数据出境安全评估管理建议

管理建议 20152017 制定安全评估办法组织安全评估 协同国家网信部门制定安全评估办法 规定个人信息保护认证规则 制定个人信息出境标准合同规定 协助国家网信部门开展安全评估（特别是针对重要数据的部分） 境外的组织、个人“黑名单”编制、公告和限制 协助国家网信部门开展安全评估 申报材料完备性查验 ？个人信息保护认证？数据安全管理认证 协助国家网信部门开展安全评估 以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。 一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。 示例（粗体为敏感个人信息）： 一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。 如未公开的政府信息，大面积人口、基因健康、地理、矿产资源等。 受影响的应用系统 处理个人信息和（或）重要数据的 可能“包含”个人信息和（或）重要数据（如：日志、备份等）的 嵌入在业务系统中的第三 收到国家网信部门书面通知每2年更新或在发生重大变更时重新申报和评估 *建议进行年度数据安全和个人信息保护合规自查，以确保“新的”出境活动可以被及时识别并开展适当的合规举措。 收到国家网信部门书面通知 处理100万人以上个人信息的数据处理者自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息 个人信息保护影响评估将自评估集成至*建议每年更新影响评估流程单独同意 材料符合国家网信部门安全评估要求？ 标准合同和（或）认证*有待进一步明确 *不受理可通过其他流程开展出境活动。 *材料完备性问题或可多次提交，但“冷却期”需待进一步明确。 建议的风险自评估范围 建议的风险自评估报告主要内容 目的、范围、方式评估 数据处理者（发送方）所有权结构接收方主体资格和政策法规环境出境规模、范围、种类、敏感程度合法性、正当性和必要性 合法权益风险评估 数据处理者（发送方）网络安全能力 安全保障能力评估 *确保数据生命周期保护的能力 出境过程和出境后数据安全风险管理对数据安全和个人信息权益保障接收方安全技术和管理能力 章节5.3，5.4，5.5章节8.3，8.4 与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件（如：个人信息出境标准合同） 历史违规记录评估 该部分属于国家网信部门安全评估范围，建议在风险自评估阶段完成内部自查和应对准备，以在安全评估阶段可应国家网信部门要求提供相关信息。 接收方所在国家或者地区的政策法规和网络安全环境 以《个人信息出境标准合同规定（征求意见稿）》为例 个人信息处理者的义务（发送方） 遵循目的明确、最小必要原则适当的告知与同意 落实安全保护措施 根据本合同向境外提供个人信息的详情约定如下： “连带”境外接收方接受和配合监管活动开展个人信息保护影响评估（3年） （一）传输的个人信息属于下列类别的个人信息主体： （二）传输是为了以下目的： 遵循公开透明原则（提供数据访问、合同副本、资质认证说明等）开展合同合规审计 （三）传输个人信息的数量： （四）出境个人信息类别： （五）出境敏感个人信息类别： （六）境外接收方传输的个人信息只向以下接收方提供： 境外接收方的义务 （八）出境后存储时间： （九）出境后存储地点： 遵循目的明确、最小必要原则 （十）其他事项（视情况填写）： 遵循公开透明原则（提供数据访问、合同副本、资质认证说明等）严格执行数据留存策略，开展处置审计并提供报告 落实安全保护措施 落实数据泄露事件应急处置措施审慎开展进一步委托处理或提供 关于个人信息出境的“数据出境风险评估”应能基于此说明进行分析和总结 遵循有关自动化决策的个人信息保护规定记录和留存处理活动（3年） 接受和配合监管活动 2022.07-2022.09 2022.09-2023.02 识别“高风险”出境活动 完成风险自评估（试点） 完成风险自评估和必要整改完成安全评估申报 建立健全数据出境管理流程和工具，考虑与现行资产管理、数据分级分类和个人信息保护影响评估等流程集成 识别需申报和评估的出境活动落实快速整改工作 个人信息出境标准合同、法律文件要求 完成个人信息保护影响评估，落实单独同意，完成标准合同签署等 完成申报提交和安全评估 制定并准备业务连续性计划，以应对潜在“高风险”出境活动被暂停或终止的风险 风险自评估和安全评估指南和模板 继续完成适用范围内出境活动的自评估和安全评估申报工作 安全评估申报和沟通的执行流程和方式 个人信息保护认证的流程和方式 出境活动梳理和规划 数据出境管理框架建设