hth华体会:动态报道 今日正式施行:《数据出境安全评估申报指南(第一版)

发布日期:2022-09-22 | 来源:hth华体会官网 作者:hth华体会最新

  2022年08月31日,国家互联网信息办公室发布了《数据出境安全评估申报指南(第一版)》(以下简称《申报指南》)。《申报指南》对我国数据出境安全评估的申报情形、申报方式、申报流程、申报材料等问题做了规定。

  根据国家互联网信息办公室公布,9月1日实施的《数据出境安全评估办法》,数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:其一,数据处理者向境外提供重要数据;其二,关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;其三,自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;其四,国家网信部门规定的其他需要申报数据出境安全评估的情形。此次公布的《申报指南》再次重申了《数据出境安全评估办法》中规定的申报评估要求。

  《申报指南》的一大亮点,是对何为“数据出境”的情形进行了明确。根据《申报指南》规定,“数据出境”不仅包括“数据处理者将在境内运营中收集和产生的数据传输、存储至境外”,还包括“数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出”这一情形。换而言之,“数据出境”不再仅仅覆盖实务中常见的“将数据存放于境外服务器”这一情况,境内运营中收集和产生的数据可被“境外的机构、组织或者个人”通过“查询、调取、下载、导出”等方式获取或处理,也属于“数据出境”。

  除了准确理解“数据出境”的概念,企业在自我判断是否需要履行数据出境安全评估申报时,还需要注意以下三大重要概念的分析、理解:

  第一个概念是“关键信息基础设施运营者”。《网络安全法》第三十一条第一款规定,“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。”这一条款通过列举和设置兜底情形的方式,对“关键信息基础设施”的概念做了初步明晰。2021年7月30日,国务院发布《关键信息基础设施安全保护条例》,其中第九条就关键信息基础设施的认定规则细化规定了考量标准:“保护工作部门结合本行业、本领域实际,制定关键信息基础设施认定规则,并报国务院公安部门备案。制定认定规则应当主要考虑下列因素:(一)网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度;(二)网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;(三)对其他行业和领域的关联性影响。”因此,对于是否属于“关键信息基础设施运营者”,企业需要根据所属行业的细化规定,以及《关键信息基础设施安全保护条例》的相关规定,进行评估。