@全体法律人：一文读懂数据出境安全评估申报指南(附资料合集)

　　（下称《申报指南》），对数据出境安全评估申报方式、申报流程、申报材料、咨询方式等做了进一步明确，并提供2份

　　本文旨在对《申报指南》的重点内容进行摘录解析，并根据《评估办法》进行对照解读，以期帮助大家更好的理解新规的落地细则及企业的申报要点。

　　数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信办向国家网信办申报数据出境安全评估：

　　（三）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；(2021年1月1日起累计)

　　（二）数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；(可理解为允许外面来拿和存，相较于网信办就《评估办法》答记者问中的回复，《申报指南》将远程访问场景下的“访问或者调用更新为”“查询、调取、下载、导出”）

　　第一步，交材料:数据处理者申报数据出境安全评估，应当通过所在地省级网信办(接受材料)申报数据出境安全评估。申报方式为送达书面申报材料并附带材料电子版。

　　第二步，完备性查验:省级网信办收到申报材料后，在 5 个工作日内完成申报材料的完备性查验。通过完备性查验的，省级网信办将申报材料上报国家网信办(实际评估单位)；未通过完备性查验的，数据处理者将收到申报退回通知。

　　第三步，上报受理:国家网信办自收到省级网信办上报申报材料之日起 7 个工作日内，确定是否受理并书面通知数据处理者。数据处理者如被告知补充或者更正申报材料，应当及时按照要求补充或者更正材料。无正当理由不补充或者更正申报材料的，安全评估将会终止。情况复杂的，数据处理者将被告知评估预计延长的时间。

　　第四步，出结果，可申请复评:评估完成后，数据处理者将收到评估结果通知书。对评估结果无异议的，数据处理者须按照数据出境安全管理相关法律法规和评估结果通知书的有关要求，规范相关数据出境活动；对评估结果有异议的，数据处理者可以在收到评估结果通知书 15 个工作日内向国家网信办申请复评，复评结果为最终结论。

　　数据处理者对所提交材料的真实性负责，提交虚假材料的，按照评估不通过处理，并依法追究相应法律责任。（与《评估办法》相比，删除了提交虚假材料的追责要件中「故意」二字，强化了对申报材料真实性的要求。）

　　《数据出境安全评估申报表》填写说明通过9个Q&A的形式，对《数据出境安全评估申报表》进行了具体填报说明，重点摘录如下：

　　• 数据出境链路：如链路提供商、链路数量与带宽、境内外落地数据中心名称及机房物理位置、IP地址等。

　　• 拟出境数据情况：关于「个人信息的敏感程度」，可参照国家标准《信息安全技术 个人信息安全规范》。「涉及行业/领域」填写出境数据涉及的行业领域范围，如工业、电信、金融、交通、自然资源、卫生健康、能源、教育、科技、国防科工等。

　　• 遵守中国法律、行政法规、部门规章情况：简述近2年在业务经营活动中受到行政处罚和有关主管监管部门调查及整改情况，重点说明数据和网络安全方面相关情况。

　　就《办法》第五条所列事项逐项说明风险评估情况，重点说明评估发现的问题和风险隐患，以及相应采取的整改措施及整改效果。

　　《数据出境安全评估申报表》开篇强调了4点填写说明，比如明确数据处理者可以聘请外部机构开展数据出境风险自评估，具体如下：

　　(四)如有第三方机构参与自评估，须在自评估报告中说明第三方机构的基本情况及参与评估的情况，并在相关内容页上加盖第三方机构公章。

　　为了方便查阅，我们也准备的《数据出境安全评估办法申报指南（第一版）》的PDF版和Word版原文，欢迎大家添加小助理领取～

　　2022年4月份以来，iLaw合规视频号已开播80多场。在过去的5个月里，有近万名法务、律师、信息安全人员走进iLaw合规公益直播课堂，和近百位行业先行者一起，探讨合规实务、技术能力、行业洞察等一系列话题。

　　如果你也在从事数据合规业务，或对合规话题感兴趣，欢迎与我们交流，我们准备了丰厚的学习资料，愿与你分享～