信息保7、护认证附件个人信息保护认证附件.60 附录附录 D 常见实务问题常见实务问题 Q&A.70 附录附录 E 各地网信部门联系方式各地网信部门联系方式.81 附录附录 F 快页数据安全能力介绍快页数据安全能力介绍.83 F.1F.1 数据安全服务能力数据安全服务能力.83 F.1.1 数据安全整体规划服务.83 F.1.2 数据分级分类服务.83 F.1.3 数据合规评估服务.84 F.1.4 数据风险评测服务.84 F.1.5 持续安全运营服务.84 F.1.6 应急响应及溯源服务.85 F.1.7 数据出境申报服务.85 F.2F.2 数据安全工具能力数据安全工具能力.86 F.2.1 数据安8、全管控平台.86 F.2.2 数据跨境监测系统.87 参考文献参考文献.88 数据出境安全合规白皮书 快页信息技术有限公司 第 6 页 1 1 数据出境安全合规背景概述数据出境安全合规背景概述 国家安全是一个多领域交叉的综合性安全问题。我国除了重视国土安全、军事安全等传统领域的国家安全外,也同样重视数据领域的国家安全。在立法方面,为维护数据领域的国家安全,规范数据处理活动,我国最高立法机关于 2021 年 6 月 10 日出台了 数据安全法。在执法方面,2021 年以来国家互联网信息办公室(以下简称“网信办”)接连对“滴滴出行”“运满满”“货车帮”“BOSS 直聘”等在美国上市的互联网公司,实9、施国家安全审查。至此,数据出境对国家安全的重大影响,逐步引起社会各界的关注。数据出境是数据处理者将在国内收集、产生的重要数据和个人信息,提供给境外主体的行为。数据特有的科技属性与流动隐蔽性,以及数据的主动出境和被动出境,都会给国家安全治理带来挑战。随着全球化和数字化进程的加速,企业和个人的数据生成量呈爆炸性增长。在这些数据中,很多都是敏感或机密信息,如客户信息、商业策略、研发成果等。这些数据的泄露或被不当使用,可能会给企业带来巨大的经济损失和声誉损害。因此,对于涉及数据出境的企业来说,保障数据安全不仅是合规需求,更是业务发展的基础。1.11.1 数据出境安全风险数据出境安全风险 数据出境安全风10、险是指在数据传输或存储过程中面临的安全威胁和挑战,主要表现在以下几个方面:1 1、合规风险合规风险 各国对于数据出境的法律规定各有不同,且不断更新。企业如果不遵守相关法规,可能会面临罚款、诉讼甚至被取缔的风险。2 2、技术风险技术风险 在数据传输和存储过程中,如果没有足够的加密和隐私保护技术,可能会被黑客攻击、拦截或窃取。此外,云服务、大数据等新技术应用也带来了新的安全挑战。3 3、业务风险业务风险 如果企业对数据出境缺乏足够的风险意识和管理手段,可能会在业务合作过程中泄露敏感信息,给企业带来损失。为了应对这些风险,企业需要采取一系列安全措施来确保数据出境的安全性,包括加强立法和合规管理、采用11、先进的数据加密和隐私保护技术、建立完善的数据管理制度、提高员工的安全意识等。同时,政府和监管机构也需要加强数据安全监管和国际合作,数据出境安全合规白皮书 快页信息技术有限公司 第 7 页 共同推动全球数据安全治理的健康发展。1.21.2 数据出境法律框架数据出境法律框架 数据出境的法律框架是指管理和规范数据传输和流动的法律法规和政策体系。由于数据的跨境流动涉及国家安全、个人隐私、商业秘密等多个方面,因此各国政府和监管机构需要制定相应的法律框架来确保数据的安全和合规。在中国,数据出境的法律框架主要包括以下几个方面:1、中华人民共和国网络安全法:该法规定了网络信息保护的基本原则和要求,包括个人信息12、保护、关键信息基础设施保护等方面。其中,第三十七条明确规定了关键信息基础设施的运营者在境内运营中收集和产生的个人信息和重要数据应当在境内存储,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。2、中华人民共和国数据安全法:该法规定了数据处理活动的安全和保密要求,保障国家数据安全。其中,第三十一条明确规定了关键信息基础设施的运营者在境内运营中收集和产生的重要数据的出境安全管理,适用中华人民共和国网络安全法的规定;其他数据处理者在境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。3、数据出境安全评估办法:该办法规定了中国数据出境安13、全评估的具体要求和程序。根据该办法,数据处理者向境外提供在境内运营中收集和产生的重要数据和个人信息的安全评估,适用本办法。法律、行政法规另有规定的,依照其规定。同时,该办法还规定了申报数据出境安全评估的具体情形和要求。4、个人信息出境标准合同规定:该规定是为了保障个人信息在出境后的合法权益,规范个人信息出境活动。其中,个人信息处理者向境外提供个人信息前需进行个人信息保护影响评估。此外,中国的数据出境法律框架还包括网络安全审查办法、数据安全管理办法等相关法律法规和政策文件,共同构成了中国数据出境的法律体系。总体来说,中国数据出境的法律框架是在保障国家安全、个人隐私和商业秘密的基础上,规范数据的跨14、境流动和使用,促进数据合理、合法、合规地流通和应用。同时,通过加强国际合作和建立互信机制,推动全球数据安全治理的健康发展。数据出境安全合规白皮书 快页信息技术有限公司 第 8 页 1.31.3 数据出境制度演进数据出境制度演进 中国数据出境制度的沿革和演进可以大致分为以下几个阶段:1、早期探索阶段(2010 年以前):在这个阶段,我国开始意识到数据安全和隐私保护的重要性,但相关的法律法规和政策体系尚未建立。2、初步建立阶段(2010-2015 年):随着信息化和互联网的快速发展,我国开始制定和实施一系列与数据安全和隐私保护相关的法律法规和政策,如全国人大常委会关于加强网络信息保护的决定、网络安15、全法等。3、逐步完善阶段(2016 年至今):在这个阶段,我国进一步加强了对数据安全和隐私保护的监管,制定了一系列更加具体的政策和标准,如数据安全法、个人信息保护法 等。同时,中我国还加强了与国际社会的合作,积极参与全球数据安全治理。总体来说,中国数据出境制度的沿革和演进是一个逐步完善的过程,旨在加强数据安全和隐私保护,促进数字经济的健康发展。在这个过程中,我国还需要不断适应新的形势和挑战,加强立法和监管,提高国际合作水平,以应对日益复杂和严峻的数据安全威胁。1.41.4 数据出境监管现状数据出境监管现状 数据出境监管现状主要包括以下几个方面:1、法律法规体系不断完善:我国近年来加强了对数据安16、全和隐私保护的法律法规建设,出台了一系列相关法律法规,如网络安全法、数据安全法、个人信息保护法等,为数据出境监管提供了更加完善的法律基础。2、监管力度持续加强:我国对数据出境的监管力度不断加强,对违法违规行为加大了处罚力度,同时加强了对数据收集、存储、使用、加工、传输、公开等全流程、各环节的安全管理,提高了数据出境的整体安全水平。3、监管技术不断创新:随着科技的不断进步,我国在数据出境监管中加强了对新技术的应用,如大数据分析、人工智能等,提高了监管的效率和准确性,同时也为数据的合规使用和安全管理提供了更加可靠的技术支持。4、国际合作逐步深化:我国积极参与全球数据安全治理,与国际社会加强了合作与17、交流,共同打击跨国数据安全威胁,推动建立更加公正合理的国际数据治理体系。数据出境安全合规白皮书 快页信息技术有限公司 第 9 页 2 2 数据出境安全合规路径分析数据出境安全合规路径分析 数据出境安全合规路径分析是指对数据跨境流动的安全性和合规性进行全面评估和分析的过程。这一过程旨在确保数据在跨境传输和存储过程中得到充分保护,并符合相关法律法规的要求。2.12.1 数据出境合规三种路径数据出境合规三种路径 数据出境合规的三种路径包括:数据出境安全评估、个人信息出境标准合同和个人信息保护认证。图 1 数据出境合规三种路径 其中,个人信息出境标准合同通常对应为通用数据保护条例(General Da18、ta Protection Regulation,简称 GDPR)项下的 SCC(Standard Contractual Clauses);个人信息保护认证通常对应为 GDPR 项下的 BCRs(Binding Corporate Rules)。1、数据出境安全评估:根据数据出境安全评估办法,满足一定条件的数据处理者应当对出境数据进行安全评估。评估内容包括申报书、数据出境风险自评估报告、数据处理者与境外接收方拟订立的法律文件以及安全评估工作需要的其它材料。表 1 数据出境安全评估路径 1)依据:网络安全法数据安全法个人信息保护法数据出境安全评估办法数据出境安全评估申报指南(第二版)等 2)适19、用数据类型:数据(含个人信息)3)触发条件(任何一种):(1)出境数据中含有重要数据;(2)数据处理者为关键信息基础设施运营者(简称“CIIO”);(3)数据处理者为处理 100 万人以上个人信息的数据处理者;(4)数据出境安全合规白皮书 快页信息技术有限公司 第 10 页 自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者;(5)国家网信部门规定的其他需要申报数据出境安全评估的情形。4)申报提交材料:(一)申报书;(二)数据出境风险自评估报告;(三)数据处理者与境外接收方拟订立的法律文件;(四)安全评估工作需要的其他材料。5)申报流程:省级网信部门应当自收到申报20、材料之日起 5 个工作日内完成完备性查验。申报材料齐全的,将申报材料报送国家网信部门;申报材料不齐全的,应当退回数据处理者并一次性告知需要补充的材料。国家网信部门应当自收到申报材料之日起 7 个工作日内,确定是否受理并书面通知数据处理者。6)评估时限:国家网信部门应当自向数据处理者发出书面受理通知书之日起 45 个工作日内完成数据出境安全评估;情况复杂或者需要补充、更正材料的,可以适当延长并告知数据处理者预计延长的时间。7)评估有效期:两年。2、标准合同备案:虽然个人信息保护法第三十八条要求个人信息处理者任选其一方式,但其实在选择顺序上需要先评估是否需要申报出境安全评估,不适用时才能考虑适用出21、境标准合同的机制。表 2 个人信息出境标准合同备案路径 1)依据:个人信息保护法个人信息出境标准合同办法个人信息出境标准合同备案指南(第二版)等 2)适用数据类型:个人信息 3)适用条件(同时满足):(1)非关键信息基础设施运营者;(2)处理个人信息不满 100 万人的;(3)自上年 1 月 1 日起累计向境外提供个人信息不满 10 万人的;(4)自上年 1 月 1 日起累计向境外提供敏感个人信息不满 1 万人的。(5)隐藏条件:不构成重要数据(否则应出境安全评估)。4)备案要求:在标准合同生效之日起 10 个工作日内向所在地省级网信部门备案。5)备案机构:省级网信办。6)备案流程:材料提交、22、材料查验及反馈备案结果、补充或者重新备案。7)备案提交材料:(一)合同双方根据标准合同订立的个人信息出境标准合同,与之相关的独立商业合同并不需要备案;(二)个人信息保护影响评估报告。8)重新评估、备案的情形:标准合同办法第八条规定,如存在下列情形之一的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续:(1)向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;(2)境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;(3)可能影响23、数据出境安全合规白皮书 快页信息技术有限公司 第 11 页 个人信息权益的其他情形。3、个人信息保护认证:当个人信息出境,但不满足数据出境安全评估管理办法第四条规定的情况时,可以执行此路径。依据个人信息跨境处理活动安全认证规范指导个人信息处理者规范开展个人信息跨境处理活动。表 3 个人信息保护认证路径 1)依据:个人信息保护法个人信息保护认证实施规则、TC260-PG-20222A个人信息跨境处理活动安全认证规范等 2)适用数据类型:个人信息 3)适用要求:个人信息处理者与境外接收方签订法律文件,开展个人信息保护影响评估,双方均指定个人信息保护负责人、设立个人信息保护机构,并建立个人信息处理者24、和境外接收方共同适用的个人信息跨境处理规则。4)认证实施程序:认证委托、技术验证、现场审核、认证结果评价和批准、获证后监督。5)证书有效期:三年。6)认证机构:中国网络安全审查认证和市场监管大数据中心(简称“CCRC”)。7)申请材料:申请方法律证明文件(包括营业执照/法人证书复印件、每个场所的法律地位证明文件,如房租合同或产权证明),自评价表及相关证据材料、业务流程及描述、组织机构图或职能表述、数据目录、其他补充材料。8)认证时限:70 个工作日(不包括整改时间)。2.22.2 数据出境合规路径适用数据出境合规路径适用 数据出境合规路径的适用需要根据具体情况进行选择。图 2 数据出境路径选择25、 数据出境安全合规白皮书 快页信息技术有限公司 第 12 页 需要强调的是,图中所示的三条数据出境路径选择应当是有先后适用顺序的。首先应当确定是否需要进行数据出境安全评估,如果不需要进行的,方可选择另外两种出境方式,即采取个人信息保护认证或签署个人信息出境标准合同。以下是一些适用的场景和条件:1、数据安全评估路径:适用于满足数据出境安全评估管理办法规定的条件的数据处理者。这些条件包括数据处理者向境外提供重要数据、个人信息等受到法律法规保护的数据,且数据处理者在中国境内运营并具有独立法人实体或经法定代表人授权的组织。数据出境安全评估的目的是确保数据出境行为符合法律法规要求,保障国家安全和社会公共26、利益。2、个人信息保护认证路径:适用于个人信息处理者向境外提供个人信息的情况。个人信息处理者需要与境外接收方签订法律文件,开展个人信息保护影响评估,并建立个人信息跨境处理规则。通过个人信息保护认证,可以证明个人信息处理者符合相关法律法规要求,保障个人信息主体的合法权益。3、标准合同路径:适用于非关键信息基础设施运营者、处理个人信息不满 100 万人的、自上年 1 月 1 日起累计向境外提供个人信息不满 10 万人的、自上年 1 月 1 日起累计向境外提供敏感个人信息不满 1 万人的以及不构成重要数据的情况。标准合同的目的是通过合同方式约定数据处理者和境外接收方的权利和义务,确保数据出境行为符合27、法律法规要求,保障国家安全和社会公共利益。表 4 免于出境申报活动条件 2024 年 3 月 22 日,国家互联网信息办公室公布促进和规范数据跨境流动规定,规定了免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件:1、国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的。2、在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的。3、为订立、履行个人作为一方当事人的合同,确需向境外提供个人信息的。4、按照依法制定的劳动规章制度和依法签订的集体合同实28、施跨境人力资源管理,确需向境外提供员工个人信息的。5、紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的。6、关键信息基础设施运营者以外的数据处理者自当年 1 月 1 日起累计向境外提供不满 10 万人数据出境安全合规白皮书 快页信息技术有限公司 第 13 页 个人信息(不含敏感个人信息)的。总的来说,数据出境合规路径的选择需要根据具体情况进行评估和选择。建议数据处理者在专业数据安全服务机构或监管机构的指导下,根据自身的情况选择最适合的合规路径。2.32.3 数据出境合规路径比较数据出境合规路径比较 表 5 数据出境合格路径比较 路径路径 数据出境安全评估办法 个人信息出境标29、准合同办法 个人信息保护认证实施规则 个人信息跨境处理活动安全认证规范 适用对象适用对象 个人信息+重要数据的跨境提供行为 个人信息的跨境提供行为 个人信息的跨境提供行为 具体流程具体流程 1.数据处理者提交申报材料 2.监管部门书面反馈受理结果 3.监管部门联合组织安全评估 4.监管部门出具书面评估结果,并通知数据处理者 5.如有异议,可在收到评估结果 15 个工作日内向国家网信部门申请复评 6.上一安全评估有效期满前提前 60 个工作日重新申报 个人信息处理者在标准合同生效之日起 10 个工作日内,提交备案材料,备案程序不影响合同的效力。1.认证委托 2.技术验证 3.现场审核 4.认证结30、果评价和批准 5.获证后监督 6.认证机构明确公布认证时限、认证实施细则 监管部门监管部门 国家网信部门,评估时会同国务院有关部门、省级网信部门、专门机构等 所在省级网信部门备案 认证机构 所需材料所需材料 1.申报书 2.数据出境风险自评估报告 3.数据处理者与境外接收1.标准合同 2.个人信息保护影响评估报告 内控措施证明、合规证明、法律合同等 数据出境安全合规白皮书 快页信息技术有限公司 第 14 页 方拟订立的合同或者其他具有法律效力的文件等 4.安全评估工作需要的其他材料 有效期有效期 2 年,自评估结果出具之日起计算;非一事一议,出现特除情形需重新申报评估 标准合同有效期内出现特殊31、情形需重新签订标准合同并备案 认证证书有效期 3 年 数据出境安全合规白皮书 快页信息技术有限公司 第 15 页 3 3 数据出境安全评估申报指南数据出境安全评估申报指南 2022 年 7 月 7 日,国家互联网信息办公室公布数据出境安全评估办法,自 2022年 9 月 1 日起施行。2022 年 08 月 31 日,国家互联网信息办公室发布数据出境安全评估申报指南(第一版)。2024 年 03 月 22 日,国家互联网信息办公室发布数据出境安全评估申报指南(第二版)。3.13.1 适用范围适用范围 数据处理者向境外提供数据,有下列情形之一的,应当申报数据出境安全评估:(一)关键信息基础设施运32、营者向境外提供个人信息或者重要数据;(二)关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年 1 月 1 日起累计向境外提供 100 万人以上个人信息(不含敏感个人信息)或者 1 万人以上敏感个人信息。属于促进和规范数据跨境流动规定第三条、第四条、第五条、第六条规定情形的,从其规定。以下情形属于数据出境行为:(一)数据处理者将在境内运营中收集和产生的数据传输至境外;(二)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;(三)符合个人信息保护法第三条第二款情形,在境外处理境内自然人个人信息等其他数据处理活动。表 5促进和规范数据跨境流动33、规定第三条、第四条、第五条、第六条规定 第三条第三条 国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。第四条第四条 数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。第五条第五条 数据处理者向境外提供个人信息,符合下列条件之一的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:(一)为订立、履行34、个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的;数据出境安全合规白皮书 快页信息技术有限公司 第 16 页 (二)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;(三)紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;(四)关键信息基础设施运营者以外的数据处理者自当年 1 月 1 日起累计向境外提供不满 10万人个人信息(不含敏感个人信息)的。前款所称向境外提供的个人信息,不包括重要数据。第六条第六条 自由贸易试验区在国家数据分类分级35、保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。3.23.2 申报方式及流程申报方式及流程 数据处理者申报数据出境安全评估,应当通过数据出境申报系统提交申报材料,系统网址为 https:/。关键信息基础设施运营者或者其他不适合通过数据出境申报系统申报数据出境安全评估的,采用线下方式通过所在地省级网信办向国36、家网信办申报数据出境安全评估,申报方式为送达书面申报材料并附带材料电子版,书面申报材料需装订成册。省级网信办在数据处理者提交申报材料之日起 5 个工作日内完成申报材料的完备性查验,并向数据处理者告知查验结果。通过完备性查验的,省级网信办将申报材料提请国家网信办受理;未通过完备性查验的,省级网信办向数据处理者告知未通过完备性查验原因。国家网信办自收到省级网信办提交的申报材料之日起 7 个工作日内,确定是否受理并书面通知数据处理者。需要补充或者更正申报材料的,数据处理者应当按照告知要求及时补充或者更正材料。无正当理由不补充或者更正申报材料的,国家网信办可以终止安全评估。情况复杂或者需要补充、更正材37、料的,国家网信办可以适当延长评估时间,并告知数据处理者预计延长的时间。评估完成后,国家网信办向数据处理者出具评估结果通知书。数据处理者应当按照数据出境安全管理相关法律法规和评估结果通知书的有关要求,规范相关数据出境活动。数据处理者对评估结果有异议的,可以在收到评估结果通知书 15 个工作日内向国家网信办申请复评,复评结果为最终结论。数据出境安全合规白皮书 快页信息技术有限公司 第 17 页 图 3 数据出境安全评估流程 3.33.3 申报材料申报材料 数据处理者申报数据出境安全评估,应当提交如下材料(数据出境安全评估申报材料要求见附件 A.1):1.统一社会信用代码证件影印件 2.法定代表人身38、份证件影印件 3.经办人身份证件影印件 4.经办人授权委托书(模板见附件 A.2)5.数据出境安全评估申报书(模板见附件 A.3)6.与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件影印件 7.数据出境风险自评估报告(模板见附件 A.4)8.其他相关证明材料 数据处理者对所提交材料的真实性负责,提交虚假材料的,按照评估不通过处理,数据出境安全合规白皮书 快页信息技术有限公司 第 18 页 并依法追究相应法律责任。3.43.4 咨询咨询、举报联系方式、举报联系方式 联系电话:010-55627135 电子邮箱: 3.53.5 附件附件 见附件 A:A.1.数据出境安全评估申报材料要39、求 A.2.经办人授权委托书(模板)A.3.数据出境安全评估申报书(模板)A.4.数据出境风险自评估报告(模板)数据出境安全合规白皮书 快页信息技术有限公司 第 19 页 4 4 个人信息出境标准合同备案指南个人信息出境标准合同备案指南 2023 年 2 月,网信办发布个人信息出境标准合同办法,根据该办法,网信办于2023 年 5 月 30 日发布个人信息出境标准合同备案指南(第一版),于 2024 年 3月 22 日发布个人信息出境标准合同备案指南(第二版)。期间,各省级网信办陆续针对标准合同备案实操进行了规定,如北京市网信办、上海市网信办陆续发布了北京市个人信息出境标准合同备案指引关于个人40、信息出境标准合同备案的通知。4.14.1 适用范围适用范围 个人信息处理者通过订立标准合同的方式向境外提供个人信息,同时符合下列情形的应当向所在地省级网信部门备案:(一)关键信息基础设施运营者以外的数据处理者;(二)自当年 1 月 1 日起,累计向境外提供 10 万人以上、不满 100 万人个人信息(不含敏感个人信息)的;(三)自当年 1 月 1 日起,累计向境外提供不满 1 万人敏感个人信息的。属于促进和规范数据跨境流动规定第三条、第四条、第五条、第六条规定情形的,从其规定。个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。以下情形属41、于个人信息出境行为:(一)个人信息处理者将在境内运营中收集和产生的个人信息传输至境外;(二)个人信息处理者收集和产生的个人信息存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;(三)符合个人信息保护法第三条第二款情形,在境外处理境内自然人个人信息等其他个人信息处理活动。4.24.2 备案备案方式方式 个人信息处理者应当在标准合同生效之日起 10 个工作日内,通过数据出境申报系统备案,系统网址为 https:/。4.34.3 备案备案流程流程 标准合同备案流程包括材料提交、材料查验及反馈备案结果、补充或者重新备案等环节。数据出境安全合规白皮书 快页信息技术有限公司 第 20 页 (42、一)材料提交 个人信息处理者备案标准合同,应当提交如下材料(要求见附件 B.1):1.统一社会信用代码证件影印件 2.法定代表人身份证件影印件 3.经办人身份证件影印件 4.经办人授权委托书(模板见附件 B.2)5.承诺书(模板见附件 B.3)6.标准合同(范本见附件 B.4)7.个人信息保护影响评估报告(模板见附件 B.5)(二)材料查验及反馈备案结果 省级网信办应当自个人信息处理者提交备案材料之日起 15个工作日内完成材料查验,并向符合备案要求的个人信息处理者发放备案编号。需要补充完善材料的,个人信息处理者应当在 10 个工作日内提交补充完善材料;逾期未补充完善材料的,可以终止本次备案程序43、。(三)补充或者重新备案 在标准合同有效期内出现下列情形之一的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续:1.向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;2.境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;3.可能影响个人信息权益的其他情形。个人信息处理者在标准合同有效期内补充订立标准合同的,应当向所在地省级网信办提交补充材料;重新订立标准合同的,应当重新备案。补充或者重新备案的材料查验时间为 15 个工作日。44、个人信息处理者对所提交材料的真实性负责,提交虚假材料的,注销备案编号,并依法追究相应法律责任。数据出境安全合规白皮书 快页信息技术有限公司 第 21 页 图 4 个人信息出境标准合同备案流程 4.44.4 咨询咨询、举报联系方式、举报联系方式 联系电话:010-55627565 电子邮箱: 4.54.5 附件附件 见附件 B:B.1.个人信息出境标准合同备案材料要求 B.2.经办人授权委托书(模板)B.3.承诺书(模板)B.4.个人信息出境标准合同(范本)B.5.个人信息保护影响评估报告(模板)数据出境安全合规白皮书 快页信息技术有限公司 第 22 页 5 5 个人信息保护认证指南个人信息保护45、认证指南 2022 年 11 月 18 日,网信办发布个人信息保护认证实施规则,同时,国家市场监督管理总局、国家互联网信息办公室联合发布了 关于实施个人信息保护认证的公告。5.15.1 适用范围适用范围 本规则依据中华人民共和国认证认可条例制定,规定了对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。5.25.2 认证依据认证依据 个人信息处理者应当符合 GB/T 35273 信息安全技术 个人信息安全规范 的要求。对于开展跨境处理活动的个人信息处理者,还应当符合 TC260-PG-20222A 个人信息跨境处理活动安全认证规46、范的要求。上述标准、规范原则上应当执行最新版本。5.35.3 认证模式认证模式 个人信息保护认证的认证模式为:技术验证+现场审核+获证后监督 5.45.4 认证认证实施程序实施程序 (1 1)认证委托认证委托 认证机构应当明确认证委托资料要求,包括但不限于认证委托人基本材料、认证委托书、相关证明文档等。认证委托人应当按认证机构要求提交认证委托资料,认证机构在对认证委托资料审查后及时反馈是否受理。认证机构应当根据认证委托资料确定认证方案,包括个人信息类型和数量、涉及的个人信息处理活动范围、技术验证机构信息等,并通知认证委托人。(2 2)技术验证技术验证 技术验证机构应当按照认证方案实施技术验证,47、并向认证机构和认证委托人出具技术验证报告。(3 3)现场审核现场审核 认证机构实施现场审核,并向认证委托人出具现场审核报告。数据出境安全合规白皮书 快页信息技术有限公司 第 23 页 (4 4)认证结果评价和批准认证结果评价和批准 认证机构根据认证委托资料、技术验证报告、现场审核报告和其他相关资料信息进行综合评价,作出认证决定。对符合认证要求的,颁发认证证书;对暂不符合认证要求的,可要求认证委托人限期整改,整改后仍不符合的,以书面形式通知认证委托人终止认证。如发现认证委托人、个人信息处理者存在欺骗、隐瞒信息、故意违反认证要求等严重影响认证实施的行为时,认证不予通过。(5 5)获证后监督获证后监48、督 1)监督的频次 认证机构应当在认证有效期内,对获得认证的个人信息处理者进行持续监督,并合理确定监督频次。2)监督的内容 认证机构应当采取适当的方式实施获证后监督,确保获得认证的个人信息处理者持续符合认证要求。3)获证后监督结果的评价 认证机构对获证后监督结论和其他相关资料信息进行综合评价,评价通过的,可继续保持认证证书;不通过的,认证机构应当根据相应情形作出暂停直至撤销认证证书的处理。(6 6)认证时认证时限限 认证机构应当对认证各环节的时限作出明确规定,并确保相关工作按时限要求完成。认证委托人应当对认证活动予以积极配合。5.55.5 认证证书和认证标志认证证书和认证标志 (1 1)认证证49、书认证证书 1)认证证书的保持 认证证书有效期为 3 年。在有效期内,通过认证机构的获证后监督,保持认证证书的有效性。证书到期需延续使用的,认证委托人应当在有效期届满前 6 个月内提出认证委托。认证机构应当采用获证后监督的方式,对符合认证要求的委托换发新证书。2)认证证书的变更 认证证书有效期内,若获得认证的个人信息处理者名称、注册地址,或认证要求、数据出境安全合规白皮书 快页信息技术有限公司 第 24 页 认证范围等发生变化时,认证委托人应当向认证机构提出变更委托。认证机构根据变更的内容,对变更委 托资料进行评价,确定是否可以批准变更。如需进行技术验证和/或现场审核,还应当在批准变更前进行技50、术验证和/或现场审核。3)认证证书的注销、暂停和撤销 当获得认证的个人信息处理者不再符合认证要求时,认证机构应当及时对认证证书予以暂停直至撤销。认证委托人在认证证书有效期内可申请认证证书暂停、注销。4)认证证书的公布 认证机构应当采用适当方式对外公布认证证书颁发、变更、暂停、注销和撤销等相关信息。(2 2)5.2 5.2 认证标志认证标志 不含跨境处理活动的个人信息保护认证标志如下:包含跨境处理活动的个人信息保护认证标志如下:“ABCD”代表认证机构识别信息。(3 3)5.3 5.3 认证证书和认证标志的使用认证证书和认证标志的使用 在认证证书有效期内,获得认证的个人信息处理者应当按照有关规定51、在广告等宣传中正确使用认证证书和认证标志,不得对公众产生误导。5.65.6 认证实施细则认证实施细则 认证机构应当依据本规则有关要求,细化认证实施程序,制定科学、合理、可操作数据出境安全合规白皮书 快页信息技术有限公司 第 25 页 的认证实施细则,并对外公布实施。5.75.7 认证责任认证责任 认证机构应当对现场审核结论、认证结论负责。技术验证机构应当对技术验证结论负责。认证委托人应当对认证委托资料的真实性、合法性负责。5.85.8 咨询联系方式咨询联系方式 联系电话:010-82261100 联系邮箱: 5.95.9 附件附件 见附件 C:个人信息保护认证申请书 数据出境安全合规白皮书 快52、页信息技术有限公司 第 26 页 6 6 数据出境安全合规申报案例数据出境安全合规申报案例 截止目前,通过公开渠道查询到,成功通过数据出境申报(国家网信部门的“审批”或“备案”)的企业有 29 家,与国家网信办和各地省级网信办已受理的千余件申报相比,数据出境申报通过率仅为百分之一。表 6 成功通过数据出境申报企业名单 数据出境安全合规白皮书 快页信息技术有限公司 第 27 页 6.16.1 数据出境安全评估申报案例数据出境安全评估申报案例 首都医科大学附属北京友谊医院与荷兰阿姆斯特丹大学医学中心合作研究项目成为全国首个数据合规出境案例。北京现代汽车有限公司的数据出境申报进行全系统盘点、全业务申53、报,且全场景获批,成为我国汽车领域首个通过国家互联网办公室的审批的数据出境安全评估项目。焦点科技股份有限公司的“中国制造网外贸电商平台业务”通过国家网信办数据出境安全评估,成为跨境电商领域全国首个数据合规出境案例。马自达(中国)企业管理有限公司、丝芙兰(上海)化妆品销售有限公司是上海首批通过数据出境安全评估的两家企业。杭州海康威视数字技术股份有限公司、杭州萤石网络股份有限公司是浙江省首批通过国家网信办数据出境安全评估的企业。6.26.2 个人信息出境标准合同备案案例个人信息出境标准合同备案案例 北京德亿信数据有限公司与香港诺华诚信有限公司签订的个人信息出境标准合同已通过北京市网信办组织的备案审54、核,备案号为“京合同备 202300001”,成为国内首家通过订立标准合同实现个人信息合规出境的企业。伟创力技术(长沙)有限公司提交的两份个人信息出境标准合同通过了湖南省互联网信息办公室组织的备案审核,成为湖南省首家通过订立标准合同实现个人信息合规出境的企业。6.36.3 个人信息保护认证案例个人信息保护认证案例 中国网络安全审查技术与认证中心向珠海澳科大科技研究院、支付宝(中国)网络技术有限公司、北京华品博睿网络技术有限公司、京东科技信息技术有限公司等 5 家企业颁发了我国首批个人信息保护认证证书。数据出境安全合规白皮书 快页信息技术有限公司 第 28 页 附录附录 A A 数据出境安全评估55、申报附件数据出境安全评估申报附件 附件 A.1 数据出境安全评估申报材料要求 序号 材料名称 要求 备注 1 统一社会信用代码证件 影印件加盖公章 2 法定代表人身份证件 影印件加盖公章 3 经办人身份证件 影印件加盖公章 4 经办人授权委托书 5 数据出境安全评估申报书 5.1 承诺书 5.2 数据出境安全评估申报表 使用中文填写 6 与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件 对数据出境相关约定条款作高亮、线框等显著标识。法律文件以中文版本为准,若仅有非中文版本,须同步提交准确的中文译本。7 数据出境风险自评估报告 使用中文撰写 8 其他相关证明材料 注:采用线下方式提56、交申报材料的数据处理者,需同步通过光盘提交相应电子版材料。数据出境安全合规白皮书 快页信息技术有限公司 第 29 页 附件 A.2 经办人授权委托书 本人 姓名(身份证件号码:)系 数据处理者名称 的法定代表人,现授权我单位 姓名(身份证件号码:)为数据出境安全评估申报工作经办人。经办人代表我单位进行数据出境安全评估申报工作过程中的一切行为,包括所签署和上传的资料,我单位均予以承认,并将承担相应的法律责任。授权委托期限:年 月 日至 年 月 日 经办人无转委托权。单位名称(盖章):法定代表人(签字):经 办 人(签字):年 月 日 数据出境安全合规白皮书 快页信息技术有限公司 第 30 页 附57、件 A.3 数据出境安全评估申报书(模板)填写说明:一、由数据处理者法定代表人或其授权的数据出境安全评估申报工作经办人填写。二、有选择的地方请勾选左侧“”符号,有横线的部分应当填写相关信息。三、承诺书和申报表严格按照模板填写。申报表必须使用中文填写,字体四号“仿宋”,数字、字母统一使用四号“Times New Roman”字体,行距固定值 16 磅,段落首行缩进 2 字符。页面设置:A4 纸,上下页边距为 2.54cm,左右页边距为 3.18cm。四、所涉及的用语,可参考中华人民共和国网络安全法、中华人民共和国数据安全法、中华人民共和国个人信息保护法、数据出境安全评估办法和促进和规范数据跨境流58、动规定等法律法规和部门规章。五、由国家互联网信息办公室制定并负责解释。数据出境安全合规白皮书 快页信息技术有限公司 第 31 页 一、承 诺 书 本单位郑重承诺:一、申报出境数据的收集、使用符合中华人民共和国有关法律法规规定;二、申报材料所有内容真实、完整、准确和有效;三、为国家网信办组织实施的数据出境安全评估工作提供必要的配合和支持;四、自评估工作为申报之日前 3 个月内完成,且至申报之日未发生重大变化。本单位知晓并充分理解上述承诺内容,若承诺不实或者违背承诺,愿意承担相应法律责任。法定代表人(签字):单位(盖章):年 月 日 数据出境安全合规白皮书 快页信息技术有限公司 第 32 页 二、59、数据出境安全评估申报表 1 数据处理者情况 单位名称 单位性质 政府部门 事业单位 企业 社会组织 其他 单位类型 内资 外资 中外合资 港澳台资 其他 单位注册地 办公所在地 员工数量 统一社会 信用代码 是否为关键信息基础设施运营者 是 否 处理个人 信息规模 按自然人(去重)统计数量 2 法定代表人信息 姓名 职务/国籍 联系电话 电子邮箱 证件类型 居民身份证 护照 台湾居民来往大陆通行证 港澳居民来往内地通行证 其他 证件号码 3 数据安全负责人和管姓名 职务/国籍 联系电话 电子邮箱 数据出境安全合规白皮书 快页信息技术有限公司 第 33 页 理机构信息 证件类型 居民身份证 护照60、 台湾居民来往大陆通行证 港澳居民来往内地通行证 其他 证件号码 管理机构 名称 管理机构 人数 4 经办人信息 姓名 职务/国籍 联系电话 电子邮箱 证件类型 居民身份证 护照 台湾居民来往大陆通行证 港澳居民来往内地通行证 其他 证件号码 5 数据处理者遵守中国法律、行政法规、部门规章情况 简述近2年在业务经营活动中受到行政处罚和有关主管监管部门调查及整改情况,重点说明数据和网络安全方面相关情况 6 数据出境场景 1 出境场景简述 据实填写此次申报的数据出境场景业务、数据出境目的、数据出境方式等,应与法律文件中涉及业务名称一致,不超过100字(数据出境方式参考:公共互联网传输、数据出境安全61、合规白皮书 快页信息技术有限公司 第 34 页 跨境专线传输、公共互联网远程访问、跨境专线远程访问等)拟出境数据情况 数据类型 重要数据 重要数据认定 主管部门名称 个人信息 是否包含敏感 个人信息 是 否 涉及行业/领域 工业 电信 交通 金融 自然资源 卫生健康 教育 科技 能源 国防科工 文旅 跨境电商 零售 互联网 其他 涉及自然人(去重)数量 包括当年已出境数量、未来三年出境数量以及两者的关系 涉及重要 数据规模 MB/GB/TB 境外接收方情况 境外接收方名称 所在国家 或者地区 所在地址 主营业务 数据出境安全合规白皮书 快页信息技术有限公司 第 35 页 负责人 姓名 负责人 62、职务 联系方式 电话:邮箱:统计说明:(如需)6 数据出境场景 2 出境场景简述 据实填写此次申报的数据出境场景业务、数据出境目的、数据出境方式等,应与法律文件中涉及业务名称一致,不超过100字(数据出境方式参考:公共互联网传输、跨境专线传输、公共互联网远程访问、跨境专线远程访问等)拟出境数据情况 数据类型 重要数据 重要数据认定 主管部门名称 个人信息 是否包含敏感 个人信息 是 否 涉及行业/领域 工业 电信 交通 金融 自然资源 卫生健康 教育 科技 能源 国防科工 文旅 跨境电商 零售 互联网 其他 涉及自然人(去重)数量 包括当年已出境数量、未来三年出境涉及重要 数据规模 MB/GB63、/TB 数据出境安全合规白皮书 快页信息技术有限公司 第 36 页 数量以及两者的关系 境外接收方情况 境外接收方名称 所在国家 或者地区 所在地址 主营业务 负责人 姓名 负责人 职务 联系方式 电话:邮箱:统计说明:(如需)6 数据出境场景 3.注:1.其他申报材料内容应与申报表内容保持一致。2.申报表第 6 项应按场景分项描述,可根据实际申报的出境场景 数量增加申报表第 6 项。出境个人信息涉及自然人范围一致的 场景应当合并。3.境外接收方数量众多、范围不确定、无法逐一列举的,申报表 第 6 项境外接收方情况可填写统计数据。数据出境安全合规白皮书 快页信息技术有限公司 第 37 页 附件64、 A.4 数据出境风险自评估报告(模板)数据处理者名称:(盖章)年 月 日 数据出境安全合规白皮书 快页信息技术有限公司 第 38 页 说明:(一)数据处理者申报数据出境安全评估时需提供自评估报告,并对所提交的自评估报告及附件材料真实性负责;(二)报告所述自评估活动为本次申报前 3 个月内完成;(三)如有第三方机构参与自评估,须在自评估报告中说明第三方机构的基本情况及参与评估的情况;(四)自评估报告严格按照模板撰写。自评估报告必须使用中文撰写,正文字体四号“仿宋”(其中,正文一级标题黑体、二级标题楷体加黑、三级标题仿宋加黑),数字、字母使用四号“Times New Roman”字体,行距固定值65、 26 磅,段落首行缩进 2 字符。页面设置:A4 纸,上下页边距为 2.54cm,左右页边距为 3.18cm。一、自评估工作情况 简要概述自评估工作开展情况,包括起止时间、组织情况、实施过程、实施方式等内容。二、出境活动整体情况 简要说明数据处理者基本情况、数据处理者安全保障能力情况、境外接收方情况、法律文件约定情况等,详细说明拟出境数据情况。包括不限于:(一)数据处理者基本情况 1.基本情况简介,包括股权结构、实际控制人、境内外投资情况等;2.组织架构和数据安全管理机构信息;3.整体业务与数据资产情况。(二)拟出境数据情况 1.数据出境涉及业务、数据资产等情况;2.数据出境及境外接收方处理66、数据的目的、范围、方式,及其合法性、正当性、必数据出境安全合规白皮书 快页信息技术有限公司 第 39 页 要性;3.按照申报业务场景梳理对应的出境数据项情况,以列表形式呈现数据项清单并逐一说明(如下表所示),同一场景下的数据项需去重;序号 数据项名称 内容描述 出境必要性 示例 备注 1 2 .4.拟出境数据在境内存储的系统平台、数据中心(包含云服务)等情况,数据出境链路相关情况,计划出境后存储的系统平台、数据中心等;5.数据出境后向境外其他接收方提供的情况;6.涉及个人信息的,按照自然人(去重)统计当年的出境数量,预估未来 3 年的出境数量。(三)数据处理者数据安全保障能力情况 1.数据安全67、管理能力,包括管理组织体系和制度建设情况,全流程管理、分类分级、应急处置、风险评估、个人信息权益保护等制度及落实情况;(涉及个人信息出境的,需提供履行个人信息保护法第三十九条规定的情况说明及佐证材料,包括告知义务和取得个人的单独同意等,若属于个人信息保护法第十三条第一款第二项至第七项规定情形的,不需取得个人同意)2.数据安全技术能力,包括数据收集、存储、使用、加工、传输、提供、公开、删除等全流程所采取的安全技术措施等;3.数据安全保障措施有效性证明,例如开展的数据安全风险评估、数据安全认证、数据安全检查测评、数据安全合规审计、网络安全等级保护测评等情况;4.遵守数据和网络安全相关法律法规的情况68、。数据出境安全合规白皮书 快页信息技术有限公司 第 40 页 (如涉及受到行政处罚和监管整改的,可以提供证明整改完成的相关佐证材料)(四)境外接收方情况 1.境外接收方基本情况;2.境外接收方处理数据的用途、方式等;3.境外接收方履行责任义务的管理和技术措施、能力等。(五)法律文件约定数据安全保护责任义务的情况 1.数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;2.数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;3.对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;4.境外接收方在实际控制权或者经营范围发生实质性变化,69、或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化,以及发生其他不可抗力情形,导致难以保障数据安全时,应当采取的安全措施;5.违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;6.出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。(六)数据处理者认为需要说明的其他情况 三、出境活动的风险自评估情况及结论 对照数据出境安全评估办法第五条规定事项,说明数据出境风险自评估情况,重点说明自评估发现的问题和整改情况。综合风险自评估情况和相应整改情况,对拟申报的数据出境活动作出客观的风险自评估结70、论,充分说明得出自评估结论的理由。数据出境安全合规白皮书 快页信息技术有限公司 第 41 页 附录附录 B B 个人信息出境标准合同备案附件个人信息出境标准合同备案附件 附件 B.1 个人信息出境标准合同备案材料要求个人信息出境标准合同备案材料要求 序号 材料名称 要求 1 统一社会信用代码证件 影印件加盖公章 2 法定代表人身份证件 影印件加盖公章 3 经办人身份证件 影印件加盖公章 4 经办人授权委托书 5 承诺书 6 个人信息出境标准合同 7 个人信息保护影响评估报告 使用中文撰写 数据出境安全合规白皮书 快页信息技术有限公司 第 42 页 附件 B.2 经办人授权委托书(模板)本人 姓71、名(身份证件号码:)系 个人信息处理者名称 的法定代表人,现授权我单位 姓名(身份证件号码:)为个人信息出境标准合同备案经办人。经办人代表我单位进行个人信息出境标准合同备案过程中的一切行为,包括所签署和上传的资料,我单位均予以承认,并将承担相应的法律责任。授权委托期限:年 月 日至 年 月 日 经办人无转委托权。单位名称(盖章):法定代表人(签字):经 办 人(签字):年 月 日 数据出境安全合规白皮书 快页信息技术有限公司 第 43 页 附件 B.3 承 诺 书(模板)本单位郑重承诺:一、出境个人信息的收集、使用符合中华人民共和国有关法律法规规定;二、备案材料所有内容真实、完整、准确和有效;72、三、未采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供;四、为国家网信办组织实施的个人信息出境标准合同备案工作提供必要的配合和支持;五、个人信息保护影响评估工作为备案之日前 3 个月内完成,且至备案之日未发生重大变化。本单位知晓并充分理解上述承诺内容,若承诺不实或者违背承诺,愿意承担相应法律责任。法定代表人(签字):单位(盖章):年 月 日 数据出境安全合规白皮书 快页信息技术有限公司 第 44 页 附件 B.4 个人信息出境标准合同 国家互联网信息办公室 制定 数据出境安全合规白皮书 快页信息技术有限公司 第 45 页 为了确保境外接收方处理个人信息的73、活动达到中华人民共和国相关法律法规规定的个人信息保护标准,明确个人信息处理者和境外接收方个人信息保护的权利和义务,经双方协商一致,订立本合同。个人信息处理者:地址:联系方式:联系人:职务:境外接收方:地址:联系方式:联系人:职务:数据出境安全合规白皮书 快页信息技术有限公司 第 46 页 个人信息处理者与境外接收方依据本合同约定开展个人信息出境活动,与此活动相关的商业行为,双方【已】/【约定】于 年 月 日订立 (商业合同,如有)。本合同正文根据个人信息出境标准合同办法的要求拟定,在不与本合同正文内容相冲突的前提下,双方如有其他约定可在附录二中详述,附录构成本合同的组成部分。第一条第一条 定义74、定义 在本合同中,除上下文另有规定外:(一)“个人信息处理者”是指在个人信息处理活动中自主决定处理目的、处理方式的,向中华人民共和国境外提供个人信息的组织、个人。(二)“境外接收方”是指在中华人民共和国境外自个人信息处理者处接收个人信息的组织、个人。(三)个人信息处理者或者境外接收方单称“一方”,合称“双方”。(四)“个人信息主体”是指个人信息所识别或者关联的自然人。(五)“个人信息”是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。(六)“敏感个人信息”是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息75、,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。(七)“监管机构”是指中华人民共和国省级以上网信部门。(八)“相关法律法规”是指中华人民共和国网络安全法中华人民共和国数据安全法中华人民共和国个人信息保护法中华人民共和国民法典中华人民共和国民事诉讼法个人信息出境标准合同办法等中华人民共和国法律法规。(九)本合同其他未定义术语的含义与相关法律法规规定的含义一致。第二条第二条 个人信息处理者的义务个人信息处理者的义务 个人信息处理者应当履行下列义务:(一)按照相关法律法规规定处理个人信息,向境外提供的个人信息仅限于实现处理目的所需的最小范围76、。(二)向个人信息主体告知境外接收方的名称或者姓名、联系方式、附录一“个人信息出境说明”中处理目的、处理方式、个人信息的种类、保存期限,以及行使个人信息主体权利的方式和程序等事项。向境外提供敏感个人信息的,还应当向个人信息主体告知提供敏感个人信息的必要性以及对个人权益的影响。但是法律、行政法规规定不需数据出境安全合规白皮书 快页信息技术有限公司 第 47 页 要告知的除外。(三)基于个人同意向境外提供个人信息的,应当取得个人信息主体的单独同意。涉及不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的单独同意。法律、行政法规规定应当取得书面同意的,应当取得书面同意。(四)向个人77、信息主体告知其与境外接收方通过本合同约定个人信息主体为第三方受益人,如个人信息主体未在 30 日内明确拒绝,则可以依据本合同享有第三方受益人的权利。(五)尽合理地努力确保境外接收方采取如下技术和管理措施(综合考虑个人信息处理目的、个人信息的种类、规模、范围及敏感程度、传输的数量和频率、个人信息传输及境外接收方的保存期限等可能带来的个人信息安全风险),以履行本合同约定的义务:(如加密、匿名化、去标识化、访问控制等技术和管理措施)(六)根据境外接收方的要求向境外接收方提供相关法律规定和技术标准的副本。(七)答复监管机构关于境外接收方的个人信息处理活动的询问。(八)按照相关法律法规对拟向境外接收方提78、供个人信息的活动开展个人信息保护影响评估。重点评估以下内容:1.个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性。2.出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险。3.境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全。4.个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等。5.按照本合同第四条评估当地个人信息保护政策和法规对合同履行的影响。6.其他可能影响个人信息出境安全的事项。保存个人信息保护影响评估报告至少 3 年。(九)根据个人信息主体79、的要求向个人信息主体提供本合同的副本。如涉及商业秘密或者保密商务信息,在不影响个人信息主体理解的前提下,可对本合同副本相关内容进行适当处理。数据出境安全合规白皮书 快页信息技术有限公司 第 48 页 (十)对本合同义务的履行承担举证责任。(十一)根据相关法律法规要求,向监管机构提供本合同第三条第十一项所述的信息,包括所有合规审计结果。第三条第三条 境外接收方的义务境外接收方的义务 境外接收方应当履行下列义务:(一)按照附录一“个人信息出境说明”所列约定处理个人信息。如超出约定的处理目的、处理方式和处理的个人信息种类,基于个人同意处理个人信息的,应当事先取得个人信息主体的单独同意;涉及不满十四周80、岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的单独同意。(二)受个人信息处理者委托处理个人信息的,应当按照与个人信息处理者的约定处理个人信息,不得超出与个人信息处理者约定的处理目的、处理方式等处理个人信息。(三)根据个人信息主体的要求向个人信息主体提供本合同的副本。如涉及商业秘密或者保密商务信息,在不影响个人信息主体理解的前提下,可对本合同副本相关内容进行适当处理。(四)采取对个人权益影响最小的方式处理个人信息。(五)个人信息的保存期限为实现处理目的所必要的最短时间,保存期限届满的,应当删除个人信息(包括所有备份)。受个人信息处理者委托处理个人信息,委托合同未生效、无效、被撤销或81、者终止的,应当将个人信息返还个人信息处理者或者予以删除,并向个人信息处理者提供书面说明。删除个人信息从技术上难以实现的,应当停止除存储和采取必要的安全保护措施之外的处理。(六)按下列方式保障个人信息处理安全:1.采取包括但不限于本合同第二条第五项的技术和管理措施,并定期进行检查,确保个人信息安全。2.确保授权处理个人信息的人员履行保密义务,并建立最小授权的访问控制权限。(七)如处理的个人信息发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问,应当开展下列工作:1.及时采取适当补救措施,减轻对个人信息主体造成的不利影响。2.立即通知个人信息处理者,并根据相关法律法规要求报告监82、管机构。通知应当包含下列事项:(1)发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访数据出境安全合规白皮书 快页信息技术有限公司 第 49 页 问的个人信息种类、原因和可能造成的危害。(2)已采取的补救措施。(3)个人信息主体可以采取的减轻危害的措施。(4)负责处理相关情况的负责人或者负责团队的联系方式。3.相关法律法规要求通知个人信息主体的,通知的内容包含本项第 2 目的事项。受个人信息处理者委托处理个人信息的,由个人信息处理者通知个人信息主体。4.记录并留存所有与发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问有关的情况,包括采取的所有补救措施。(83、八)同时符合下列条件的,方可向中华人民共和国境外的第三方提供个人信息:1.确有业务需要。2.已告知个人信息主体该第三方的名称或者姓名、联系方式、处理目的、处理方式、个人信息种类、保存期限以及行使个人信息主体权利的方式和程序等事项。向第三方提供敏感个人信息的,还应当向个人信息主体告知提供敏感个人信息的必要性以及对个人权益的影响。但是法律、行政法规规定不需要告知的除外。3.基于个人同意处理个人信息的,应当取得个人信息主体的单独同意。涉及不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的单独同意。法律、行政法规规定应当取得书面同意的,应当取得书面同意。4.与第三方达成书面协议,确84、保第三方的个人信息处理活动达到中华人民共和国相关法律法规规定的个人信息保护标准,并承担因向中华人民共和国境外的第三方提供个人信息而侵害个人信息主体享有权利的法律责任。5.根据个人信息主体的要求向个人信息主体提供该书面协议的副本。如涉及商业秘密或者保密商务信息,在不影响个人信息主体理解的前提下,可对该书面协议相关内容进行适当处理。(九)受个人信息处理者委托处理个人信息,转委托第三方处理的,应当事先征得个人信息处理者同意,要求该第三方不得超出本合同附录一“个人信息出境说明”中约定的处理目的、处理方式等处理个人信息,并对该第三方的个人信息处理活动进行监督。(十)利用个人信息进行自动化决策的,应当保证85、决策的透明度和结果公平、公正,不得对个人信息主体在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人信息主体进行信息推送、商业营销的,应当同时提供不针对其个人特征的选项,或者向个人信息主体提供便捷的拒绝方式。数据出境安全合规白皮书 快页信息技术有限公司 第 50 页 (十一)承诺向个人信息处理者提供已遵守本合同义务所需的必要信息,允许个人信息处理者对必要数据文件和文档进行查阅,或者对本合同涵盖的处理活动进行合规审计,并为个人信息处理者开展合规审计提供便利。(十二)对开展的个人信息处理活动进行客观记录,保存记录至少 3 年,并按照相关法律法规要求直接或者通过个人信息处理者向监管机86、构提供相关记录文件。(十三)同意在监督本合同实施的相关程序中接受监管机构的监督管理,包括但不限于答复监管机构询问、配合监管机构检查、服从监管机构采取的措施或者作出的决定、提供已采取必要行动的书面证明等。第四条第四条 境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响 (一)双方应当保证在本合同订立时已尽到合理注意义务,未发现境外接收方所在国家或者地区的个人信息保护政策和法规(包括任何提供个人信息的要求或者授权公共机关访问个人信息的规定)影响境外接收方履行本合同约定的义务。(二)双方声明,在作出本条第一项的保证时,已经87、结合下列情形进行评估:1.出境的具体情况,包括个人信息处理目的、传输个人信息的种类、规模、范围及敏感程度、传输的规模和频率、个人信息传输及境外接收方的保存期限、境外接收方此前类似的个人信息跨境传输和处理相关经验、境外接收方是否曾发生个人信息安全相关事件及是否进行了及时有效地处置、境外接收方是否曾收到其所在国家或者地区公共机关要求其提供个人信息的请求及境外接收方应对的情况。2.境外接收方所在国家或者地区的个人信息保护政策和法规,包括下列要素:(1)该国家或者地区现行的个人信息保护法律法规及普遍适用的标准。(2)该国家或者地区加入的区域性或者全球性的个人信息保护方面的组织,以及所作出的具有约束力的88、国际承诺。(3)该国家或者地区落实个人信息保护的机制,如是否具备个人信息保护的监督执法机构和相关司法机构等。3.境外接收方安全管理制度和技术手段保障能力。(三)境外接收方保证,在根据本条第二项进行评估时,已尽最大努力为个人信息处理者提供了必要的相关信息。(四)双方应当记录根据本条第二项进行评估的过程和结果。因境外接收方所在国家或者地区的个人信息保护政策和法规发生变化(包括境外接收方所在国家或者地区更改法律,或者采取强制性措施)导致境外接收方无法履行本合数据出境安全合规白皮书 快页信息技术有限公司 第 51 页 同的,境外接收方应当在知道该变化后立即通知个人信息处理者。境外接收方接到所在国家或者89、地区的政府部门、司法机构关于提供本合同项下的个人信息要求的,应当立即通知个人信息处理者。第五条第五条 个人信息主体的权利个人信息主体的权利 双方约定个人信息主体作为本合同第三方受益人享有以下权利:(一)个人信息主体依据相关法律法规,对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理,有权要求查阅、复制、更正、补充、删除其个人信息,有权要求对其个人信息处理规则进行解释说明。(二)当个人信息主体要求对已经出境的个人信息行使上述权利时,个人信息主体可以请求个人信息处理者采取适当措施实现,或者直接向境外接收方提出请求。个人信息处理者无法实现的,应当通知并要求境外接收方协助实90、现。(三)境外接收方应当按照个人信息处理者的通知,或者根据个人信息主体的请求,在合理期限内实现个人信息主体依照相关法律法规所享有的权利。境外接收方应当以显著的方式、清晰易懂的语言真实、准确、完整地告知个人信息主体相关信息。境外接收方拒绝个人信息主体的请求的,应当告知个人信息主体其拒绝的原因,以及个人信息主体向相关监管机构提出投诉和寻求司法救济的途径。(五)个人信息主体作为本合同第三方受益人有权根据本合同条款向个人信息处理者和境外接收方的一方或者双方主张并要求履行本合同项下与个人信息主体权利相关的下列条款:1.第二条,但第二条第五项、第六项、第七项、第十一项除外。2.第三条,但第三条第七项第 291、 目和第 4 目、第九项、第十一项、第十二项、第十三项除外。3.第四条,但第四条第五项、第六项除外。4.第五条。5.第六条。6.第八条第二项、第三项。7.第九条第五项。上述约定不影响个人信息主体依据 中华人民共和国个人信息保护法 享有的权益。第六条第六条 救济救济 数据出境安全合规白皮书 快页信息技术有限公司 第 52 页 (一)境外接收方应当确定一个联系人,授权其答复有关个人信息处理的询问或者投诉,并应当及时处理个人信息主体的询问或者投诉。境外接收方应当将联系人信息告知个人信息处理者,并以简洁易懂的方式,通过单独通知或者在其网站公告,告知个人信息主体该联系人信息,具体为:联系人及联系方式(办92、公电话或电子邮箱)一方因履行本合同与个人信息主体发生争议的,应当通知另一方,双方应当合作解决争议。(三)争议未能友好解决,个人信息主体根据第五条行使第三方受益人的权利的,境外接收方接受个人信息主体通过下列形式维护权利:1.向监管机构投诉。2.向本条第五项约定的法院提起诉讼。(四)双方同意个人信息主体就本合同争议行使第三方受益人权利,个人信息主体选择适用中华人民共和国相关法律法规的,从其选择。(五)双方同意个人信息主体就本合同争议行使第三方受益人权利的,个人信息主体可以依据中华人民共和国民事诉讼法向有管辖权的人民法院提起诉讼。(六)双方同意个人信息主体所作的维权选择不会减损个人信息主体根据其他法93、律法规寻求救济的权利。第七条第七条 合同解除合同解除 (一)境外接收方违反本合同约定的义务,或者境外接收方所在国家或者地区的个人信息保护政策和法规发生变化(包括境外接收方所在国家或者地区更改法律,或者采取强制性措施)导致境外接收方无法履行本合同的,个人信息处理者可以暂停向境外接收方提供个人信息,直到违约行为被改正或者合同被解除。(二)有下列情形之一的,个人信息处理者有权解除本合同,并在必要时通知监管机构:1.个人信息处理者根据本条第一项的规定暂停向境外接收方提供个人信息的时间超过 1 个月。2.境外接收方遵守本合同将违反其所在国家或者地区的法律规定。3.境外接收方严重或者持续违反本合同约定的义94、务。4.根据境外接收方的主管法院或者监管机构作出的终局决定,境外接收方或者个人信息处理者违反了本合同约定的义务。数据出境安全合规白皮书 快页信息技术有限公司 第 53 页 在本项第 1 目、第 2 目、第 4 目的情况下,境外接收方可以解除本合同。(三)经双方同意解除本合同的,合同解除不免除其在个人信息处理过程中的个人信息保护义务。(四)合同解除时,境外接收方应当及时返还或者删除其根据本合同所接收到的个人信息(包括所有备份),并向个人信息处理者提供书面说明。删除个人信息从技术上难以实现的,应当停止除存储和采取必要的安全保护措施之外的处理。第八条第八条 违约责任违约责任 (一)双方应就其违反本合95、同而给对方造成的损失承担责任。(二)任何一方因违反本合同而侵害个人信息主体享有的权利,应当对个人信息主体承担民事法律责任,且不影响相关法律法规规定个人信息处理者应当承担的行政、刑事等法律责任。(三)双方依法承担连带责任的,个人信息主体有权请求任何一方或者双方承担责任。一方承担的责任超过其应当承担的责任份额时,有权向另一方追偿。第九条第九条 其他其他 (一)如本合同与双方订立的任何其他法律文件发生冲突,本合同的条款优先适用。(二)本合同的成立、效力、履行、解释、因本合同引起的双方间的任何争议,适用中华人民共和国相关法律法规。(三)发出的通知应当以电子邮件、电报、电传、传真(以航空信件寄送确认副本96、)或者航空挂号信发往(具体地址)或者书面通知取代该地址的其它地址。如以航空挂号信寄出本合同项下的通知,在邮戳日期后的 天应当视为收讫;如以电子邮件、电报、电传或者传真发出,在发出以后的 个工作日应当视为收讫。(四)双方因本合同产生的争议以及任何一方因先行赔偿个人信息主体损害赔偿责任而向另一方的追偿,双方应当协商解决;协商解决不成的,任何一方可以采取下列第 种方式加以解决(如选择仲裁,请勾选仲裁机构):1.仲裁。将该争议提交 中国国际经济贸易仲裁委员会 中国海事仲裁委员会 北京仲裁委员会(北京国际仲裁中心)上海国际仲裁中心 其他承认及执行外国仲裁裁决公约成员的仲裁机构 数据出境安全合规白皮书 快97、页信息技术有限公司 第 54 页 按其届时有效的仲裁规则在(仲裁地点)进行仲裁;2.诉讼。依法向中华人民共和国有管辖权的人民法院提起诉讼。(五)本合同应当按照相关法律法规的规定进行解释,不得以与相关法律法规规定的权利、义务相抵触的方式解释本合同。(六)本合同正本一式 份,双方各执 份,其法律效力相同。本合同在(地点)签订 个人信息处理者:年 月 日 境外接收方:年 月 日数据出境安全合规白皮书 快页信息技术有限公司 第 55 页 附录一 个人信息出境说明 根据本合同向境外提供个人信息的详情约定如下:(一)处理目的:(二)处理方式:(三)出境个人信息的规模:(四)出境个人信息种类(参考 GB/T98、 35273信息安全技术 个人信息安全规范和相关标准):(五)出境敏感个人信息种类(如适用,参考 GB/T 35273信息安全技术 个人信息安全规范和相关标准):(六)境外接收方只向以下中华人民共和国境外第三方提供个人信息(如适用):(七)传输方式:(八)出境后保存期限:(年 月 日至 年 月 日)(九)出境后保存地点:(十)其他事项(视情况填写):数据出境安全合规白皮书 快页信息技术有限公司 第 56 页 附录二 双方约定的其他条款(如需要)数据出境安全合规白皮书 快页信息技术有限公司 第 57 页 附件 B.5 个人信息保护影响评估报告(模板)(出境版)个人信息处理者名称:(盖章)年 月 99、日 数据出境安全合规白皮书 快页信息技术有限公司 第 58 页 说明:(一)个人信息处理者备案个人信息出境标准合同时需提供个人信息保护影响评估报告,并对所提交的评估报告真实性负责;(二)报告所述评估工作为本次申报前 3 个月内完成;(三)如有第三方机构参与评估,须在评估报告中说明第三方机构的基本情况及参与评估的情况;(四)评估报告严格按照模板撰写。评估报告必须使用中文撰写,正文字体四号“仿宋”(其中,正文一级标题黑体、二级标题楷体加黑、三级标题仿宋加黑),数字、字母使用四号“Times New Roman”字体,行距固定值 26 磅,段落首行缩进 2 字符。页面设置:A4 纸,上下页边距为 2100、.54cm,左右页边距为 3.18cm。一、出境活动整体情况(一)个人信息处理者基本情况 1.基本情况简介,包括股权结构、实际控制人、境内外投资情况、组织架构和个人信息保护机构信息等。2.整体业务与处理个人信息情况。3.拟出境个人信息情况。(1)个人信息出境涉及业务、个人信息收集使用、信息系统等情况;(2)个人信息处理者和境外接收方处理个人信息的目的、范围、方式,及其合法性、正当性、必要性;(3)出境个人信息的规模、范围、种类、敏感程度,处理敏感个人信息情况;(4)拟出境个人信息在境内存储的系统平台、数据中心等情况,个人信息出境链路相关情况,计划出境后存储的系统平台、数据中心等;(5)个人信息101、出境后向境外其他接收方提供的情况。数据出境安全合规白皮书 快页信息技术有限公司 第 59 页 4.遵守个人信息保护相关法律法规的情况。(二)境外接收方情况 1.境外接收方基本情况;2.境外接收方处理个人信息的用途、方式等;3.境外接收方履行责任义务的管理和技术措施、能力等。(三)个人信息处理者认为需要说明的其他情况 二、拟出境活动的影响评估情况及结论 对照 个人信息出境标准合同办法 第五条规定事项,说明个人信息保护影响评估情况,重点说明评估发现的问题和整改情况。综合影响评估情况和相应整改情况,对个人信息出境活动作出客观的影响评估结论,充分说明得出评估结论的理由和论据。数据出境安全合规白皮书 快102、页信息技术有限公司 第 60 页 附录附录 C C 个人信息保护认证附件个人信息保护认证附件 个人信息保护认证个人信息保护认证 申请书申请书 申请方名称(盖章):申请方名称(盖章):申请日期:申请日期:中国网络安全审查技术与认证中心 数据出境安全合规白皮书 快页信息技术有限公司 第 61 页 填写说明填写说明 1、本申请书适用于向中国网络安全审查技术与认证中心申请个人信息保护认证。2、申请书应使用 A4 型纸打印装订,首页及申请方声明处加盖组织公章,同时以电子版方式提交申请书和申请书中要求的相关材料。3、联系信息 联系电话:010-82261100 联系邮箱: 联系地址:北京市东城区安定门外大103、街 56 号楼 5 层(100011)数据出境安全合规白皮书 快页信息技术有限公司 第 62 页 申请方声明申请方声明 本组织正式提出个人信息保护认证申请,并对以下活动作出声明:1.遵守中华人民共和国认证认可条例及相关法律、法规,近 12 个月内未发生重大个人信息安全事件;2.申请时所提供的信息以及在整个认证过程中提供的信息属实;3.遵守中国网络安全审查技术与认证中心的有关规范和程序要求,配合认证相关工作;4.获证后遵守认证证书、认证标志使用相关的规定。对于影响认证有效性的变更(包括但不限于:数据目录变更、业务范围变更等),应通知中国网络安全审查技术与认证中心相关变更情况。申请方代表(签名):104、申请方(盖章):年 月 日 数据出境安全合规白皮书 快页信息技术有限公司 第 63 页 个人信息保护认证申请书个人信息保护认证申请书 1 申请信息申请信息 1.1 申请类型 初次认证 认证变更:认证范围扩大 认证范围缩小 申请方名称变更 注册地址发生变更 其他变更:变更情况说明:暂停认证 暂停情况说明:恢复认证 注销认证 到期换证 1.2 认证依据:GB/T35273-2020信息安全技术 个人信息安全规范 TC260-PG-20222A 网络安全标准实践指南 个人信息跨境处理活动安全认证规范 相关标准、规范 2 申请申请方方信息信息 2.1 基本信息 若申请认证通过后将向申请方发放中文的认证105、证书,如果同时需要英文版的认证证书请在相应的位置勾选,并完整填写 2.1 中申请方全称(英文)、注册地址(英文)和 2.2.1 中覆盖的组织范围(英文)、覆盖的地址(英文)、覆盖的业务范围(英文)处的内容。若申请通过认证,除中文版认证证书外是否需要英文版认证证书:是;否。申请方全称(中文):;申请方全称(英文):;统一社会信用代码:;注册地址(中文):,邮编:,行政区划代码:;注册地址(英文):;申请认证范围涵盖的人数:人;申请方总人数:人;年营业务收入是否在 2000 万元以上:是 否;所属国民经济行业:;参照 GB/T 4754-2017国民经济行业分类代码,填写 4 位数字小类 法人:;106、个人信息保护负责人:;联系人:电话:手机:传真:数据出境安全合规白皮书 快页信息技术有限公司 第 64 页 E-mail:通讯地址:。2.2 申请认证所需信息 2.2.1 申请认证的个人信息保护所覆盖的范围:覆盖的组织范围(中文):;覆盖的组织范围(英文):;覆盖的地址(中文):,邮编:;如涉及多个场所需分别填写,详见附录 B 中 B.1.1 覆盖的地址(英文):。覆盖的业务范围(中文):;覆盖的业务范围(英文):;涉及的个人信息处理活动类型:收集 存储 使用委托处理 共享、转让、公开 第三方应用 跨境提供 2.2.2 申请认证的业务范围内涉及个人信息范围的情况,请根据实际情况进行勾选:1.涉107、及个人信息主体量级为:个人信息主体数量 100 万以下 个人信息主体数量 1000 万以下 100 万以上(含)个人信息主体数量 1 亿以下 1000 万以上(含)个人信息主体数量 1 亿以上(含)2.如果涉及跨境提供,则自上年 1 月1日起向境外提供个人信息涉及主体的量级为:1)个人信息涉及主体的量级:向境外提供 10 万人以上个人信息 向境外提供 10 万人以下个人信息 2)敏感个人信息涉及主体的量级:向境外提供 1 万人以上敏感个人信息 向境外提供 1 万人以下敏感个人信息 3.如果涉及跨境提供,请填写境外接收方基本情况表,详见附录 B 中 B.1.2 3 申请认证所需申请认证所需提供的108、材料提供的材料 3.1 申请方的营业执照/法人证书复印件;3.2 自评价表及相关证据材料;数据出境安全合规白皮书 快页信息技术有限公司 第 65 页 3.3 业务流程及描述;本章节材料请参考附录 B 中 B.2 提供;3.3.1 申请认证的业务流程、数据流图及描述:3.3.2 如涉及跨境提供,提供跨境业务流程、数据流图及描述:3.4 组织机构图或职能表述;3.4.1 涉及认证对象的组织机构图或职能表述文件:3.4.2 涉及个人信息处理活动的组织架构描述;3.4.3 如涉及跨境提供,跨境业务涉及的组织机构图或职能表述文件:3.5 申请方数据目录;请参考附录 B 中 B.1.1 提供;如涉及跨境提109、供,请参照附录 B 中 B.2.1 提供;3.6 适用性声明;请参考附录 B 中 B.4 提供;3.7 其他补充资料。4 其它其它 4.1 申请方是否获得数据相关认证,如数据安全管理认证、App 安全认证等?(可选)否;是 4.2 申请方可从下列技术验证机构中选择一家实施技术验证:机构一名称 机构二名称 4.3 申请方选择技术验证机构入场方式:技术验证机构单独入场 技术验证机构和审核组一同入场 4.4 其他需要说明的问题:。数据出境安全合规白皮书 快页信息技术有限公司 第 66 页 附件附件 C C.1.1 C.1.1 场所地址场所地址 序号 名称 地址(邮编)职工数 所涉及的部门 所涉及的业110、务活动 所涉及的个人信息处理活动 固定/临时 行政区划代码 收集 存储 使用 委托处理 共享、转让、公开 第三方应用 跨境提供 C.1.2 境外接收方基本情况境外接收方基本情况 序号 名称 注册地址 联系人 联系方式 接收数据基本情况 涉及的业务 涉及数据量 目的 范围 类型 敏感程度 方式 保存期限 存储地点 1 境外接收方 1 10 万人以上个人信息 10 万人以上个人信息 1 万人以上敏感个人信息 1 万人以下敏感个人信息 2 境外接收方 2 数据出境安全合规白皮书 快页信息技术有限公司 第 67 页 附件附件 C C.2.2 C.2.1 承载业务的系统列表承载业务的系统列表 序号 业务111、名称 业务系统名称 业务系统描述 是否涉及跨境 XX 业务系统 C.2.2 业务系统框架及功能介绍业务系统框架及功能介绍 请描述系统功能架构图和介绍材料 C.2.2.1 XX 业务系统框架图业务系统框架图 请描述实际业务系统架构图 C.2.2.2 XX 业务系统业务系统 序号 业务系统名称 业务功能列表 所涉及的个人信息 所涉及的处理活动 C.2.2.3 XX 业务和数据流程图业务和数据流程图 请描述数据流图(主要是个人信息)以及与业务活动的关系 C.2.2.4 跨境业务和数据流程图跨境业务和数据流程图 如涉及跨境提供,请描述跨境业务流和数据流图(主要是跨境提供的个人信息),以及与跨境业务活动112、的关系。数据出境安全合规白皮书 快页信息技术有限公司 第 68 页 附件附件 C C.3.3 C C.3.3.1X.1XXXXXXX 业务涉及业务涉及数据目录(模板)数据目录(模板)发布日期:XXXX 年 XX 月 XX 日,版本号:XXX 数据类型数据类型 类型类型 1 1 级子类级子类 类型类型 2 2 级子类级子类 处理活动处理活动 级别级别 个人信息 示例,个人基本信息 示例,敏感个人信息 如涉及跨境提供,请提供下表:C C.3.3.2 2 涉及涉及跨境提供数据目录(模板)跨境提供数据目录(模板)数据类型数据类型 类型类型 1 1 级子类级子类 类型类型 2 2 级子类级子类 境外接收113、方境外接收方 国别国别 个人信息 示例,个人基本信息 示例,敏感个人信息 注:B.3.1 和 B.3.2 应满足以下要求:1、本目录的数据类型、分类层级及分级可参考相应标准细化和调整。2、数据目录的发布及变更(包括但不限于:增加、删除数据子类型、数据级别调整、数据处理活动变化)应经过审批,对版本采取控制。3、提供数据目录的范围应是此次申请认证的范围,版本的控制应该遵循申请组织相关的要求。数据出境安全合规白皮书 快页信息技术有限公司 第 69 页 附件附件 C C.4.4 适用性声明适用性声明 我单位现对自评价表中填写的不适用项作出确认,确保不适用项信息真实有效,不适用原因具有合理依据。不适用项114、及原因描述如下表:编号 标准条款 评价项 不适用原因 备注 1 2 3 4 5 6 7 8 9 申请方代表(签名):申请方(盖章):年 月 日 数据出境安全合规白皮书 快页信息技术有限公司 第 70 页 附录附录 D D 常见常见实务实务问题问题 Q&AQ&A 一、一、什么是什么是“数据出境数据出境”?有哪几种常见类型?有哪几种常见类型?根据办法规定和国家网信办答记者问,办法所称数据出境活动主要如下两种:第一种:第一种:数据处理者将在境内运营中收集和产生的数据传输、存储至境外。第二种:第二种:数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。数据类型 境内运营中收115、集和产生的重要数据或个人信息 出境方式 向境外提供,包括物理跨越和远程访问 境外的含义 中华人民共和国大陆地区的以外的其他国家/地区,包括港澳台地区 开展数据出境活动的双方 涉及数据传输方和数据接收方 如下图所示:数据出境安全合规白皮书 快页信息技术有限公司 第 71 页 常见场景如下表所示:场景场景 判断判断 某境外公司A在 中国大陆地区境内无实体 情形 1 A 公司直接面向大陆地区消费者提供 APP 及相关服务,涉及收集处理消费者个人信息,根据个保法第三条第二款直接适用个保法,与消费者之间不构成数据出境。某境外公司A在 中国大陆地区境内有子公司 B 情形 2 在情形 1 的基础上,A 公司116、在境外使用云服务器 C 存储其收集的来自大陆地区消费者的个人信息,A 与 C 之间构成数据出境。情形 3 B 公司面向大陆地区消费者提供 APP 及相关服务,涉及收集处理消费者个人信息。为了总部业务管理的目的,B 会将其所收集的个人信息同步给其总部 A,B 与 C 之间构成数据出境。情形 4 B公司所使用的某个IT系统是境外技术服务提供D协助在大陆地区本地化部署的,且 D 会远程访问该 IT 系统进行日常运维及 Bug 修复,B 与 D 之间构成数据出境。二、二、“数据出境安全评估数据出境安全评估”的触发条件有哪几种?的触发条件有哪几种?触发条件有四种,达到其中之一即应当启动出境安全评估,分别117、为:(1)向境外提供重要数据;(2)关键信息基础设施运营者和处理 100 万人以上个人信息的数据处理者向境外提供个人信息;(3)自上年 1 月 1 日起累计向境外提供 10 万人个人信息或者 1 万人敏感个人信息的数据处理者向境外提供个人信息;(4)国家网信部门规定的其他需要进行安全评估的情况。企业应根据以上情况判定是否应当进行出境安全评估。三、三、什么是什么是“关键信息基础设施运营者关键信息基础设施运营者”与与“重要数据重要数据”名称 定义标准 关键信息基础设施企业要判断其数据出境行为是否适用办法的规定,就要判断企业是否属于关键信息基础设施运营者。数据出境安全合规白皮书 快页信息技术有限公司118、 第 72 页 运营者 依据 2021 年颁布的关键信息基础设施安全保护条例(以下简称关基条例)第二条,关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施。依据关基条例第十条,由保护工作部门根据其制定的认定规则负责组织认定本行业、本领域的关键信息基础设施,并将认定结果通知运营者。基于此,企业一旦被认定为关键信息基础设施的运营者将会收到相关主管部门的通知。可以理解,企业如未收到主管部门的认定关键信息基础设施的运营者的通知,企业可以暂时119、认为自己不是 CIIO。重要数据 依据办法第十九条,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。据此可以判断,重要数据的识别主要聚焦于数据的性质和对国家安全和公共利益影响。重要数据采用的是定性与定量相结合判断的方法。若单条信息对国家安全可能造成影响的,单条信息亦可能构成重要数据,如国家战略物资的储备量。但若单条或少量信息不会影响国家安全或社会公共利益,但覆盖较大范围或较长时间的,或是涉及某些重要区域或时期的信息集合亦可能构成重要数据。从实务角度出发,虽然数据安全法规定由各地区、各部门负责确定本地区、本部门以及相关行业120、、领域的重要数据目录,但目前,汽车领域出台了汽车数据安全管理若干规定(试行)对此做出尝试,通信行业发布了行标YD/T 3867-2021 基础电信企业重要数据识别指南,正在制定的国标 信息安全技术 重要数据识别指南已被终止,其他领域的重要数据识别指南仍有待进一步细化。以下为各标准规范(含在制定中)中的“重要数据”定义:数据出境安全合规白皮书 快页信息技术有限公司 第 73 页 四、四、什么是什么是“敏感个人信息敏感个人信息”?如何判断?如何判断?敏感个人信息属于个人信息的一部分,凡是能够定位到特定主体、特定自然人活动的信息就是个人信息,而在全部个人信息中,一旦泄露能够对个人人身、财产、人格尊严121、造成伤害的信息属于敏感个人信息。最新发布的中华人民共和国个人信息保护法对于敏感个人信息进行了列举,归纳为 7 类:(1)生物识别:如人脸识别;(2)宗教信仰;(3)特定身份(十四周岁以下未成年人等);(4)医疗健康;(5)金融账户;(6)行踪轨迹;(7)等信息(现在不能列举的敏感个人信息)。但对于敏感个人信息的具体认定与适用,目前需要结合个人信息的信息主体、信息处理者、使用目的、危害后果等多个维度,以及需要对个案或个别企业的情况及业务场景进行综合考虑来判断相关信息是否应属于敏感个人信息,可以从以下四个方面进行考虑:要素 描述 信息主体 信息主体的年龄、身份甚至性别会影响个人信息的敏感性,比如未122、成年人、犯罪记录、性别、个人的种族、政治观点、宗教和哲学信仰、性取向、就诊记录、是否感染过新冠等过往病史等个人信息。其中,未成年人个人信息以及特定身份信息已经为个人信息保护法第 28 条第 1 款所列举。上述信息一旦泄露或者非法使用,会使个人遭受歧视或受到不公正的对待,社会评价降低,侵害人格尊严。信息处理者 一是信息处理者的规模会导致信息由非敏感变为敏感;二是信息处理者的技术操控能力可能会使信息由非敏感变为敏感;三是第三方主体往往是敏感个人信息的接收方,其与信息处理者或信息主体的关系可能影响信息的敏感度,比如一般而言,作为信息处理者的委托处理方相较作为信息主体指定的接收信息方更敏感。使用目的 123、对于具体的个人信息,还应当依据使用场景的不同,使用目的的不同,来对其是否属于敏感个人信息进行判断。例如,在金融机构办理相关业务时,提供个人的身份数据出境安全合规白皮书 快页信息技术有限公司 第 74 页 信息、金融账户信息,由于这些信息与个人的财产安全紧密相关,基于处理目的的敏感性,上述信息属于敏感个人信息。使用打车软件时,所提供的个人位置信息、个人电话号码,上述信息与个人的人身自由与安全密切相关,同样属于敏感个人信息。危害后果 与人格尊严、人身财产权益相关的个人信息一旦被信息处理者利用来谋取利益,那对个人可能会造成危害将难以预料和控制。比如掌握自然人的基因、指纹、声纹、掌纹、脸部特征等生物识124、别信息,就可以精准且永久识别特定自然人。若个人的上述身份识别信息被他人窃取并滥用,则极容易导致个人金融账户被远程盗取、个人的行踪信息被定位追踪、个人的肖像被替换滥用,对个人的人身、财产、人格尊严造成巨大的危害后果。五、五、企业内部自评估与国家网信部安全评估有什么差异?企业内部自评估与国家网信部安全评估有什么差异?企业内部自评估企业内部自评估 主管部门评估主管部门评估(一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;(一)数据出境的目的、范围、方式等的合法性、正当性、必要性;(二)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据125、的安全;(二)境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求;(三)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;(三)出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险;(四)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;(四)数据安全和个人信息权益是否能够得到充分有效保障;126、(五)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务;(五)数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务;数据出境安全合规白皮书 快页信息技术有限公司 第 75 页 _(六)遵守中国法律、行政法规、部门规章情况;(六)其他可能影响数据出境安全的事项。(七)国家网信部门认为需要评估的其他事项。六、六、数据出境自评估只能由企业自行开展吗?数据出境自评估只能由企业自行开展吗?数据出境风险自评估可由企业自行开展,也可委托第三方机构开展。若企业自行开展自评估,建议评估团队涵盖数据出境安全相关人员;若企业127、委托第三方机构开展自评估,评估报告应加盖评估机构公章,第三方机构在自评估过程中对知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密;若选择有涉外背景的第三方机构开展自评估,应注意规避数据二次出境或转移风险。七、七、已订立标准合同或经过个人信息认证的,还需要进行安全评估吗?已订立标准合同或经过个人信息认证的,还需要进行安全评估吗?路径路径 依据依据 路径一 通过国家网信部门组织的安全评估 数据出境安全评估管理办法 路径二 经专业机构进行个人信息保护认证 个人信息跨境处理活动认证技术规范 路径三 与境外接受方订立合同 个人信息出境标准合同规定(征求意见稿)路径四 个人128、信息出境标准合同规定(征求意见稿)_ 八、八、“法律文件法律文件”与与“标准合同标准合同”有什么区别?有什么区别?在办法所要求提交的申报资料包括“数据处理者与境外接收方拟订立的法律文件”(“法律文件”),评估办法第九条规定:数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,至少包括以下内容:(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;数据出境安全合规白皮书 快页信息技术有限公司 第 76 页 (二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;(三)对于境外接收方将出境数据再转移给其他组织、个人129、的约束性要求;(四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施;(五)违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;(六)出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。虽然“法律文件”在内容要求上类似合同,但是不限于合同一种形式,例如有约束的集团公司内部管理制度理论上也符合要求。个人信息保护法第三十八条第一款规定:个人信息处理者因业务等需要,确需向130、中华人民共和国境外提供个人信息的,应当具备下列条件之一:(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务:(四)法律、行政法规或者国家网信部门规定的其他条件。数据出境安全评估办法提到的“法律文件”与个人信息保护法提到的“标准合同”不同,两者区别主要包括如下几个方面:序号 法律文件法律文件 标准合同标准合同 一 安全评估的申报资料之一 与安全评估并列的个人信息出境的安全管理制度之一 二 由数据处理者与境外接收方在满足安全评估要求的前提下自由约定 主131、要条款由国家网信部门制定 数据出境安全合规白皮书 快页信息技术有限公司 第 77 页 三 事前监管 事后监管 九、九、如何理解境外“接收方”与再转移“接收方”之间的关系?如何理解境外“接收方”与再转移“接收方”之间的关系?根据办法第九条以及指南当中的要求,数据处理者在与境外接收方订立的法律文件中,应当明确境外接收方将出境数据再转移给其他组织、个人的约束性要求。同时,在制作数据出境风险自评估报告(报告)的过程中,数据处理者还需要在专门章节描述数据出境后向境外其他接收方提供的情况。因此,境内数据处理者与境外接收方在订立法律文件时,需要专门约定境外接收方将接收到的数据再转移给第三方时,所应承担的对第132、三方的约束性义务。并在申报安全评估时,对再转移第三方的信息于报告中进行披露。结合个人信息出境标准合同第三条第(七)款的内容,以及上一问中阐释的对个人信息出境标准合同与“法律文件”的关系的理解,境外接收方在进行数据跨境的再转移之前,应当保证(1)原则上不进行数据再转移,除非确有需要;(2)充分履行告知义务,包括告知个人信息主体再转移接收方的身份、联系方式、处理目的、处理方式、个人信息种类以及行使个人信息主体权利的方式和程序等;(3)除非法律另有规定,取得个人信息主体的单独同意;(4)接收方与再转移接收方达成书面协议并向个人信息主体提供协议副本。另外,根据我们咨询网信办所得到的答复,再转移接收方无133、需按照报告对接收方的要求,描述并提供所在国家或者地区数据安全保护政策法规和网络安全环境的分析。当然,网信办在答复中并未禁止企业对再转移接收方所在国家或地区的数据安全保护政策法规和网络安全环境进行分析。我们认为,如果再转移接收方所在的国家或地区本身能够对所接收的境外数据提供强有力的保障(比如加入特定国际公约,承诺对成员国数据提供同等保护等),则建议企业增加相关描述。十、十、如何理解个人信息保护影响评估报告(“如何理解个人信息保护影响评估报告(“PIA 报告”)与数据出境报告”)与数据出境安全自评估报告之间的关系?安全自评估报告之间的关系?按照个人信息保护法第五十五条的要求,个人信息跨境活动属于需134、要进行个人信息保护影响评估的个人信息处理活动。考虑到时间与效率的问题,根据自评估报告出具一份“个人信息跨境限定”的 PIA 报告具有一定的可操作性。数据出境安全合规白皮书 快页信息技术有限公司 第 78 页 但是我们并不推介企业采取这种方式履行个人信息保护影响评估义务。报告所要求的是对数据跨境活动进行评估,而个人信息保护法第五十五条还要求对个人信息跨境以外的敏感个人信息处理活动、自动化决策、委托处理、对外提供以及公开个人信息等进行个人信息保护影响评估。如果境内数据处理者根据 报告内容出具 PIA 报告,而在跨境活动中还涉及对敏感个人信息的处理,则事实上所出具的 PIA 报告并不能全面覆盖个人信135、息保护法五十五条提出的合规要求。十一、十一、若企业为境外接收方提供了可访问中国境内数据的通道,但事实上境外接若企业为境外接收方提供了可访问中国境内数据的通道,但事实上境外接收方从未访问境内数据,此种情形是否属于数据出境行为?收方从未访问境内数据,此种情形是否属于数据出境行为?属于。根据数据出境安全评估申报指南(第一版)对“数据出境”概念的阐述,只要境内数据处理者为境外机构开设了查询、调取、下载、导出数据的端口即视为数据出境。根据我们咨询网信办所得到的答复,可访问境内数据而实际未访问的境外主体,仍然会被认定为办法意义下的“境外接收方”,且只有境内数据处理者完全关闭为境外机构开设的访问渠道,同时停136、止其他一切积极跨境传输行为时,才能被认定为不进行数据跨境。十二、十二、如企业集团办理标准合同备案,能否向子公司或关联公司住所地的属地网如企业集团办理标准合同备案,能否向子公司或关联公司住所地的属地网信办提交备案申请?信办提交备案申请?目前还没有统一的监管口径。企业在提交标准合同备案申请之前,可就集团企业的具体情况向网信办做情况说明和咨询,针对不同省级行政区的境内关联主体,建议根据本集团的组织架构情况,按照便利、统筹的原则与监管进行沟通。十三、十三、国内有多家企业可以合并备案吗?合并与不合并的标准是什么?国内有多家企业可以合并备案吗?合并与不合并的标准是什么?关于标准合同场景下的联合申报方式,原137、则上不同地区的境内关联主体应当独立向属地网信部门办理标准合同备案;同一地区的不同实体合并备案的,原则上应当满足:同一场景、同一服务器/系统、同一部署(个人信息分块管理逻辑)。因各地网信部门的要求可能有差异以及各家公司的具体情况各不相同,就个人信息出境标准合同的备案场景而言,有联合备案需求的企业可提前与属地网信办进行沟通。数据出境安全合规白皮书 快页信息技术有限公司 第 79 页 十四、十四、如果企业已经签署基于如果企业已经签署基于 GDPR 的标准合同,是否还要签署中国版的标准合的标准合同,是否还要签署中国版的标准合同?同?需要。基于个人系信息出境标准合同办法的要求,如企业选择通过订立标准合同138、的方式开展个人信息出境活动,则企业与境外接收方必须严格按照官方模板,订立标准合同。对于已经签署 GDPR 项下的 SCCs 的跨国企业,需注意处理中国版标准合同与已有数据处理协议之间的兼容与冲突问题。十五、十五、若企业属于应申报数据出境安全评估的情况,却未进行评估申报,会有什若企业属于应申报数据出境安全评估的情况,却未进行评估申报,会有什么后果?么后果?我们认为,未履行出境安全评估义务的,行政机关有权依据个人信息保护法网络安全法数据安全法中的相关规定对企业进行处罚。具体而言,根据上述法规应开展数据出境安全评估而未开展数据出境安全评估的企业:1.根据个人信息保护法,将由履行个人信息保护职责的部门139、责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。2.根据网络安全法,关键信息基础设施的运营者140、违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。3.根据 数据安全法,违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,数据出境安全合规白皮书 快页信息技术有限公司 第 80 页 对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下141、罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。数据出境安全合规白皮书 快页信息技术有限公司 第 81 页 附录附录 E E 各地网信部门联系方式各地网信部门联系方式 序号序号 单位单位 办公地址办公地址 联系电话联系电话 1 北京市互联网信息办公室 北京市朝阳区华威南路弘善家园 413 号(010)67676912 2 天津市互联网信息办公室 天津市河西区梅江道 20 号(022)88355322 3 河北省互联网信息办公室 山西省太原市迎泽区五一路 36号(0311)87909716 4 山西省142、互联网信息办公室 山西省太原市迎泽区五一路 36号(0351)5236020 5 内蒙古自治区互联网信息办公室 内蒙古自治区呼和浩特市赛罕区银河南街 8 号(0471)4821277 6 辽宁省互联网信息办公室 辽宁省沈阳市和平区光荣街 26号甲(024)81680082 7 吉林省互联网信息办公室 吉林省长春市朝阳区新发路 666号(0431)82761087 8 黑龙江省互联网信息办公室 黑龙江省哈尔滨市南岗区华山路 12 号(0451)58685723 9 上海市互联网信息办公室 上海市徐汇区宛平路 315 号(021)64743030-2711 10 江苏省互联网信息办公室 江苏省南京143、市建邺区白龙江东街 8 号(025)63090194 11 浙江省互联网信息办公室 浙江省杭州市西湖区省府路 29号(0571)81051250 12 安徽省互联网信息办公室 安徽省合肥市包河区中山路1号(0551)62606014 13 福建省互联网信息办公室 福建省福州市鼓楼区北大路 133号(0591)86300613 14 江西省互联网信息办公室 江西省南昌市红谷滩区卧龙路999 号(0791)88912737 15 山东省互联网信息办公室 山东省济南市市中区经十路20637 号(0531)51773249/51771297 16 河南省互联网信息办公室 河南省郑州市金水区金水路 16144、号(0371)65901067 17 湖北省互联网信息办公室 湖北省武汉市武昌区水果湖路268 号(027)87231397 数据出境安全合规白皮书 快页信息技术有限公司 第 82 页 18 湖南省互联网信息办公室 湖南省长沙市芙蓉区韶山北路 1号(0731)81121089 19 广东省互联网信息办公室 广东省广州市越秀区中山一路104 号(020)87100794/87100793 20 广西壮族自治区互联网信息办公室 广西壮族自治区南宁市青秀区民族大道 112 号(0771)2093017/2093049 21 海南省互联网信息办公室 海南省海口市国兴大道 69 号(0898)65380145、723 22 重庆市互联网信息办公室 重庆市渝北区青竹东路 6 号(023)63151805 23 四川省互联网信息办公室 四川省成都市青羊区桂花巷 21号(028)86601862 24 贵州省互联网信息办公室 贵州省贵阳市云岩区宝山北路39 号(0851)82995001/82995061 25 云南省互联网信息办公室 云南省昆明市西山区日新中路516 号(0871)63902424 26 西藏自治区互联网信息办公室 西藏自治区拉萨市城关区农科路 7 号(0891)6591509 27 陕西省互联网信息办公室 陕西省西安市雁塔区雁塔路南段 10 号(029)63907136 28 甘肃省互146、联网信息办公室 甘肃省兰州市城关区南昌路1648 号(0931)8928721 29 青海省互联网信息办公室 青海省西宁市海湖新区文景街32 号(0971)8485510 30 宁夏回族自治区互联网信息办公室 宁夏回族自治区银川市金风区康平路 1 号(0951)6668938 31 新疆维吾尔自治区互联网信息办公室 新疆维吾尔自治区乌鲁木齐市新市区西环北路 2221 号(0991)2384855 32 新疆生产建设兵团互联网信息办公室 新疆维吾尔自治区乌鲁木齐市天山区中山路 462 号(0991)2899091 数据出境安全合规白皮书 快页信息技术有限公司 第 83 页 附录附录 F F 快页147、数据安全能力介绍快页数据安全能力介绍 F F.1.1 数据数据安全服务能力安全服务能力 数据安全服务体系包括数据安全整体规划设计服务、数据资产分级分类服务、数据合规评估服务、数据风险评测服务、持续安全运营服务、应急响应及溯源服务,是对数据全生命周期的安全保障服务。图 4 快页数据安全服务体系 F F.1.1.1.1 数据安全整体规划服务数据安全整体规划服务 1、服务目标 建立适用于组织机构数据安全风险现状的组织机构整体的数据安全策略和管理目标,实现对数据全生命周期的安全风险管控指导。根据数据安全策略和目标,基于现状调研和评估分析,形成组织在在数据安全领域的规划蓝图。细化数据安全区规划各阶段的项148、目具体实施路线和实施步骤,明确项目所需资源。2、服务方式 由专业数据安全策略制定服务人员根据单位数据安全建设现状、数据安全制度建设现状,数据安全未来几年规划综合评估后,提供数据安全规划服务并确定如何实施,并提供数据安全规划设计报告。F F.1.2.1.2 数据分级分类服务数据分级分类服务 1、服务目标 数据出境安全合规白皮书 快页信息技术有限公司 第 84 页 协助组织单位制定数据资产梳理的统一规范,明确责任单位、格式规范、梳理周期等。协助组织单位定期梳理系统各数据存储平台系统数据情况,形成组织单位自身的数据资产清单。确保数据的合理存储、管理和使用,以最大化数据的价值,同时满足安全、合规和隐私149、保护的要求。通过对数据进行分级分类控制不同级别数据的风险,防止敏感信息的泄露和滥用。2、服务方式 由专业数据安全服务人员,通过访谈、调研、工具扫描等方式梳理单位内数据资产。对数据进行分级分类并提供数据资产清单。F F.1.3.1.3 数据合规评估服务数据合规评估服务 1、服务目标 在完整的数据安全管理制度基础上,持续跟进组织机构需符合的法律法规要求,保证组织机构业务的符合个人信息保护、重要数据保护、收集使用个人信息等方面的合规要求,以及后续陆续出台的各项法律法规和监管要求。2、服务方式 由专业数据安全服务人员,通过合规评估等方式,针对国家的网络安全法、数据安全法、个人信息保护法以及区域数据安全150、标准进行合规评估。并提供相应的数据安全合规评估报告。F F.1.4.1.4 数据风险评测服务数据风险评测服务 1、服务目标 通过专业数据安全风险评测工具,定期对组织内部特定的业务系统的数据安全防护现状进行评测,识别存在的数据安全风险,检验数据安全合规和防护效果。2、服务方式 由专业数据安全服务人员,结合单位实际情况,量体裁衣,从技术和管理两个维度,涵盖数据生命周期风险评估和数据基线及漏洞评估。并提供相应的 数据安全风险评估报告。F F.1.5.1.5 持续安全运营服务持续安全运营服务 1、服务目标 通过自动化技术对数据进行准确分类和分级,更好地识别敏感数据,实施更有针对性的安全措施。对用户行为151、的持续监测,及时发现潜在的安全风险和异常行为,预防内数据出境安全合规白皮书 快页信息技术有限公司 第 85 页 部威胁和外部攻击。通过一些可持续的安全运营帮助组织降低数据泄露风险,提升组织对数据安全的掌控力,提高运营效率。2、服务方式 由专业数据安全服务人员,采用综合性的方法,结合技术手段和定期的安全评估和审计,及时发现并修复潜在的安全隐患。F F.1.6.1.6 应急响应及溯源服务应急响应及溯源服务 1、服务目标 确保在发生数据安全事件时,能够迅速有效地做出响应,保障数据的机密性、完整性和可用性。同时,通过溯源技术,追踪数据泄露的源头,以便进行事件调查和责任追究。2、服务方式 制定详细的数据152、应急预案,明确应急响应流程,确保在面临突发情况时,能够迅速启动应急响应,减小事故影响。建立完善的数据备份和恢复机制,确保在数据遭受损坏或丢失时,能够迅速恢复业务正常运行。通过技术手段对数据泄露等安全事件进行溯源分析,找出事故原因,及时整改,防止类似事故再次发生。最后加强相关人员对数据安全的认知和技能培训,提高其对数据安全的重视程度和应对能力。F F.1.7.1.7 数据出境申报服务数据出境申报服务 1、服务目标 帮助组织满足数据出境合规要求,协助进行数据出镜申报。准备数据出境事前工作,形成数据出境标准化流程,建设加固。2、服务方式 帮助客户开展数据出境前的准备工作,辨别组织数据出境场景下适用的153、法律法规,梳理组织数据处理活动场景,以及出境数据内容,识别重要数据和个人信息,同时采集组织现阶段的安全管理、技术管控措施,开展数据安全风险评估等工作,并在此基础上,对数据出境前应具备的数据安全管理能力与建立的技术机制提出加固、改进建议,提出建设方案,并提供在数据出境后的持续监督应急机制,最终将监管要求映射到组织日常数据出境安全合规白皮书 快页信息技术有限公司 第 86 页 数据安全管理活动中,帮助组织更好地为数据出境做好准备。F F.2.2 数据数据安全安全工具工具能力能力 F F.2.1.2.1 数据安全数据安全管控平台管控平台 快页下一代数据安全管控平台(DSMP)是基于多年的数据安全产品154、研发和数据安全服务的实践经验,研发的国内领先的数据资产综合治理产品,采用 B/S 结构和大数据底层技术框架,搭载数据资产自动发现、数据架构智能扫描、敏感资产自动识别等先进技术引擎,能够帮助企业快速定位其内部网络中的数据服务,以及各类数据资产的分布等情况,协助用户清晰的掌握敏感数据分布、流转和使用情况,对数据资产进行不同类别和密级的划分,以便实现对敏感数据进行针对性防护,同时可视化呈现数据使用状态,数据流向分析、访问行为分析;数据使用流向分析,让客户更加清晰、直观地掌握敏感数据的安全状态及相关信息。快页数据安全管控平台具有支持范围广、识别速度快、易用性高、通用性强等特点,帮助企业快速发现和梳理数155、据资产状况,辅助企业对数据分类分级建设,洞察数据资产流向和用户权限,同时能够满足各种监管检测等场景,替代了传统的数据资产管理和梳理工作模式,极大地提高数据梳理的工作质量,进而降低企业管理成本,为企业的数据安全建设保驾护航。图 6 快页数据安全管控平台架构 数据出境安全合规白皮书 快页信息技术有限公司 第 87 页 F F.2.2.2.2 数据数据跨境监测系统跨境监测系统 快页数据跨境监测系统通过采集企业在本地及公有云上的全部流量负载,从中识别出涉及出境的流量,并通过流量解析和数据识别,识别出境数据内容,还原企业数据跨境的详情和细节;基于上述分析结果,按照自评估要求进行统计分析,多维度输出表单结156、果,同时支撑企业开展数据出境安全治理及安全评估申报。快页数据跨境监测系统包含数据采集层、数据处理层和功能呈现层。数据采集层主要负责采集全部业务流量,通过数据处理层负责流量解析、数据还原、数据识别等基础处理,最终实现跨境资产识别、跨境活动识别、跨境风险识别等结果的呈现。图 7 快页数据跨境监测系统架构 数据出境安全合规白皮书 快页信息技术有限公司 第 88 页 参考文献 1 中华人民共和国网络安全法 2 中华人民共和国数据安全法 3 中华人民共和国个人信息保护法 4 关键信息基础设施安全保护条例 5 网络数据安全管理条例(征求意见稿)6 规范和促进数据跨境流动规定 7 数据出境安全评估办法 8 157、数据出境安全评估申报指南(第二版)9 个人信息出境标准合同办法 10 个人信息出境标准合同备案指南(第二版)11 个人信息跨境处理活动安全认证规范 12 GB/T 35273-2020 信息安全技术 个人信息安全规范 13 个人信息保护认证实施规则 14 数据出境中的国家安全治理探讨(马其家、刘飞虎)15 中国数据出境监管制度与规则(北京中衍律师事务所)16 数据出境安全评估办法常见问题汇总、解读和场景应用(高云、曾理)17 数据出境安全评估十问十答(蔡鹏 胡云浪)18 个人信息出境标准合同备案实务问题解读(郭卫红)数据安全 才有价值 数据智能 更有价值 快页信息技术有限公司数安实验室 地址:南京市雨花台区大周路 34 号科创城 B3 幢 18 楼 热线:400-628-1011 邮箱:kefuky.link 网址:https:/www.ky.link