《数据出境安全评估申报指南》(第二版)对比及解读

来源:汉盛律师事务所

文章摘要
2024年3月22日晚,伴随着新规《关于促进和规范数据跨境流动》的颁布,网信办一并发布了《数据出境安全评估申报指南》(第二版)、《个人信息出境标准合同备案指南》(第二版),两部《指南》结合实务经验和新

2024年3月22日晚,伴随着新规《关于促进和规范数据跨境流动》的颁布,网信办一并发布了《数据出境安全评估申报指南》(第二版)、《个人信息出境标准合同备案指南》(第二版),两部《指南》结合实务经验和新规,对申报和备案流程进行了一定的优化,我们将分两次对主要优化部分进行解读,供大家参考。
《数据出境安全评估申报指南》(第二版)
一、适用范围
第一版:
数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信办向国家网信办申报数据出境安全评估:
(一)数据处理者向境外提供重要数据;
(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
(四)国家网信办规定的其他需要申报数据出境安全评估的情形。
以下情形属于数据出境行为:
(一)数据处理者将在境内运营中收集和产生的数据传输、存储至境外;
(二)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;
(三)国家网信办规定的其他数据出境行为。
第二版:
适用范围数据情形之一的,应当申报数据出境安全评估:
(一)关键信息基础设施运营者向境外提供个人信息或者重要数据;
(二)关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。
属于《促进和规范数据跨境流动规定》第三条第四条第五条第六条规定情形的,从其规定。
以下情形属于数据出境行为:
(一)数据处理者将在境内运营中收集和产生的数据传输至境外;
(二)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;
(三)符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他数据处理活动。
律师解读
第二版对适用范围进行了调整,缩小了申报范围,一方面,原本的处理100万人以上个人信息处理者向境外提供个人信息无需再进行安全评估,另一方面,将原本向境外提供10万人个人信息的标准提高至100万人。但需要注意的是,无需进行数据安全评估,有可能仍涉及到个人信息标准合同备案。
同时第二版适用条件中也响应了新规,对于新规第三-六条所规定的免于申报的情况及自贸区特别规定,从其规定。
二、申报方式及流程
律师解读
申报方式的主要修改同《备案指南》一样,国家网信办统一启用网址https://sjcj.cac.gov.cn为出境安全申报的端口,但并不是唯一方式,关键信息基础设施运营者或者其他不适合通过数据出境申报系统申报数据出境安全评估的,仍旧可以采用线下方式通过所在地省级网信办向国家网信办申报数据出境安全评估。
三、数据出境安全评估申报表

四、数据出境风险自评估报告(模板)

技术驱动法律,专业成就未来