2022年7月数据出境安全评估管理建议2 2022 毕马威企业咨询(中国) 有限公司中国有限责任公司，是与英国私营担保有限公司毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载。在中国印刷。数据出境安全评估办法出台过程20157.1中华人民共和国国家安全法20174.11个人信息和重要数据出境安全评估办法（征求意见稿）20176.1中华人民共和国网络安全法20196.13个人信息出境安全评估办法（征求意见稿）20219.1中华人民共和国数据安全法202111.1中华人民共和国个人信息保护法202110.29数据出境安全评估办法（征求意见稿）20229.1数据出境安全评估办法（即将生效）“制定出台数据出境安全评估办法 是落实 网络安全法 、 数据安全法 、 个人信息保护法 有关数据出境规定的重要举措，目的是进一步 规范数据出境活动 ， 保护个人信息权益 ， 维护国家安全和社会公共利益 ，促进数据跨境安全、自由流动 。”3 2022 毕马威企业咨询(中国) 有限公司中国有限责任公司，是与英国私营担保有限公司毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载。在中国印刷。数据出境管理总体框架网络数据安全管理条例（征求意见稿）第32条，第35至42条个人信息安全规范个人信息安全影响评估指南网络数据处理安全规范（征求意见稿）数据出境安全评估指南（征求意见稿）汽车数据安全管理若干规定（试行）金融数据安全 数据生命周期安全规范健康医疗数据安全指南中华人民共和国人类遗传资源管理条例 重要数据识别 指南（征求意见稿） 网安法第37 条个保法第38 至43 条数安法第3 1条 数据出境安全评估办法 个人信息 重要数据 网络安全标准实践指南 个人信息跨境处理活动安全认证规范 个人信息出境标准合同规定（征求意见稿） *特定行业法规工业 电信 交通 金融自然资源 医疗健康教育 科技其他数据出境活动管理参考4 2022 毕马威企业咨询(中国) 有限公司中国有限责任公司，是与英国私营担保有限公司毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载。在中国印刷。数据出境管理主要组织国家网信部门省级网信部门国务院有关部门专门机构null 制定安全评估办法null 组织安全评估null 规定个人信息保护认证规则null 制定个人信息出境标准合同规定null 境外的组织、个人“黑名单”编制、公告和限制null 接收申报材料null 申报材料完备性查验null 协助国家网信部门开展安全评估null 协同国家网信部门制定安全评估办法null 协助国家网信部门开展安全评估（特别是针对重要数据的部分）null 协助国家网信部门开展安全评估认证机构暂待明确？个人信息保护认证？数据安全管理认证*重点行业?5 2022 毕马威企业咨询(中国) 有限公司中国有限责任公司，是与英国私营担保有限公司毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载。在中国印刷。“受监管”数据类型个人信息个人信息以电子或者其他方式记录的 与已识别或者可识别的自然人有关 的各种信息，不包括匿名化处理后的信息。敏感个人信息一旦泄露或者非法使用，容易导致自然人的 人格尊严受到侵害或者人身、财产安全受到危害 的个人信息。示例（粗体为敏感个人信息）：重要数据重要数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害 国家安全、经济运行、社会稳定、公共健康和安全 等的数据。如未公开的政府信息，大面积人口、基因健康、地理、矿产资源等。null 姓名null 电话null 电子邮箱null 银行账户null 身份证号或护照号null 个人健康记录null 6 2022 毕马威企业咨询(中国) 有限公司中国有限责任公司，是与英国私营担保有限公司毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载。在中国印刷。“受影响”的应用类型受影响的应用系统处理个人信息和（或）重要数据的 业务系统可能“包含”个人信息和（或）重要数据（如：日志、备份等）的 IT 服务和工具嵌入在业务系统中的 第三方服务 （如： SDK、PaaS等）应用系统 A应用系统 n应用系统 B应用系统 C场景 1将从中国境内收集或产生的个人信息或重要数据传输至中国境外的应用系统应用系统 D场景 4将从中国境内收集或产生的个人信息或重要数据进一步传输至中国境外的其他应用系统场景 2将从中国境内收集或产生的个人信息或重要数据手动输入或上传至中国境外的应用系统场景 3从境外访问或处理从中国境内收集或产生的且存储在中国境内应用系统中的个人信息或重要数据中国境内 中国境外7 2022 毕马威企业咨询(中国) 有限公司中国有限责任公司，是与英国私营担保有限公司毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载。在中国印刷。作为“网络运营者”的数据处理者关键合规路径个人信息出境？开始重要数据出境？*建议进行年度数据安全和个人信息保护合规自查，以确保“新的”出境活动可以被及时识别并开展适当的合规举措。 个人信息保护影响评估*建议每年更新单独同意标准合同和（或）认证*有待进一步明确风险自评估内部整改和申报准备申报提交国家网信部门确定受理？材料符合 国家网信部门安全评估要求？一次性补充、更正材料通过国家网信部门安全评估？申请复评通过国家网信部门完成复评？ 收到 国家网信部门 书面通知 停止出境 收到国家网信部门书面通知 每 2年更新或在发生重大变更时重新申报和评估通过省级网信部门的完备性查验？*材料完备性问题或可多次提交，但“冷却期”需待进一步明确。*不受理可通过其他流程开展出境活动。 向境外提供重要数据 处理 100万人以上个人信息的数据处理者 自上年 1月 1日起累计向境外提供 10万人个人信息或者 1万人敏感个人信息是否需要向网信部门申报？每出境场景 /每出境合同将自评估集成至影响评估流程如果判断为“否”如果判断为“是”8 2022 毕马威企业咨询(中国) 有限公司中国有限责任公司，是与英国私营担保有限公司毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载。在中国印刷。通过风险自评估为国家网信部门安全评估作准备 数据处理者（发送方）所有权结构 接收方主体资格和政策法规环境 出境规模、范围、种类、敏感程度 合法性、正当性和必要性目的、范围、方式 评估章节5.1章节8.1合法权益风险评估章节5.2安全保障能力评估出境过程和出境后 数据 安全风险管理对数据安全和个人信息权益保障接收方安全技术和管理能力章节5.3，5.4，5.5章节8.3，8.4接收方所在国家或者地区的政策法规和网络安全环境章节8.2历史违规记录评估章节8.6合同合规性评估 章节5.5章节8.5建议的风险自评估报告主要内容数据出境风险评估数据安全评估合同约束风险评估 数据处理者（发送方）网络安全能力*确保数据生命周期保护的能力 接收方网络安全 能力*安全管理和技术能力 与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件（ 如： 个人信息出境标准合同）建议的风险自评估范围该部分属于国家网信部门安全评估范围，建议在风险自评估阶段完成内部自查和应对准备，以在安全评估阶段可应国家网信部门要求提供相关信息。9 2022 毕马威企业咨询(中国) 有限公司中国有限责任公司，是与英国私营担保有限公司毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载。在中国印刷。关注“合同合规”个人信息出境说明根据本合同向境外提供个人信息的详情约定如下：（一）传输的个人信息属于下列类别的个人信息主体：（二）传输是为了以下目的：（三）传输个人信息的数量：（四）出境个人信息类别：（五）出境敏感个人信息类别：（六）境外接收方传输的个人信息只向以下接收方提供：（七）传输方式：（八）出境后存储时间：（九）出境后存储地点：（十）其他事项（视情况填写）：关于个人信息出境的“数据出境风险评估”应能基于此说明进行分析和总结个人信息处理者的义务（发送方）境外接收方的义务 遵循目的明确、最小必要原则 适当的告知与同意 落实安全保护措施 “连带”境外接收方接受和配合监管活动 开展个人信息保护影响评估（3 年） 遵循公开透明原则（提供数据访问、合同副本、资质认证说明等） 开展合同合规审计 执行合同备案 遵循目的明确、最小必要原则 遵循公开透明原则（提供数据访问、合同副本、资质认证说明等） 严格执行数据留存策略，开展处置审计并提供报告 落实安全保护措施 落实数据泄露事件应急处置措施 审慎开展进一步委托处理或提供 遵循有关自动化决策的个人信息保护规定 记录和留存处理活动（3 年） 接受和配合监管活动以个人信息出境标准合同规定（征求意见稿） 为例10 2022 毕马威企业咨询(中国) 有限公司中国有限责任公司，是与英国私营担保有限公司毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载。在中国印刷。安全评估申报流程概览数据处理者申报前数据出境自评估准备申请材料：申报书、自评估报告、法律文件（合同）、其他申报数据出境安全评估所在地省级网信部门国家网信部门组织国务院有关部门、省级网信部门、专门机构等安全评估依据要求提交补充材料或进行更正完成评估形成评估结果自出具书面受理通知之日起45个工作日完成，特殊情况进行延长告知。对评估结果有异议的，可以在收到评估结果15个工作日内向国家网信部门申请复评评估结果2年有效期内发生需重新申报评估的情形2年有效期届满60个工作日前5个工作日内完成完备性查验如申报材料不齐全，退回并告知需要补充的材料国家网信部门7个工作日内确定是否受理，并书面通知11 2022 毕马威企业咨询(中国) 有限公司中国有限责任公司，是与英国私营担保有限公司毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载。在中国印刷。下一步工作建议2022.07-2022.09识别“高风险”出境活动null 识别需申报和评估的出境活动落实快速整改工作null 完成个人信息保护影响评估，落实单独同意，完成标准合同签署等制定“ Plan B”null 制定并准备业务连续性计划，以应对潜在“高风险”出境活动被暂停或终止的风险2022.09-2023.02完成风险自评估（试点）null 完成风险自评估和必要整改完成安全评估申报null 完成申报提交和安全评估2023.02 以后null 建立健全数据出境管理流程和工具，考虑与现行资产管理、数据分级分类和个人信息保护影响评估等流程集成null 继续完成适用范围内出境活动的自评估和安全评估申报工作持续关注有待监管明确事项个人信息出境标准合同、法律文件要求重要数据目录风险自评估和安全评估指南和模板安全评估申报和沟通的执行流程和方式个人信息保护认证的流程和方式12 2022 毕马威企业咨询(中国) 有限公司中国有限责任公司，是与英国私营担保有限公司毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载。在中国印刷。毕马威的服务毕马威网络安全评估平台出境活动 梳理 和规划识别和梳理个人信息/ 重要数据出境活动，制定合规计划和建议毕马威数据跨境处理管理服务风险自评估和整改协助开展风险自评估，提供整改建议，并协助落实整改措施安全评估申报支持协助开展安全评估申报工作数据出境管理 框架建设建立数据出境活动管理和评估框架，制定相关制度、流程和工具出境日常管理支持协助持续开展出境活动记录盘点、自评估、整改辅导、管理培训等日常出境活动管理运行支持系统 /数据本地化分析分析数据/ 系统本地化战略和计划，并提供建议13 2022 毕马威企业咨询(中国) 有限公司中国有限责任公司，是与英国私营担保有限公司毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载。在中国印刷。联系我们石浩然毕马威中国网络和信息安全服务合伙人T +852 2143 8799E 张倪海毕马威中国网络和信息安全服务合伙人T +852 2847 5062E 张令琪毕马威中国网络和信息安全服务合伙人T +86 (21) 2212 3637E 黄芃芃毕马威中国网络和信息安全服务合伙人T +86 (21) 2212 2355E 郝长伟毕马威中国网络和信息安全服务合伙人T +86 (10) 8508 5498E 李振毕马威中国网络和信息安全服务总监T +86 (10) 8508 5397E 周文韬毕马威中国网络和信息安全服务总监T +86 (21) 2212 3149E 2022 毕马威企业咨询 (中国) 有限公司 中国有限责任公司，是与英国私营担保有限公司 毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载。在中国印刷。毕马威的名称和标识均为毕马威全球性组织中的独立成员所经许可后使用的商标。