数据出境报告：《数据出境安全评估办法》十问数据出境安全合规

图解《数据出境安全评估办法》炼石CipherGateway十问数据出境安全合规炼石网络2022年7月 炼石CipherGateway01回顾数据出境法规制定历程02十问数据出境安全评估要点03思考业务视角数据安全需求04呼唤数据保护新框架新战法 炼石《数据出境安全评估办法》将于2022年9月1日起施行CipherGateway中共中央网络安全和信息化委员会办公室数据出境安全评估重点评估数据出境活动可能对国家安全，公共利益、个人或者组织合法权益带来的风险，主要包括以下事项：数据出境的自的、范围、方式等的合法性、正当性、必要性。数据出境安全许估办法境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响；境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求。出境数据的规模、范围、种类、敏感程度，出境中2287877和出境后遭到套改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险。数据安全和个人信息权益是否能够得到充分有效保有用电期其，障。3数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务。()关A注:A上A结/摄个人%;遵守中国法律、行政法规、部门规章情况。国家网信部门认为需要评估的其他事项。 炼石历程回顾：数据出境安全评估”是国家数据治理持续性工作之一ClpherGateway“五法”是当前国家数据安全和个人信息保护的顶层设计布局中华人民共和国中华人民共和国中华人民共和国中华人民共和国中华人民共和国国家安全法网络安全法密码法数据安全法个人信息保护法个人信息和重要数据个人信息出境关键信息基础设施数据出境安全评估网络数据安全管理数据出境安全出境安全评估办法安全评估办法（征求意见稿）（征求意见稿）安全保护条例办法（征求意见稿）条例（征求意见稿）评估办法2015年7月1日施行2017年6月1日施行2020年1月1日施行2021年9月1日施行2021年11月1日施行2017年4月11日颁布2019年6月13日领布2021年10月29日颁布2021年11月14日颁布2022年9月1日施行“五法”包含数据出境安全相关要求①针对数据出境进行有效管理，是国家数据安全治理、数据开发利用等工作的重要内容，同时也是国家网信部门一直在完善的重点工作；2017年的18条要求，至2019年的22条要求，到2021年的18条，再到2022年的20条，除了看到要求不断在完善，还能从“数字”和“流程”，看到国家对数据出境安全评估这项工作的务实态度与落实决心。 炼石2017年：个人信息和重要数据出境安全评估办法（征求意见稿）CipherGateway《个人信息和重要数据出境安全评估办法（征求意见稿）》揭开序幕给出重要定义中华人民共和国中华人民共和国数据出境，是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和国家安全法网络安全法重要数据，提供给位于境外的机构、组织、个人。个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人。个人信息和重要数据个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人出境安全评估办法（征求意见稿）生物识别信息、住址、电话号码等。(3)重要数据，是指与国家安全、经济发展，以及社会公共利益密切相关的数据，具体范2017年4月11日围参照国家有关标准和重要数据识别指南。2015年7月1日施行2017年6月1日施行下列情形属于“数据出境”的范围传输方式境外访问跨境企业通过“线上”或“线下”方式将数据传输至境外从境外直接或问接访问位于中国境内的服务器查阅、跨境企业内部数据流动的，向境外关联机构提供数或以其他方式使数据“物理”转移到境外的调取数据的据的过境数据不属于“数据出境”：过境数据境外数据经由中华人民共和国中转，未经任何变动或加工处理的情形不属于数据出境 炼石2019年：个人信息出境安全评估办法（征求意见稿）ClpherGateway《个人信息出境安全评估办法（征求意见稿）》影响深远2019年评估办法给出定义科学技术部政务服务平台个人敏感信息，是一旦被泄需、窃取、改、非法使用可能危个人信息主体人身、财产安全，或导致个人信息主体名誉、身★服务事办事咨询行政处网决定书国利罚（2015)2号心健康受到损言等的个人信息。285 68 4：广工号个人信息保护法定义敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格个人信息出境尊严受到侵言或者人身、财产安全受到危害的个人信息，包括生安全评估办法物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹（征求意见）等信息，以及入满十四同岁天成年人的个人信息。2019年6月13日颁布合同(网络运营者与个人信息接收者签订的合同或者其他有法律效力的文件）关键信息先行承担赔付责任第十四条（三）应请求向接收者转达个人信息主体诉求，包括向接收者索赔；个人信息主体不能从接收者获得赔偿时，先行赔付。第十六条（四）因向第三方传输个人信息对个人信息主体合法权益带来损害时，网络运营者同意先行承担赔付责任。个人信息出境安全评估办法（征求意见稿）：在国家互联网办公室官网有6篇解析与评论。6 炼石2021年：数据出境安全评估办法（征求意见稿）CipherGateway2021年评估办法完整度更高，逻辑密。从监管抓手，到企业应对，操作性更强。数据出境安全评估办法（征求意见榜）中华人民共和国中华人民共和国第一条为了规范据出境活动，保护个人信E权益，维护国家安全和社会公其利益，促进数据跨境安全、自由流动，根据《中华人民其和数据安全法个人信息保护法国网络安全法》，《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规，制定本办法。第二条数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息，应当按用本办法的规定进行安全评估，法律、行政法规另有规定的，依照其规定。数据出境安全网络数据安全评估办法管理条例第三条数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合，防范款据出境安全风险，保障数据依法有序白自（征求意见稿）（征求意见稿）由流动。2021年11月第四条数据处理者向境外规供数据，符合以下情形之一的，应当通过所在地省级网信部门向国家网信部门丰报数据出境安全评估，2021年9月1日施行1日施行（一）关链信息基础设施的运营者收集和产生的个人信息和重要数据：（二）出境数据中包含重要数据：2021年10月29日颁布2021年11月14日颁布（三）处理个人信息达到一百万人的个人信息处理者向境外提供个人信息（征求意见稿）不能作为司法解释，但可以洞察文件精神，对于企业经营、组织管（五）国家网信部门规定的其他需要申报款据出境安全评估的情形理来说，可以把工作做到前头，避免“临时抱佛脚”。7 炼石2022年7月7日《数据出境安全评估办法》正式公布CipherGateway国家互联网信息办公室公布《数据出境安全评估办法》网信中国2022-07-0716:53发表于北京CAC点击“网信中国”关注官方账号7月7日，国家互联网信息办公室公布数据出境安全评估办法》（以下简移《办中华人民共和国法》），自2022年9月1日起施行。国家互联网信息办公室有关负责人表示，出台《办法》旨个人信息保护法在落实《网络安全法》、《数据安全法》、《个人信息保护法》的规定，规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利整，促进欧据跨境安全、自由流动，切实以安全保发展、以发展促安全。数据出境安全近年来，随着数字经济的建勃发展，数据跨境活动日签款紫，数据处理者的数弱出境需评估办法求快速增长。明确数据出境安全评估的具体规定，是促进数字经济康发展、防范化解欧据跨境安全风险的需要，是维护国家安全和社会公共利签的需要，是保护个人信息权益的需要。《办法》规定了数据出境安全评估的拖图、条件和程序，为数据出境安全评估工作提供了具体指引。2021年11月1日施行数据和个人信息的安全深估适用本办法，提出致据出境安全评估坚持事前评估和持绩监督相2022年9月1日施行结合、风险自评估与安全识估相结合等原则。《办法》规定了应当申报数据出境安全评估的情形，包括政据处理者向境外提供重要数2022年《数据出境安全评估办法》规定了数据出境安全评估据、关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信的范围、条件和程序，对于规范数据出境活动，保护个人信息，自上年1月1日起累计向境外提供10万人个人信息或需1万人款愿个人信息的数漏处理者向息权益，维护国家安全和社会公共利益，促进数据跨境安全、境外提供个人信息以及国家网信部门规定的其他需要申报数据出境安全评估的情形，《办法》提出了数据出境安全评估的具体要求，规定数据处理害在申报数案出境安全评自由流动具有重要意义。估前应当开效据出境风险自评估并明确了重点泽估事项。规定数据处理者在与境外接收方订立的法律文件中明确约定数据安全保护责任义务，在数据出境安全评估有效期内发生影响数据出亮安全的情形应当重新申报计估。此外，还确了数据出境安全评估程序、监督管理制度、法律责任以及合规略改要求等，8 炼石《数据出境安全评估办法》总结构CipherGateway数据出境安全评估办法1.立法目的2.适用范围3.安全评估原则5.风险自评估重点事项4.触发安全评估情形6.数据出境安全评估申报材料9.与境外订立法律文件中约定的责任义务7.受理时间期限与结果反馈11.终止安全评估及材料真实性要求8.安全评估重点事项15.评估机构和人员保密责任12.受理后完成安全评估时间13.申请复评情形10.安全评估相关部门14.评估结果有效期及重新申报情形16.举报机制17.不再符合要求的处理规定18.法律责任19.重要数据定义20.施行时间8 炼石立法依据：评估办法是网络安全法、数据安全法、个人信息保护法延伸CipherGateway尔V《国家安全法》TH:+ST0《民法典”提出自然人的个人信息受法但保护第一条为了规范数据出境活动，保护网络安全法》《数据安全法》个人信息权益，维护国家安全和社会核心数据严格管理公共利益，促进数据跨境安全、自由网络信息安全重要数据风险评估《密码法》内容控制分类分战202C年二月1日起栋行，流动，根据《中华人民共和国网络安网络运行安全等级保护《个人信息保护法》全法》、《中华人民共和国数据安全安全风险处置网络实名制数据交易中介网络产品/限务特冻类型效据法》、(《中华人民共和国个人信息保关键信息基础设施汽车数递教感个人息护法》等法律法规，制定本办法。数超本地化与跨境健康医疗欧据儿童个人信息网络安全申鱼和供应链板利响应安全测绘故据注：第十八条规定，违反本办法规定的，依据中毕人民共和国网络安全法”、中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》要法律法规处理；构成犯菲的，依法追究刑事丧任。10 炼石监管范围：数据处理者、重要数据、个人信息CipherGateway第二条数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估，适用本办法。法律、行政法规另有规定的，依照其规定。发布日期2017年4月11日2019年6月13日2021年10月29日2022年7月7日个人信息和重要数据出境安全评估办法个人信息出境安全评估办法数据出境安全评估办法（征求意见稿）（征求意见稳）数据出境安全评估办法网络运营者网络运营者数据处理者数据处理者属地原则境内运营中收集和产生的境内运营中收集的境内运营中收集和产生的境内运营中收集和产生的重要数据个人信息和重要数据，应当在境重要数据和内存储个人信息和依法应当进行安全评估的个人信明确范围因业务需要，确需向境外提供的个人信息息11 炼石办法主旨：事前评估和持续监督、风险自评估与安全评估CipherGateway第三条数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合：防范数据出境安全风险，保障数据依法有序自由流动。（出境前）国家网信部门