_($0PXQFQ7Y(P~4838LJ_]L.png

管理培训搜索
18318889481 17875936848

合规
| 合规与政府管制

支付清算 监察稽核 机构合规 网络套路贷 稽察稽核 矿业法务 纪检监察 行政合规 巡视巡察 党风廉政 医药反腐 行政监督 党内法规

| 企业合规

消费者安全 数据安全审计 企业合规师 备案登记 劳动用工合规管理 知识产权合规 个人信息与隐私权保护 企业廉洁合规 经营合规 风险提示与预警信息 IPO合规 安全生产合规管理 企业合规典型案例 合同合规管理 企业合规实务 企业数据合规 企业刑事合规

| 网络安全与隐私保护

网络犯罪 人工智能合规 网络安全 新基建安全资讯 保密科技 数据合规 元宇宙合规 数字合规 网络与数据法学 电信网络诈骗 区块链合规 信息与网络安全 网络不正当竞争 数字贸易合规 数据出境合规 互联网合规

| 法证会计与反舞弊

法证会计 涉案企业合规 调查及法证会计 舞弊审计 金融科技合规 司法会计 价格舞弊

| 反洗钱与制裁合规

反洗钱知识系列宣传 经济制裁和出口管制 反洗钱中心

| 反垄断中心

反垄断合规 竞争法(反不正当竞争、反垄断)

| 企业合规管理咨询

上市公司合规管理 税务合规 企业合规管理 商业秘密 财务合规 商业合规 内控资讯 合同法律 信息披露风险 公司法实务 人力资源合规 信用规制 知识产权合规 合规尽职调查 内控稽查 内部控制和风险管理合规 会计监管风险 税务异常处理 税务检查应对

| 合规中心

征信合规 涉税合规 经济犯罪案例 合规文化主题月 劳动与人力资源合规 合规运行报告 网络直播合规 信用合规 刑事合规管理 工程合规与舞弊调查 涉案企业合规 安全审计 合规科技 劳务派遣合规 采购合规 财务风控 招投标合规

| 转创全球企业合规

国际注册合规师 公司治理与公司合规 全球金融监管动态月刊 境外合规专项行动 国企合规 反不正当竞争合规管理 出口退税合规风险 全球反垄断 全球企业合规事务 国际监管合规服务 进出口管制和贸易制裁 境外投资和“一带一路” 跨境投资和经营合规 知识产权内部控制 商业贿赂 外汇合规 合规与诚信

| 合规律师事务所

企业法务 涉外企业合规 合同内控 反腐败合规 不正当接触 泄露公司机密罪 合规法务 刑事合规 贪污贿赂 科技法律 信披违规 企业刑事风险防控及刑事合规 法律风险管理 洗钱犯罪

| 金融安全与合规

证券合规 银行合规 金融犯罪合规 保险合规 金融消费者保护 银保监督 私募合规 互联网金融合规 银行合规资讯 投融资合规 支付 银行合规综合 金融安全 信托合规 担保合规 金融合规 信用合规 股权合规 内保外贷合规 外汇合规 保理合规

| 海关及全球贸易合规

海关及贸易合规 农食产品技术贸易 国际经贸预警 国际商事认证 出口管制 海关税收征管 走私罚罪研究 出口退税行政诉讼 跨境电商合规 AEO海关认证 出口骗税 外贸企业合规 全球贸易规则

| ESG合规
| 反欺诈中心

反欺诈实践 反欺诈反冒领专栏 欺诈调查

| 合规中心(产业)

医药合规 环保合规 医美合规 生态环境合规专题 教育合规

| 知识产权合规专题

知识产权合规 知产纠纷调解案例 知识产权确权

| 私募股权基金合规

私募投资基金 融资合规 基金合规

| 外商投资企业数据出境安全评估申报实操指南当前您所在的位置:首页 > 合规 > 网络安全与隐私保护 > 数据出境合规

近期,数据出境安全评估申报成为很多企业关注的热点。依据法规今年二月底更是一个重要的时间点,截至三月初有一些企业已经提交了申报 [1],很多企业还在准备申报或者是观望中。我们团队协助客户向上海,福建,江苏等地的网信办提交了申报材料及进行相关咨询,注意到有实际申报需求的企业包括消费、互联网、跨境电商、汽车等特定行业企业,也不乏制造业的外商投资企业。本文拟结合我们的经验,针对企业在数据出境安全评估申报方面的需求和疑问,进行初步的介绍。

    一、外商投资企业数据出境的场景比较常见——何为出境?

    《数据安全法》和《个人信息保护法》语境下的数据出境的范围比较宽泛。根据国家互联网信息办公室编制的《数据出境安全评估申报指南(第一版)》,以下情形属于数据出境行为:

    (一)数据处理者将在境内运营中收集和产生的数据传输、存储至境外;

    (二)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;

    (三)国家网信办规定的其他数据出境行为。

    外商投资企业因为其境外总部集中管理的需求,导致其数据出境的场景更为常见,比如说境外总部可能要求国内的子公司使用统一的人力资源管理系统,会导致国内员工的个人信息传输或存储到境外。如果外资企业存在法律和申报指南中规定的上述数据出境行为,就应该根据《数据安全法》和《个人信息保护法》对相关行为进行梳理和自查,以判断企业应采取何种措施:

    (一)通过国家网信部门组织的安全评估;

    (二)经专业机构进行个人信息保护认证;

    (三)按照国家网信部门制定的标准合同与境外接收方订立合同。

    二、企业如何梳理出境的数据——摸清家底

    实践中,企业应如何自行对出境数据和出境行为进行梳理和评估呢?根据我们的服务经验,一般企业会组织内部不同的部门,通常会有IT部门、法务及合规部门、人力资源部门、业务部门,以及涉及到的其他部门,并且有总部及国内子公司相关部门的同事共同参与,由管理层进行牵头协调。相关团队对企业数据出境所涉及到的场景、业务系统、内容进行系统的梳理,盘点企业数据、数据系统、数据出境的目的和场景、出境数据的类型和数量,以及企业的相关制度和技术措施。

    其实,相关梳理的工作不仅仅针对数据出境合规这一单一目的,往往都是针对建立企业数据合规体系这一更大的目标。所以,借此机会,企业和相关团队可以完善建设数据合规制度、梳理数据资产(包括分级分类、筛选重要数据)、理顺数据流程、完善数据安全保障措施等工作。

    此外,相关梳理的工作并不等同于法律规定的个人信息保护影响评估 [2] 或者是申报数据出境安全评估前的自评估工作,应该说更加复杂,或者是包含了法律规定的相关评估工作。

    三、企业数据出境情况满足一定条件,应办理数据出境安全评估申报——是否要申报?

    根据《数据安全评估办法》第四条,数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:

     (一)数据处理者向境外提供重要数据;

    (二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;

     (三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;

     (四)国家网信部门规定的其他需要申报数据出境安全评估的情形。

    一般来说,首先要考虑是否有重要数据的情况 [3],我们在下一部分具体讨论。

    更常见的是个人信息的出境。通常来说,企业如果经营to C的业务比较容易满足上述第(二)、(三)款所列的条件,比如说某知名的运动服装品牌自有app储存了百万级消费者的个人信息,同时在企业内部管理过程中,国内子公司会把相关信息提供给境外的总部,很容易就触发申报条件。

    是否制造业或者是说经营to B业务的企业就不会有评估申报的需求呢?并不是。前已述及,外商投资企业因为其境外总部集中管理的需求,其数据出境的场景较为常见,可能会触发申报条件,比如说员工个人信息通过人力资源管理系统的出境,或者业务过程中收集的客户或者供应商的联系人的个人信息通过ERP系统或CRM系统出境,由于很可能包含个人敏感信息(比如身份证号码、差旅相关的部分信息、为员工办理商业保险所需的部分信息),如果达到一定数量(比如1万人),就会触发个人敏感信息出境的申报条件。

    满足条件不去申报,《数据安全评估办法》未直接规定法律责任,但是该等行为可能会被认定为《个人信息保护法》规定的企业违法处理个人信息,情节严重的,可能面临最高5,000万元以下或者上一年度营业额5%以下罚款、停业整顿、吊销相关业务许可或者吊销营业执照等严厉的处罚措施;同时,直接负责的主管人员和其他直接责任人员有可能被处以10万元以上100万元以下罚款,并在一定期限内禁止担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

    四、在判断的过程中经常会碰到的问题——这些情况如何判断?

     1、重要数据

    根据《数据出境安全评估办法》,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。企业如何识别重要数据呢,可以优先参照相关行业的重要数据目录进行识别,比如基础电信行业和汽车行业。当行业重要数据目录不明确时,可以参考重要数据认定的一般规则或者标准,比如2017年有个国家标准的征求意见稿,专门对各行各业的重要数据做了大致的列举。

    2、个人敏感信息

    2020年10月1日施行的推荐性国家标准GT/B 35273《信息安全技术个人信息安全规范》附录B个人敏感信息判定可以参考。此外,《网络安全标准实践指南——网络数据分类分级指引》附录B的个人信息分类示例,也提供了个人信息分类及敏感个人信息的参考示例,值得参考。前面提到,跨国公司在总部集中管理过程中收集到的个人信息,很可能是包含敏感个人信息的。

    3、国内的多家子公司数据是否要合并计算

    跨国公司经常会存在这样一种情况,就是国内有多家子公司,每家子公司都有数据或者个人信息要通过公司统一的管理系统提交到境外总部。如果部分子公司处理个人敏感信息不足1万,但是有的子公司处理个人敏感信息已经达到1万,其他的申报情形都不满足,这些公司是否需要申报?

    关于这一点,上海网信办的理解是需要判断国内的子公司之间是否存在数据共享和交互:如果存在,则应根据国内子公司处理个人敏感信息的总和来判断,应进行安全评估申报;如果不存在,就要充分证明不存在数据共享交互这样的一个情形。

    而根据我们的观察,事实上更常见的情况可能是各家子公司分别在系统中上传个人信息。即使这样,如果各家分别不达标,但总量达标,我们建议以其中一家子公司的名义进行申报,并且在申报的过程中披露国内所有子公司跨境传输个人信息的情况,实现跨国公司所有实体在中国法下的数据出境合规。

    4、数据的统计口径

    根据上海网信办的答复,《数据出境安全评估办法》第四条申报情形中提到的100万、10万、1万这类数据均是按照人口计算的,而非人次。同时,处理100万以上个人信息,累计向境外提供10万人个人信息或者1万人敏感个人信息,都是针对数据处理者的主体在各场景下处理的数据量累计计算,而不是要求具体的业务场景达到这个数量级。

    还有一些特殊问题适用于特定行业的企业,比如如何定义境内运营、是否考虑外国人的个人信息,并不适用于多数企业,我们在这里就不赘述。

    五、准备数据出境安全评估申报材料的常见问题——如何准备申报材料?

    如果确定要申报的话,就需要考虑如何准备申报材料。国家网信办编制的《数据出境安全评估申报指南(第一版)》、各地网信办出的实务问答、工作指引都很有参考意义。以下介绍下我们在协助客户准备申报材料时的一些经验:

    1、尽量不要去更改申报指南中提供的申报表、承诺书、自评估报告的格式。

    2、自评估报告前后表述保持一致,不同申报材料之间的内容保持一致。比如自评估报告里写到的拟出境数据的数量,肯定要与申报表里填写的数量一致。

    3、自评估报告。

    根据我们的经验,报告中的一些部分主要是事实的描述和介绍,比如数据处理者基本情况、数据出境涉及业务和信息系统情况、拟出境数据情况。有些部分则是需要展开论述的,也是网信办审查的重点,比如数据处理者(和境外接收方)的数据安全保障能力情况,既包括制度建设、管理体系,也包括技术能力;法律文件约定数据安全保护责任义务的情况,要将申报指南这部分要求的所有相关条款在法律文件中一一找到并显著标识。

    4、申报表。

    最常见的一个问题是表格中拟出境数据情况,因为数据处理者申报的出境数据,应为未来两年的拟出境数据(而非自评估报告中所统计的从上年度1月1日起累计的已出境数据),所以,企业应该根据历史出境的数据数量和企业未来的需要,做合理的预测。还有一个常见的问题是针对不同的出境场景,同一家企业可能要准备几份申报表

    最近另外一个相关新闻也是热点:国务院拟组建数据管理局,网信办承担的部分职责划入数据管理局。目前来看,数据出境安全评估申报的工作还是在网信办。在与网信办交流的过程中,他们的反馈都是应该有更多的企业满足了申报条件但还未及时进行申报。今后是否会有企业因为未办理申报而承担法律责任,需要我们持续密切关注,但这个问题放在现今对数据安全、个人信息保护日益关注的大环境下,其实我们可能已经有答案了。

    注释

     [1] 根据上海网信办的数据,截至2023年3月9日,上海市网信办接收正式申报材料270余件。北京网信办没有最新的数据,但截至2月底,已经有200家左右的企业表达了申报意愿。根据我们的交流,其他省份的网信办接收、审核申报材料的经验相对较少。

     [2] 向境外提供个人信息的,应进行个人信息保护影响评估,包括下列内容:

    (一)个人信息的处理目的、处理方式等是否合法、正当、必要;

    (二)对个人权益的影响及安全风险;

    (三)所采取的保护措施是否合法、有效并与风险程度相适应。


转创君
企业概况
联系我们
专家顾问
企业文化
党风建设
核心团队
资质荣誉
领导资源
专家库
公司公告
资源与智库
战略合作伙伴
质量保证
咨询流程
联系我们
咨询
IPO咨询
中国企业国际化发展战略
投融资规划
企业管理咨询
人力资源管理
风险管理
竞争战略
集团管控
并购重组
家族办公室
资产管理
股权设计
企业管治与内部审计
企业估值
价值办公室
内控咨询
投资银行
管治、内控及合规服务
法律咨询
服务
管理咨询服务
投融资规划
人力资源
资产评估服务
会计服务
科技服务
资质认证
ESG服务
商务咨询
内部控制服务
转创投服
金融服务咨询
企业服务
财会服务
翻译服务
财审
金融会计专题
财税中心
国际财务管理
税务师事务所
财税法律服务
会计中心
财务咨询
内部审计专题
审计创新与全球化
代理记账中心
会计师事务所
行业动态
审计中心
审计及鉴证
专项审计
审计工厂
审计咨询服务
金融
纳斯达克
并购交易服务
北交所
IPO咨询
深交所
上交所
直通新三板
董秘工作平台
独立董事事务
SPAC
资本市场服务中心
澳洲上市
加拿大上市
估值分析事务
香港联交所
新交所
金融分析师事务所
合规
合规与政府管制
企业合规
网络安全与隐私保护
法证会计与反舞弊
反洗钱与制裁合规
反垄断中心
企业合规管理咨询
合规中心
转创全球企业合规
合规律师事务所
金融安全与合规
海关及全球贸易合规
ESG合规
反欺诈中心
合规中心(产业)
知识产权合规专题
私募股权基金合规
法信
征信管理
信用管理
法信中心
信用评级
价值办公室
信托中心
制度智库
安企中心
私募股权
转创法信
诚信管理
产服
产业中心
企业与产业管理
行业中心
转创产研
城市中国
转创科研
全球城市
乡村振兴战略
创新创业中心
转型升级中心
数据经济与网安
绿创中心
双碳与可持续发展
管理
并购重组
转创国际企业研究所
创新创业
转型升级
投融资与股权激励
ESG中心
管理咨询
资产评估中心
人力资源
IPO咨询
法律
刑事法律服务
资本市场法律服务
财税金融法律事务
转创国际合规律师
民商事法律服务
公司法律服务
公共法律服务中心
转创国际法律事务所
内控
危机管理
金融风险专题
风险管理中心
网络安全与隐私保护
企业风险管理
公司治理
风险控制师事务所
国际风险研究
风险管理咨询
监督中心
管制中心
风控中心
内部控制中心
经济安全与企业内控
监管中心
转创
转创深圳(深莞)
转创广佛
转创国际福建
转创梅州
客汕经济
转创珠三角
转创潮州
转创网校
转创国际汕头
转创揭阳
18318889481 17875936848
在线QQ
在线留言
返回首页
返回顶部
留言板
发送