江苏省数据出境安全评估申报工作指引 (第一版) 江苏省互联网信息办公室制定2022年9月1日 目录 一、有关用语1 二、适用范围3 三、申报方式3 四、申报流程3 五、其他事项6 六、联系方式7 附件1数据出境安全评估申报流程图9 附件2数据出境安全评估申报材料要求10 附件3经办人授权委托书11 附件4数据出境安全评估申报书(模板)12 附件5数据出境风险自评估报告(模板)19 为指导和帮助数据处理者规范、有序申报数据出境安全评估,保障数据要素安全跨境流动,江苏省互联网信息办公室(以下简称“省网信办”)根据《数据出境安全评估办法》 (以下简称《办法》)以及国家互联网信息办公室(以下简称“国家网信办”)《数据出境安全评估申报指南(第一版)》,制定本指引。 一、有关用语 (一)数据,本指引所称数据是指任何以电子或者其他方式对信息的记录。 (二)重要数据,本指引所称重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。数据处理者需根据相关行业标准界定出境数据是否为重要数据,如无行业标准,可参考如下标准: 1.未公开的政务数据、工作秘密、情报数据和执法司法数据; 2.重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据; 3.达到国家有关部门规定规模或者精度的基因、地理、矿产、气象等国家基础数据; 4.影响关键信息基础设施安全稳定运行的数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据; 5.出口管制物项涉及的核心技术、设计方案、生产工艺 等相关数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争力有直接影响的科学技术成果数据; 6.国家法律、行政法规、部门规章明确规定需要保护或者限制处理的国家经济运行数据、重要行业和领域业务数据、统计数据等; 7.其他一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。 (三)个人信息,本指引所称个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。 (四)敏感个人信息,本指引所称敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。 (五)数据处理,本指引所称数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。 (六)向境外提供数据,本指引所称向境外提供数据主要指以下数据处理活动: 1.数据处理者将在境内运营中收集和产生的数据传输、存储至境外; 2.数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出; 3.国家网信办规定的其他数据出境行为。 二、适用范围 (一)适用主体。注册地为江苏的开展数据处理活动的组织,或在江苏开展数据处理活动的个人。 (二)适用情形。向境外提供数据,有下列情形之一的,应当参照本指引,通过省网信办向国家网信办申报数据出境安全评估: 1.数据处理者向境外提供重要数据; 2.关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息; 3.自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息; 4.国家网信办规定的其他需要申报数据出境安全评估的情形。 三、申报方式 数据处理者通过省网信办申报数据出境安全评估,方式为送达书面申报材料并附带材料电子版。 四、申报流程 数据出境安全评估申报工作主要包括以下步骤(流程图见附件1): (一)判断是否符合申报情形。数据处理者全面梳理处理和出境的数据,判断是否符合需要申报评估的情形。 (二)开展数据出境风险自评估。数据处理者自行或委托第三方开展数据出境风险自评估,根据自评估情况进行整 改。重点评估以下事项: 1.数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性; 2.出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险; 3.境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全; 4.数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等; 5.与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务; 6.其他可能影响数据出境安全的事项。 (三)准备申报材料。申报材料要求见附件2,主要包括: 1.统一社会信用代码证件影印件 2.法定代表人身份证件影印件 3.经办人身份证件影印件 4.经办人授权委托书(模板见附件3) 5.数据出境安全评估申报书(模板见附件4) 6.与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件影印件(须明确生效期限,提供中外文版本,确保与申报书相关内容一致),至少包括以下内容: (1)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等; (2)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施; (3)对于境外接收方将出境数据再转移给其他组织、个人的约束性要求; (4)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施; (5)违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式; (6)出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。 7.数据出境风险自评估报告(需盖章,落款时间不得早于申报之日前3个月,模版见附件5) 8.其他相关证明材料,主要包括申报书、自评估报告涉及的相关证明材料。 (四)提交申报材料。数据处理者以邮寄或当面递交方式递交申报材料(含光盘刻录的电子版)。 (五)查验申报材料。省网信办收到申报材料后5个工作日内完成申报材料查验。查验内容主要包括:是否满足申报安全评估条件、申报材料是否齐全准确、自评估报告是否符合要求、法律文件是否全面有效、数据处理者是否有重大违法违规行为、数据处理者是否存在重大数据安全风险且尚未完成整改、数据处理者是否重复提交未评估通过场景等。省网信办将及时反馈查验结果,将查验合格的申报材料报送国家网信办。 (六)反馈受理情况。国家网信办将在收到申报材料之日起7个工作日内,确定是否受理并书面通知数据处理者。予以受理的,进入安全评估实施阶段。 (七)补充或更正材料。在安全评估实施阶段,数据处理者如被告知补充或者更正申报材料,应当及时按照要求补充或者更正材料。无正当理由不补充或者更正申报材料的,安全评估将会终止。情况复杂的,数据处理者将被告知评估预计延长的时间。 (八)接收评估结果。评估完成后,数据处理者将收到评估结果通知书。对评估结果无异议的,数据处理者须按照数据出境安全管理相关法律法规和评估结果通知书的有关要求,规范相关数据出境活动;对评估结果有异议的,数据处理者可在收到评估结果通知书15个工作日内向国家网信办申请复评,复评结果为最终结论。 五、其他事项 (一)数据处理者向省网信办提交申报材料时,同步报 所在设区市网信办;对所提交申报材料的真实性负责,故意提交虚假材料的,将被按照评估不通过处理,并将被依法追究相应法律责任;按照相关法律法规和评估结果要求规范数据出境行为。 (二)各设区市网信办、省各有关部门加强数据出境相关法律法规、标准规范宣贯,梳理摸排本地区、本行业企事业单位数据出境需求,指导数据处理者合法合规跨境传输数据,提供数据出境安全评估、个人信息出境标准合同相关咨询服务。 (三)省网信办积极参与国家网信办组织的数据出境安全评估工作;对已通过评估的数据出境活动进行跟踪监督;接收对属地数据处理者非法向境外提供数据的举报;加强数据出境安全监管,严厉打击违法违规跨境传输数据行为。 (四)省网信办将根据国家法律法规和相关要求,以及我省执行情况,适时修订本指引。 六、联系方式 电子邮件:sjcj@cac.gov.cn(国家) yuzhou@jscert.org.cn(江苏)联系电话:010-55627135(国家) 025-63090194、86292793(江苏) 报送地址:江苏省南京市建邺区白龙江东街8号新城科技园创新综合体A区5号楼509室 附件:1.数据出境安全评估申报流程图 2.数据出境安全评估申报材料要求 3.经办人授权委托书(模板) 4.数据出境安全评估申报书(模版) 5.数据出境风险自评估报告(模版) 附件1 数据出境安全评估申报流程图 准备申报材料 同步报所在设区市网信办 数据处理者 判断是否符合 申报情形 否 评估终止 是 否 是否通过省网 信办查验 否 是 国家网信办是 否受理 是 省网信办将申报材料报送国家网信办 向省网信办提交申报材料 开展自评估 提供虚假材料/无正当理由不补充或者更正的,安全评估终止! 是否需要补充 或更正材料 是 补充或更正材料 实施安全评估 否 是否对评估结 果有异议 是 否 按要求开展数据出 境活动 收到复评结果 申请复评 收到评估结果 附件2 数据出境安全评估申报材料要求 序号 材料名称 要求 备注 1 统一社会信用代码证件 影印件加盖公章 2 法定代表人身份证件 影印件加盖公章 3 经办人身份证件 影印件加盖公章 4 经办人授权委托书 原件 5 数据出境安全评估申报书 5.1 承诺书 原件 5.2 数据出境安全评估申报表 原件 6 与境外接收方拟订立的数据出境相关合同或其他具有法律效力的文件 影印件加盖公章 对数据出境相关约定条款作高亮、线框等显著标识。法律文件以中文版本为准,若仅有非中文版本,须同步提交准确的中文译本 7 数据出境风险自评估报告 原件 8 其他相关证明材料 原件或影印件加盖公章 相关证明材料以中文版本为准,若仅有非中文版本,须同步提交准确的中文译本 在提交上述书面材料的同时,需通过光盘方式提交相应电子版文件。 附件3 经办人授权委托书 本人姓名(身份证件号码:)系数据处理者名称的法定代表人,现授权我单位姓名(身份证件号码:)为数据出境安全评估申报工作经办人。经办人代表我单位进行数据出境安全评估申报工作过程中的一切行为,包括所签署和上传的资料,我单位均予以承认,并将承担相应的法律责任。 授权委托期限:年月日至年月日经办人无转委托权。 单位名称(盖章):法定代表人(签字):经办人(签字): 年月日 附件4 数据出境安全评估申报书(模板) 填写说明: 一、由数据处理者法定代表人或其授权的数据出境安全评估申报工作经办人填写; 二、有选择的地方请勾选左侧“□”符号,有横线的部分应当填写相关信息; 三、所涉及的用语,可参照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》和《数据出境安全评估办法》等法律法规和部门规章; 四、由国家互联网信息办公室制定并负责解释。 一、承诺书 本单位郑重承诺: 一、申报出境数据的收集、使用符合中华人民共和国有关法律法规规定; 二、申报材料所有内容真实、完整、准确和有效; 三、为国家网信办组织实施的数据出境安全评估工作提供必要的配合和支持; 四、自评估工作为申报之日前3个月内完成,且至申报之日未发生重大变化。 本单位知晓并充分理解上述承诺内容,若承诺不实或者违背承诺,愿意承担相应法律责任。 法定代表人(签字): 单位(盖章): 年月日 二、数据出境安全评估申报表 0