M88 login申报指南(第一版)》正式发布
在M88 login办法》(以下简称“《评估办法》”)正式生效前夕,国家互联网信息办公室(以下简称“国家网信办”)于2022年8月31日正式发布了M88 login申报指南(第一版)》(以下简称“《申报指南》”)1,针对M88 login的适用范围、申报方式及流程、申报材料、申报咨询等内容作出了具体说明,为拟申报M88 login的数据处理者提供指导。
同时,我们也注意到,各地网信办也陆续就安全评估的申请开始推进相应的筹备工作,例如,江苏省互联网信息办公室在2022年9月2日发布了《江苏省M88 login申报工作指引(第一版)》2,北京市互联网信息办公室也设立了M88 login申报咨询电话3。
以下是我们对《申报指南》主要细化的流程和要求的分析和解读。
一、触发安全评估的范围
《申报指南》对M88 login申报范围的规定与《评估办法》第四条保持了严格一致,即包括了重要数据出境、关键信息基础设施运营者和处理大量个人信息的数据处理者个人信息出境,以及大量个人信息或敏感个人信息出境的几种情形,而暂未就实操之中涉及的每一条M88 login的具体触发条件的计算方式提供进一步的解释和说明。该等计算仍需根据项目的具体情况进行判断、并与主管部门进行沟通。
我们也注意到,《江苏省M88 login申报工作指引(第一版)》中对重要数据的范围进行了一定的细化和说明,即在《评估办法》所规定的“重要数据”定义基础上,数据处理者需要根据行业标准确定出境数据是否构成重要数据;如无行业标准,可参考《网络数据安全管理条例(征求意见稿)》4第七十三条所列举的重要数据的判断标准,并对于重要数据进行了相应的例举。
二、数据出境情形的解释
《申报指南》对数据出境行为的认定进行了细化。国家网信办于2022年7月7日就《评估办法》相关问题回答记者提问时曾提到,《评估办法》所称数据出境活动主要包括:一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用[5]。《申报指南》将“访问或者调用”细化为“查询、调取、下载、导出”,进一步明确了对于数据出境行为的判断标准。《申报指南》保留了“国家网信办规定的其他数据出境行为”的表述,为以后监管实践中可能较为复杂的数据出境情况预留了解释空间。另外,《申报指南》并未明确符合《个人信息保护法》第三条第二款所规定的在境外处理境内自然人个人信息的活动是否属于需进行安全评估的“数据出境”情形,仍需待国家网信办在后续监管过程之中的进一步解释。
三、申报方式及流程
《评估办法》规定M88 login应首先由省级网信办对申报材料进行完备性查验,申报材料齐全的,申报材料将报送至国家网信办。具体流程请参见下图。
相较于《评估办法》所规定的申报方式和流程,《申报指南》在以下方面进行了细化:
1. 申报方式均为送达书面申报材料并附带材料电子版(光盘方式);
2. 如果申报材料未通过省级网信办的完备性核验,数据处理者将收到申报退回通知,而没有在此阶段进行补充或更正的机会;
3. 数据处理者就数据出境进行的自评估应在申报之日前3个月内完成,且至申报之日未发生重大变化;
4. 国家网信办和部分地方网信办已公布了申报咨询电话和邮箱,方便企业就M88 login中的问题进行事先咨询。
四、申报材料及相关要点
与《评估办法》相比,《申报指南》本次最主要的变化是细化和落实了M88 login申报材料的具体要求,并提供了相应的模板。
1. 细化的申请材料包括:
(1) 统一社会信用代码证件;
(2) 法定代表人身份证件;
(3) 经办人身份证件;
(4) 经办人授权委托书(模板);
(5) 数据出境安全评估申报书(模板),包含《承诺书》与M88 login申报表》两个部分;
(6) 与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件;
(7) 数据出境风险自评估报告(模板);以及
(8) 其他相关证明材料。
2. 针对上述申请文件,主要的更新要点如下:
(1) 《承诺书》要求数据处理者既要对其出境数据的合法收集和使用进行承诺,又要对申报材料的真实、准确、完整和有效进行承诺;
(2) M88 login申报表》要求数据处理者提供与其自身、数据出境业务、拟出境数据、境外接收方以及出境法律文件相关的基本信息,特别需要注意的是:
数据处理者需要同时提供其自身以及境外接收方的数据安全责任人和管理机构的情况;
拟出境数据同时包括个人信息和重要数据的,需要一并进行申报;
除拟出境数据的种类外,数据处理者需要对数据规模(MB/GB/TB)进行描述;
数据处理者需对数据出境链路进行描述,包括链路提供商、链路数量与带宽、境内外落地数据中心名称及机房物理位置、IP地址等;
《评估办法》第九条所要求体现的出境法律文件必备内容,应由数据处理者逐一标明对应的文件名、页码和条款;以及
数据处理者需简述其在近2年内在业务经营活动中受到行政处罚和有关主管监管部门调查及整改的情况,并重点说明数据和网络安全方面的有关情况。
(3) 国家网信办提供了数据出境风险自评估报告(模板),为数据处理者准备自评估报告提供了具体指导。我们将在下文进行具体的重点提示。
五、数据出境风险自评估报告模板之中的要点
针对《申报指南》颁发之前数据处理者普遍关心的数据出境风险自评估报告,《申报指南》本次也提供了M88 login风险自评估报告》(模板)(“自评估报告模板”),列明了自评估报告所需评估和分析的具体内容,为数据处理者准备自评估报告提供了重要指导和参考:
1. 自评估活动需要在M88 login申报前3个月内完成,且至申报之日未发生重大变化。
2. 如有第三方机构参与自评估,数据处理者须在自评估报告中说明第三方机构的基本情况及参与评估的情况,并在相关内容也上加盖第三方机构公章。
3. 自评估报告包括四大方面:组织和实施自评估的基本情况、出境活动的整体情况、拟出境活动的风险评估情况以及出境活动风险自评估结论。特别提示注意的是:
(1) 数据处理者的基本情况,不仅限于一般的登记信息以及数据出境涉及的业务和信息系统,还需要披露企业的实际控制人、整体业务和数据情况、境内外投资情况;
(2) 对数据处理者的数据安全保障能力的评估,既包括管理组织体系和制度建设情况,全流程管理、分类分级、应急处置、风险评估、个人信息权益保护等制度及落实情况;又包括数据收集、存储、使用、加工、传输、提供、公开、删除等全流程所采取的安全技术措施;并且还应就其数据安全保障措施有效性提供证明,例如数据安全风险评估、数据安全能力认证、网络安全等级保护测评等;
(3) 针对境外接收方的评估,除了境外接收方的基本情况、数据安全保障能力及其所在国家和地区的数据安全保护政策法规和网络安全环境,自评估报告模板还要求描述境外接收方处理数据的全流程过程;
(4) 针对《评估办法》第五条所规定的重点评估事项,自评估报告模板要求逐项说明风险评估情况,重点说明评估发现的问题和风险隐患,以及相应采取的整改措施和整改结果;
(5) 自评估报告的结论应充分说明得出自评估结论的理由和论据。
六、我们的观察和建议
以上我们总结了《申报指南》就M88 login作出的细化和新增要求,企业在实践中如何落实这些内容,我们初步建议如下:
1. 如果企业尚未对数据出境活动进行梳理,建议尽快启动数据出境活动的核查和梳理,确定是否需要按照《评估办法》申报M88 login,考虑到整体合规的安排,准备工作需要紧凑的安排完成;
2. 对于确定需要进行M88 login的企业来说:
(1) 在《评估办法》规定的6个月整改期限内完成省级网信办以及国家网信办的两级申报并顺利通过M88 login,具有一定的难度,建议企业可在第三方专业机构的协助下,倒排项目时间表,落实M88 login所涉及的各方主体的责任和义务,争取尽早完成申报材料的准备和提交;
(2) 尽快按照自评估报告模板所列举的各项评估内容对出境活动进行自评估,并对自评估过程中发现的问题和差距积极进行整改并落实整改措施;以及
(3) 按照《申报指南》的要求同步准备其他申报材料。
3. 企业也需根据自身具体情况考虑提前进行数据本地化部署,避免在M88 login未通过的情况下其业务持续运营受到影响。
1. 国家互联网信息办公室发布M88 login申报指南(第一版)》,http://www.cac.gov.cn/2022-08/31/c_1663568169996202.htm
2.《一图读懂|江苏省M88 login申报工作指引来了》,http://www.jswx.gov.cn/xinxi/shuzi/202209/t20220902_3068388.shtml
3. 《北京市网信办开通M88 login申报咨询电话》,https://mp.weixin.qq.com/s/qt3X4O35a7fFfKbaHDO6Fw
4. 国家网信办于2021年11月14日发布《网络数据安全管理条例(征求意见稿)》
5.《<M88 login办法答记者问》,https://mp.weixin.qq.com/s/I_8CoXlwvIAv4vdWQLANZw
