跨境数据合规|29项数据出境申报成功案例分析【走出去智库】
走出去智库官方账号
CGGT走出去智库观察
12月7日,国务院发布的《全面对接国际高标准经贸规则推进中国(上海)自由贸易试验区高水平制度型开放总体方案》中特别提到,在国家数据跨境传输安全管理制度框架下,允许金融机构向境外传输日常经营所需的数据。
走出去智库(CGGT)观察到,我国以《网络安全法》《个人信息保护法》《数据安全法》等法律法规为框架,对数据跨境流动规则进行了完善,较完整地建立了数据出境安全管理制度,但是在数据出境操作层面上仍有不少的问题和挑战。目前,政府相关部门正在积极推动相关政策,除了此次国务院允许上海自贸区金融数据出境之外,商务部也在12月14日召开的例行新闻发布会上表示,正在制定规范和促进数据跨境流动的具体政策。
数据出境面临哪些挑战?有哪些途径?今天,走出去智库(CGGT)刊发梳理数据出境成功案例的文章,供关注跨境数据合规管理的读者参阅。
正文
2022年9月1日,《数据出境安全评估办法》(下称《评估办法》)正式施行。办法明确,对于办法施行前已经开展的不符合办法规定的数据出境活动,应在施行之日起6个月内完成整改。
2023年3月1日,《评估办法》规定的整改期届满。自2023年2月底以来,各地网信部门陆续公布了其辖区内企业提交申报材料和安全评估审查工作的进展和动态。
29家企业案例通过数据出境申报
截止目前,通过公开渠道查询到,成功通过数据出境申报(国家网信部门的“审批”或“备案”)的企业有29家,与国家网信办和各地省级网信办已受理的千余件申报相比,数据出境申报通过率仅为百分之一。
在以上申报案例中:
(1)首都医科大学附属北京友谊医院普外中心和阿姆斯特丹大学医学中心普通外科作为全球牵头中心发起的国际多中心临床研究项目,成为全国首个通过数据安全评估合规出境案例(编号20220001)。
(2)在汽车制造领域,北京现代汽车有限公司的数据出境申报进行全系统盘点、全业务申报,且全场景获批,成为我国汽车领域首个通过国家互联网办公室的审批的数据出境安全评估项目。
(3)在跨境电商领域,焦点科技股份有限公司的“中国制造网外贸电商平台业务”通过国家网信办数据出境安全评估,成为跨境电商领域全国首个数据合规出境案例。
(4)马自达(中国)企业管理有限公司、丝芙兰(上海)化妆品销售有限公司是上海首批通过数据出境安全评估的两家企业。
(5)杭州海康威视数字技术股份有限公司、杭州萤石网络股份有限公司是浙江省首批通过国家网信办数据出境安全评估的企业。
(6)邦贝液压机械(杭州)有限公司提交的个人信息出境标准合同通过了浙江省互联网信息办公室组织的备案审核,是浙江省首家通过订立标准合同实现个人信息合规出境的企业。
(7)绿点科技(深圳)有限公司、安利(中国)日用品有限公司、捷普电子(广州)有限公司等企业是广东省首批通过数据出境安全评估的三家企业。
(8)捷普电子(威海)有限公司是山东省首家通过国家互联网信息办公室数据出境安全评估的企业。
(9)北京德亿信数据有限公司与香港诺华诚信有限公司签订的个人信息出境标准合同通过市网信办组织的备案审核,备案号为“京合同备202300001”,成为国内首家通过订立标准合同实现个人信息合规出境的企业。
(10)海南邓白氏数据科技有限公司通过国家网信办数据出境安全评估,是海南省首个通过评估的企业。
(11)伟创力技术(长沙)有限公司提交的两份个人信息出境标准合同通过了湖南省互联网信息办公室组织的备案审核,是湖南省首家通过订立标准合同实现个人信息合规出境的企业。
(12)由企查查申报的“企业信用信息境外查询平台”通过国家互联网信息办公室的数据出境安全评估,成为企业信用信息查询领域全国首个数据合规出境案例。
(13)去哪儿平台数据出境申报获得国家网信办批准,系旅游场景数据出境首个获批案例,标志着旅游场景下包括机票、酒店、度假、门票等业务形态在内的用户相关个人数据出境获得认可。
数据出境三条基本合规路径
当前,《网络安全法》《数据安全法》《个人信息保护法》已构建我国数据出境管理框架,《数据出境安全评估办法》规定整改期将至,数据处理者需及时申报完成数据安全评估,依法依规向境外提供数据。
目前,我国数据出境安全评估主要涉及向境外提供重要数据、个人信息,向外国司法或者执法机构提供数据,以及国家网信部门规定的其他需要申报数据出境安全评估的情形。
01、重要数据出境安全管理
依据《网络安全法》第37条、《数据安全法》第31条,以及《数据出境安全评估办法》第4条的规定,数据处理者向境外提供中华人民共和国境内收集和产生的重要数据,应当通过国家网信部门组织的数据出境安全评估。
02、个人信息出境安全管理
《个人信息保护法》第38条、第40条规定,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。
《数据出境安全评估办法》第4条进一步明确申报对象,包括关键信息基础设施运营者、处理100万人以上个人信息的数据处理者、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者。
03、向国外司法或者执法机构提供数据
2022年6月,司法部就国际民商事司法协助常见问题进行解答,明确了涉诉信息的跨境调取规则,指出中国境内当事人出于自愿直接向外国司法机关或司法人员提交位于境内的证据材料,应符合《民事诉讼法》《数据安全法》《个人信息保护法》的相关规定。数据信息确需向境外提供的,应当通过国家网信部门组织的安全评估、认证后方可向境外提交。涉及到国际司法协助的,非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据或个人信息。
数据出境安全申报流程
《数据出境安全评估办法》明确数据出境安全评估流程、内容等具体要求,遵循坚持事前评估和持续监督相结合、坚持风险自评估与国家安全评估相结合的原则。
《数据出境安全评估办法》《数据出境安全评估申报指南(第一版)》对数据出境安全评估申报方式、申报流程、申报材料等具体要求作出说明,具体申报流程如下图:
申报对象通过省级网信部门向国家网信部门申报数据出境安全评估,省级网信部门负责对申报材料完备性查验,并于5个工作日内完成相关工作,不符合规定的申报请求将被直接驳回。
国家网信部门收到申报材料后,7个工作日完成申报材料的审查工作,确定是否受理并书面通知申报主体。申报材料通过审查后,国家网信部门组织进行安全评估,原则上45个工作日完成。若申报材料存在补充、更正等情况,或者申报情形较为复杂,评估周期将适当延长。因此,数据处理者对数据出境情况的准确把握、精准描述、风险研判及防范措施等,直接决定安全评估的周期、结果。
来源:数据观
免责声明:
本文仅代表原作者观点,不代表走出去智库立场。
