《数据出境安全评估-动态与要点解析.pdf》由会员分享,可在线阅读,更多相关《数据出境安全评估-动态与要点解析.pdf(21页珍藏版)》请在三个皮匠报告上搜索。
1、本土化资源 国际化视野We link local legal intelligence with the world上海 Shanghai|北京 Beijing|深圳 Shenzhen|香港 Hong Kong|伦敦 London数据出境安全评估数据出境安全评估 -动态与要点解析动态与要点解析上海市通力律师事务所朱晓阳 业务合伙人2023年7月13日Business IntellectualIntellectual Property 商务知识产权Cybersecurity&DataData Compliance 网络安全与数据合规Export Export and Trade Control
2、出口与贸易管制Anti-CorruptionAnti-Corruption 反舞弊与商业贿赂LaborLabor and Employment 劳动雇佣ESGESG 环境保护、社会责任和公司治理AntitrustAntitrust&Competition 反垄断与竞争16朱晓阳朱晓阳 业务合伙人电话:+86 21 3135 8683+86 186 1764 2887邮箱:朱晓阳律师现为通力律师事务所业务合伙人,专注于大合规业务领域(包括网络安全与数据合规、反垄断、反腐败及ESG等)。朱律师毕业于上海交通大学法学院及美国威斯康辛大学法院,分别获得法学硕士学位和LLM学位。朱律师具有中国和美国纽约
3、州两地律师执业资格。朱律师具有9年的律师执业经验,曾在知名外资律师事务所工作多年,为跨国公司提供网络安全及数据合规、反垄断等合规服务,同时在跨境兼并收购、外商投资等领域也有着丰富的执业经验。加入通力后,朱律师主要为客户提供大合规领域的专业服务。在反垄断与竞争法领域,朱律师对经营者集中申报案件有着丰富的经验,曾为全国市场占有率第一位的家居装饰及家具零售企业、全国市场占有率第一的新能源电池生产企业、全国领先的新能源电池材料企业以及其他行业的国有企业、民营企业及外资企业提供经营者集中申报法律服务。除此之外,朱律师擅长为客户提供反垄断合规分析、反垄断合规体系建设、应对反垄断行政检查、反垄断民事诉讼、行
4、政复议及行政诉讼等法律服务。在网络安全及数据合规领域,朱律师能够提供全方位、多样化的网安数据服务,包括数据出境安全评估、网络安全审查、个人信息保护认证、个人信息保护影响评估、网络和数据安全事件应对、网络安全数据合规体系建设等。此外,朱律师作为起草人参与了团体标准数据合规管理体系要求的起草。朱律师被商法评为2023年律师新星(Rising Stars),被Legal 500评为反垄断与竞争法领域以及网络安全与数据合规领域的推荐律师。目目 录录数据出境安全评估数据出境安全评估1.最新通过案例及评析2.数据出境安全评估的实务要点3.有关数据出境的合规建议2 2数据出境安全评估数据出境安全评估6最新申
5、报实务及案例分享最新申报实务及案例分享1 A Leading PRC Legal Solution Provider7 72023年2月22日,北京市网信办发布北京属地企业数据出境安全评估申报工作的最新进展。首都医科大学附属北京友谊医院首都医科大学附属北京友谊医院和中国国际航空股份有中国国际航空股份有限公司限公司2家单位通过国家互联网信息办公室批准,成为全国前两个数据出境安全评估项目。2023年5月5日,上海市网信办发布推文,马自达(中国)企业管理有限公司、丝芙兰(上海)化妆品销售有限公司马自达(中国)企业管理有限公司、丝芙兰(上海)化妆品销售有限公司通过数据出境安全评估。2023年5月9日,
6、江苏省网信办发布推文,焦点科技股份有限公司焦点科技股份有限公司 中国制造网外贸电商平台业务中国制造网外贸电商平台业务通过国家网信办数据出境安全评估,成为跨境电商领域全国首个数据合规出境案例。2023年5月24日,浙江省网信办发布推文,杭州海康威视数字技术股份有限公司、杭州萤石网络股份有限公司杭州海康威视数字技术股份有限公司、杭州萤石网络股份有限公司通过国家网信办数据出境安全评估。2023年5月25日,经北京网信办、国家网信办双重审核,北京现代包括生产采购、索赔管理、全球质量反馈生产采购、索赔管理、全球质量反馈等300多个数据项准予出境,成为我国汽车企业中第一家申报数据出境业务场景全部获批的企业
7、2023年6月14日,威海市网信办发布推文,捷普电子(威海)有限公司捷普电子(威海)有限公司通过国家互联网信息办公室数据出境安全评估。2023年6月19日,浙江省网信办发布推文,支付宝(杭州)信息技术有限公司支付宝(杭州)信息技术有限公司“跨境小程序跨境小程序”业务相关数据项业务相关数据项通过国家网信办数据出境安全评估。2023年6月19日,广东省网信办发布推文,绿点科技(深圳)有限公司、安利(中国)日用品有限公司、捷普电子(广州)有限公司绿点科技(深圳)有限公司、安利(中国)日用品有限公司、捷普电子(广州)有限公司等企业通过数据出境安全评估。已通过案例已通过案例A Leading PRC L
8、egal Solution Provider8 8最新进展最新进展中央网信明确材料要求中央网信明确材料要求省级网信办消化材料要求省级网信办消化材料要求形成指导意见形成指导意见完成整改的,递交中央网信完成整改的,递交中央网信企业相应进行整改企业相应进行整改并再次递交材料并再次递交材料中央网信给予审核意见中央网信给予审核意见STEP 5STEP 5STEP STEP 1 1STEP 4STEP 4STEP 2STEP 2STEP STEP 3 39如何准备数据出境安全评估及实务难点如何准备数据出境安全评估及实务难点2 A Leading PRC Legal Solution Provider101
9、0申报流程申报流程A Leading PRC Legal Solution Provider1111一些申报程序的具体问题:一些申报程序的具体问题:什么是“申报预审”?为什么我的企业没有进行“预审”?申报是否要经办人/企业员工亲自去交?申报是否一定要提交刻录的光盘?申报后是否会收到反馈?以什么形式的反馈?提交材料后的审查时限是怎么样的(5+7+45)?若申报材料被退回,重新提交申报的次数是否有限制?申报流程申报流程省级网信部门完备性查验(5个工作日)国家网信部门材料申报(7个工作日)国家网信部门实质审查(45个工作日)A Leading PRC Legal Solution Provider1
10、212数据出境前期准备数据出境前期准备确定各部门职能职责意识建立与境外方沟通数据出境场景盘点数据出境场景盘点数据盘点场景识别本地化存储数据出境安全评估申报数据出境安全评估申报申报主体自评估评估申报数据出境计划编制数据出境计划编制出境需求出境必要性出境条件数据出境活动的持续监管数据出境活动的持续监管履行出境要求出境情况发生变化后的应对有效期届满后应对STEP 5STEP 5STEP STEP 1 1STEP 4STEP 4STEP 2STEP 2STEP STEP 3 3数据出境安全评估流程数据出境安全评估流程A Leading PRC Legal Solution Provider13131
11、1 数据出境前期准备数据出境前期准备签署数据出境协议(法律文件)政策传递评估数据保护水平可由数据安全负责人/部门牵头建立出境审控小组确定职能和职确定职能和职责责指南/手册准备定期培训意识建意识建立立与境外方沟通与境外方沟通配套制度完善配套制度完善不仅需要出境安全的评估流程更需要企业整体的数据合规框架体系作为支撑0202030304040101业务部门:业务部门:梳理现状、研判风险、提交评估、出境活动管理ITIT部门:部门:辅助业务部门排摸、协助与外部系统/设备供应商沟通、协助维护数据出境设备设施、出境传输安全保障、定期巡检/审计合规合规/数据保护部门数据保护部门:审核出境申请、评估处置出境风险
12、、持续监控出境活动并处置、文件/审批记录存档、定期培训A Leading PRC Legal Solution Provider14142 2 数据出境场景盘点数据出境场景盘点开展方式开展方式 书面问卷访谈信息系统核查自动化检测工具第三方机构服务数据分类分级数据分类分级人类遗传资源人口健康信息健康医疗大数据境外境外SaaSSaaS服务提供商服务提供商场景识别场景识别企业内部管理跨国企业数据异地备份向境外总部进行业务汇报设备、系统或服务的远程运维软件/算法的国际合作训练/开发个人信息的合法性基础个人信息的合法性基础数据来源数据来源知情同意实施人力资源管理所必须合规承诺(如来自第三方)有哪些需要本
13、地化存储的数据?有哪些需要本地化存储的数据?SAPWA Leading PRC Legal Solution Provider15153 3 数据出境计划编制数据出境计划编制数据出境需求梳理数据出境需求梳理项目项目/业务情况业务情况涉及系统涉及系统涉及接收方涉及接收方数据出境必要性分析数据出境必要性分析前提:前提:未落入需要本地化存储的范围必要性判断必要性判断经济成本经济成本合规成本合规成本技术条件限制技术条件限制A Leading PRC Legal Solution Provider1616公司层面提供能够证明公司数据保障能力的材料:例如公司的网安和数据制度、公司的认证文件(例如ISO27
14、001)、审计报告、获奖证明等。系统层面提供SOC报告、等保材料;如果是SaaS系统的,可以提供SaaS供应商的有效性证明或者联系供应商提供相应材料如何证明数据安全保障措施的有效性如何证明数据安全保障措施的有效性落地层面提供公司内部关于实施数据安全保障措施的具体说明、进行过网安数据合规整改相关活动的说明A Leading PRC Legal Solution Provider1717是否一定要使用个人信息出境标准合同?是否一定要使用个人信息出境标准合同?是否可以使用欧盟是否可以使用欧盟SCC?SCC?针对跨国集团而言,母公司可能已经根据GDPR的SCC制定了数据出境相关法律文件。在向网信办申报
15、时,如果企业直接沿用上述文件而不作任何修改,很有可能会被认定为“法律文件条款内容未覆盖要求要点法律文件条款内容未覆盖要求要点”。数据出境法律文件的签署细节数据出境法律文件的签署细节18有关数据出境安全评估的合规建议有关数据出境安全评估的合规建议3 A Leading PRC Legal Solution Provider1919数据出境安全评估办法自2022年9月1日起施行。办法施行前已经开展的数据出境活动,应当6个月内完成整改(2023年2月底之前)。整改期届满后,理应在获获得得安全评估安全评估通过的结果通过的结果之后方可出境。何时提交评估何时提交评估?A Leading PRC Legal
16、 Solution Provider20202月22日,北京网信办发文,强调“办法施行将满6个月数据出境需依法申报评估”。整改期即将截止,对于已开展数据出境活动尚不符合规定要求的数据处理者,应尽快启动相关工作对于已开展数据出境活动尚不符合规定要求的数据处理者,应尽快启动相关工作。截至2023年1月31日:北京网信办收到48家正式申报,此外,“35家单位正在补充完善申报材料,142家初步表达了申报意愿”截至2023年4月28日:上海市网信办累计接收涉及金融、零售、商务服务、汽车、医疗等重点领域的申报材料超400件,通过完备性查验并报送国家网信办申报材料近60件。截至2023年5月24日:浙江省已接收正式申报材料70余份,其中通过完备性查验并报送国家网信办32件,主要涉及电商平台、金融、物流、安防、通信等领域。何时提交评估何时提交评估?会不会不接受或者被处罚?会不会不接受或者被处罚?