数管据理出建境议安全评估 2022年7月 数据出境安全评估办法出台过程 27.1015 《中华人民共和国国家安全法》 26.1017 6.13 《中华人民共和国网络安全法》 29.1021 《中华人民共和国数据安全法》 2110.121 10.29 9.1 《中华人民共和国个人信息保护法》 4.11 2017 《个人信息和重要数据出境安全评估办法(征求意见稿)》 2019 《个人信息出境安全评估办法 (征求意见稿)》 2021 《数据出境安全评估办法 (征求意见稿)》 2022 《数据出境安全评估办法》 (即将生效) “出制境定规出定台的《重数要据举出措境,安目全的评是估进办一法步》规是范落数实据《出网境络活安动全,法保》护、个《人数信据息安权全益法,》维、护《国个家人安信全息和保社护会法公》共有利关益数,据 促进数据跨境安全、自由流动。” 第个38保至4法3条 网第3安7条法 数第3安1条法 数据出境管理总体框架 其他数据出境活动管理参考 《个人(信征息求出意境见标稿准)合》同规定 人《信网息络跨安境全处标理准活实动践安指全南—认个证 规范》 *特定行业法规 《重要数据识别指南(征求意见稿)》 《数据出境安全评估办法》 《第网32络条数,据第安35全至管42理条条例(征求意见稿)》 《汽车据安数理据若生干命规周定期(安试全行规)范》》健康医疗数据 《中华人民共和国安人全类指遗南传》资源管理条例》 个人信息 重要数据 工业 电信交通金融 自然资源 医疗健康教育 科技 网络数据处理安全规范 《个人信息安全规影范响》评估指南》 《数据出境安全评估指南(征求意见稿)》 •协助国家网信部门开展安全评估 •申报材料完备性查验 •接收申报材料 省级网信部门 *重点行业 国务院有关部门 暂?数个据人安信息全保管护理认证 认证机构 ? •协助国家网信部门开展安全评估 专门机构 数据出境管理主要组织 •境外的组织、个人“黑名单”编制、公告和限制 •制定个人信息出境标准合同规定 •制定安全评估办法 •规定个人信息保护认证规则 •组织安全评估 国家网信部门 •协重要助数国据家的网部信分部)门开展安全评估(特别是针对 •协同国家网信部门制定安全评估办法 “受监管”数据类型 个人信息 个人信息 以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。 敏一感旦个泄人露信或息者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。示例(粗体为敏感个人信息): •姓名 •电话 •电子邮箱 •银行账户 •身份证号或护照号 •个人健康记录 •… 重要数据 重一如未旦公遭开到篡的改政、府破信坏息、,泄大露面或积者人非口法、获基取因、健非康法、利地用理等、,矿可产能资危源害等。国家安全、经济运行、社会稳定、公共健康和安全等的数据。 方嵌入服在务业(务如系:统S中DK的、第Pa三aS 等) 受影响的应用系统 处理要个数人据信的息业和务(系或统)重 志、备份和等工)的具IT服务 可(能或“)包重含要”数个据人(信如息:和日 “受影响”的应用类型 应用系统A 中国境内中国境外 应用系统n 应用系统B 场将景从中1国境内收集或产生的个 外的其他应用系统 人境信外息的或应重用要系数统据传输至中国 应用系统D 场景从中2国境内收集或产生的个人上传信至息中或国重境要外数的据应手用动系输统入或 应用系统C 场从景境外3访问或处理从中国境内收集用或系产统生中的个存人储信在息中或国重境要内数应据 场将景从中4国境内收集或产生据的进个一人步信传息输或至重中要国数境 收到国家网信部门书面通知 作为“网络运营者”的数据处理者关键合规路径 开始 每出境场景/每出境合同 个出人境信?息 每时2重年新更申新报或和在评发估生重大变更 如果判断为“是否” *信建息议保进护行合年规度自数查据,安以全确和保个人“识新别的并”开出展境适活当动的可合以规被举及措时。 重出要境数?据 是信否部需门要申向报网? 处理100万人以上个人信息的数据处理者 向境外提供重要数据 自个上人年信1息月或1者日1起万累人计敏向感境个外人提信供息10万人 通过完国成家复网评信?部门 通过安国全家评网估信?部门 收到国家网信部门书面 通知 停止出境 申请复评 单独同意 *个建人议信每息年保更护新影响评估 影将响自评估流集程成至 风险自评估 国家定网受信理部?门确 部材门料安符全合评国估家要网求信?一次性补充、更正材料 *标有准待合进同一和步(明或确)认证 内部整改和申报准备 申报提交 通过完省备级性网查信验部?门的 *不受理可通过其他流程开展出境活动。 *“材冷料却完期备”性需问待题进或一可步多明次确提。交,但 建议的风险自评估范围 历史违规记录评估 接收方所在国家或者地区的政策法规和网络安全环境 章节8.6 章节8.2 章节58.5 合同合规性评估 章节5章.3,节58.43,58.54 接收方安全技术和管理能力 对数据安全和个人信息权益保障 出境过程和出境后数据安全风险管理 安全保障能力评估 章节5.2 合法权益风险评估 章节58.1 目的、范围、方式评估 通过风险自评估为国家网信部门安全评估作准备 建议的风险自评估报告主要内容 数据出境 数据处理者(发送方)所有权结构接收方主体资格和政策法规环境出境规模、范围、种类、敏感程度合法性、正当性和必要性 风险评估 数评据估安全 *数确据保数处据理生者命(周发期保送护方的)能网力络安全能力接收方网络安全能力 *安全管理和技术能力 与境外接收方拟订立据出境相关合同或 合风同险约评束估 者出境其标他准具合有同法)律效力的文件(如:个人信息 该阶网信段部完门成于内要部求提家自网查供相信和部应关信门对安准息。全备评,估以范在围安,全建评议估在阶风段险可自应国评估家 以关《个注人信“息出境合标准同合同合规定(规征求”意见稿)》为例 执行合同备案 开展合同合规审计 遵循公开透明原则(提供数据访问、合同副本、资质认证说明等) 开展个人信息保护影响评估(3年) “连带”境外接收方接受和配合监管活动 落实安全保护措施 适当的告知与同意 遵循目的明确、最小必要原则 个人信息处理者的义务(发送方) 个人信息出境说明 根据一本合输的个人信息属于信下息列的类详别情的约个定人如信息下:主体: (二)传输是为了以下目的: (三四五)传出输境个人信息的类数别量::: (六七)境传境输外敏方接感式收个:方人传信输息的类个别人信息只向以下接收方提供: (八九)出境后存地 (十)其他事项(视情况填写): 接受和配合监管活动 记录和留存处理活动(3年) 落实数据泄露事件应急处置措施 落实安全保护措施 审遵慎循有开展关进自一动化步决委策托的处理个或人提信息保护规定 严格执行数据留存策略,开展处置审计并提供报告 遵循公开透明原则(提供数据访问、合同副本、资质认证说明等) 遵循目的明确、最小必要原则 境外接收方的义务 关于个应人能信基息于出此境说的明“进数行据分出析境和风总险结评估” 安全评估申报流程概览 申报前 评估结果15个工作日内向国家网信部门申请复评 申报数据出境安全评估 评估结果 7个工作日内确定是否受理,并书面通知如申报材料5个不工齐作全日,内退完回成并完告备知性需查要验补充的材料 自况出进具行书延面长受告理知通。知对之评日估起结4果5个有工异作议日的完,成可,以特在殊收情到 数据处理者 数据出境自评估 准自备评申估请报材告料、:法申律报文书件、 所网在信地部省门级 国家网信部门 国务网院信有部关门部组门织、门机构等安全评估 完成评评估估结形果成 (合同)、其他 省级网信部门、专 依据要求提交补充材料或进行更正 2年有2效年期有内效发期生届需满重60新个申工报作评日估前的情形 持有待续监关管注明确事项 风险自指评南估和和模安板全评估 安全执评行估流申程报和和方沟式通的 个人信息程保和护方认式证的流 重要数据目录 个人信法息律出文境件标要准求合同、 下一步工作建议 2识0别2“2高.风0险7”-出2境0活2动2.09 •识别需申报和评估的出境活动落实快速整改工作 签署等 •完落成实个单人独信同息意保,护完影成响标评准估合,同 制定“PlanB” 2完0成2风2险.自0评9估-(2试0点2)3.02 •完成风险自评估和必要整改完成安全评估申报 •完成申报提交和安全评估 2023.02以后 •建工立具健,全考数虑据与出现境行管资理产流管程理和、数影响评估等流程集成人信息保护 •制以定应续险性”计出划境 动被暂停或终止的风险 •继的续自完评成估适和用安范全围评内估出申境报活工动作 毕评马估威平网台络安全 管理服务 毕马威的服务 动,制定合规计划和建议 出识别境和梳活理个动人梳信息理/重和要数规据出划境活 并协助落实整改措施 风协助险开展自风险评自估评估和,提整供整改改建议,安协助全开展评安全估评申估申报报工支作持 数据毕跨马境威处理 数建立据数据出出境境活管动管理理和框评估架框建架,设制定 相关制度、流程和工具 出协助境持续日开展常出管境活理动记支录盘持点、自评 估动、管整理改运辅行导支、持管理培训等日常出境活 系分析统数据//数系统据本地本化地战略化和计分划,析并提供建议 联系我们 毕马威中国 石浩然 网络和信息安全服务合伙人 TEh+8e5n2ry2.1sh43ek8@79k9pmg.com 毕马威中国 张倪海 网络和信息安全服务合伙人 TEb+8ri5a2n2.c8h4e7u5n0g6@2kpmg.com 张令琪 毕马威中国 网络和信息安全服务合伙人 TEr+i8c6h(a2r1d).z2h2a1n2g3@63k7pmg.com 毕马威中国 黄芃芃 网络和信息安全服务合伙人 TEq+8u6in(.2h1u)a2n2g1@22k3p5m5g.com 郝长伟 毕马威中国 网络和信息安全服务合伙人 TEd+8a6nn(1y0.h)8a5o0@8k5p4m98g.com 毕马威中国 周文韬 网络和信息安全服务总监 TEk+e8v6i(n2.1w)t2.2zh1o2u3@14k9pmg.com 李振 毕马威中国 网络和信息安全服务总监 TEj+z8.6li@(1k0p)8m5g0.8co5m397 kpmg.com/socialmedia 所任载何资人料士仅不供应一在般没参有考详用细,考并虑非相针关对的任情何况个及人获或取团适体当的专别业情意况见而下提依供据。所虽载然资本料所行已事致。力提供准确和及时的资料,但本所不能保证这些资料在阁下收取时或日后仍然准确。 ©不得20转22载毕。马在威中企国业印咨刷询。(中国)有限公司—中国有限责任公司,是与英国私营担保有限公司—毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有,毕马威的名称和标识均为毕马威全球性组织中的独立成员所经许可后使用的商标。