1© 2020 ISACA All rights reserved. 数据出境申报实务孙鹏程2023.9.20 2© 2020 ISACA All rights reserved. 立法进程 《数据安全法》2021.06.10发布《个人信息保护法》2021.08.20发布《数据出境安全评估办法（征求意见稿）》2021.10.29发布《个人信息和重要数据出境安全评估办法》（征求意见稿） 2017.04.11发布《信息安全技术 数据出境安全评估指南》（征求意见稿）2017.08.30发布-5月发布草案《信息安全技术 个人信息出境安全评估指南》（送审稿）2020.12.10《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0 》2022.12.16发布-11月发布征求意见稿《信息安全技术 个人信息跨境传输认证要求 》（草案）2022.发布《网络安全法》2016.11.07发布《个人信息出境安全评估办法》（征求意见稿）2019.06.13发布《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》2022.06.24发布-4月发布征求意见稿《个人信息出境标准合同办法》（征求意见稿）2022.06.30发布《数据出境安全评估办法》2022.07.07发布-2021.10.29发布征求意见稿《数据出境安全评估申报指南（第一版）》2023.05.30发布数据处理者将在境内运营中收集和产生的数据传输、存储至境外数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以访问或者调用数据出境（《国家网信办答记者问》）《数据出境安全评估办法》n第二条 数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估，适用本办法。法律、行政法规另有规定的，依照其规定。 《个人信息出境标准合同办法》2023.02.22日发布《个人信息出境标准合同备案指南（第一版）》2023.05.30发布3© 2020 ISACA All rights reserved. 数据出境安全评估整体情况回顾•数据出境安全评估的数量逐步增加，对于评估涉及的常见问题有了更细致的填写指引。•对于普遍关注的不同场景如何申报的问题，特别是如何拆分与合并，进行了调整。•已有企业通过安全评估。首都医科大学附属北京友谊医院和中国国际航空股份有限公司2家单位的相关数据出境场景已获国家互联网信息办公室批准，成为全国前两个数据合规出境项目。•表达申报意愿的企业数量仍在增加。•数据安全评估过程中的部分疑难问题仍然未有清晰界定，例如整体数据处理情况要写到多么详细，链路和IP地址的填写颗粒度问题，法律协议的条款等。•已经递交申请的企业普遍关注能否按照法定期限（5个工作日内完成完备性查验，45个工作日内完成数据出境安全评估）审结。4© 2020 ISACA All rights reserved. 备案主体是否是母子公司或兄弟关系出具书面授权委托书标准合同“附录二”中明确受该合同条款约束的相关子公司信息在个人信息保护影响评估报告第二部分中对相关情况进行详细描述系统部署问题管辖问题 5© 2020 ISACA All rights reserved. 特殊行业经验汽车数据安全管理情况报告与出境安全评估内容有重叠，具有借鉴意义。 6© 2020 ISACA All rights reserved. 参与标准的经验行业主管部门与网信办会沟通出境问题。有场景需要跨部门评估。大类子类场景描述售后服务类零配件维修更换向境外提供有关数据，用于进口零配件或将故障件退回海外进行维修更换等故障分析车辆发生故障或需要召回时，向境外提供车辆信息、用户信息等数据用户投诉处理用户投诉问题时，向境外提供用户信息、投诉内容、车辆识别码、故障分析等数据升级类汽车软件与固件在线升级境内团队开发的升级包，传输至海外OTA升级平台，进行同步更新测试类测试研发（非重要核心数据）使用境外系统进行算法开发和算法调试时，相关数据需传输到境外，在境外系统上进行后续研发调试个人信息管理类账号信息同步全球用户统一账号与用户中心实现数据同步，需向境外提供相关数据出口二手车出口二手车出口时，车机存储的个人信息、车辆信息等传输到境外二手汽车零部件出口二手汽车零部件出口时，零部件设备存储的个人信息、设备数据等传输到境外7© 2020 ISACA All rights reserved. 其他应对监管经验双新评估关注要点自评估分析1.舆论属性和社会动员能力较强/一般/较弱2.安全保障能力(1)信息内容审核能力(2)信息源安全管理能力(3)用户安全管理能力(4)监测预警和应急处置能力(5)服务稳定运行及数据安全保护能力3.安全风险分析同上4.安全保障不足5.其他应当说明的情况考虑境外资本、境外服务器等因素个人信息跨境提供合规审计重点审计内容（一）关键信息基础设施运营者和处理100万人以上个人信息的个人信息处理者向境外提供个人信息是否经过国家网信部门组织的安全评估；（二）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的个人信息处理者向境外提供个人信息是否经过国家网信部门组织的安全评估；（三）是否存在向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息的情形，若有，是否经过中华人民共和国主管机关批准；（四）中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，是否按照其规定执行；（五）是否按照国家网信部门的规定，经专业机构进行个人信息保护认证或者按照国家网信部门制定的标准合同与境外接收方签订合同，或者符合法律、行政法规、国家网信部门规定的其他条件；（六）是否了解境外接收方所在国家或者地区的个人信息保护政策和网络安全环境对出境个人信息的影响；（七）是否存在违规向被列入限制或者禁止个人信息提供清单的组织和个人提供个人信息的情形。8© 2020 ISACA All rights reserved. 特定类型数据出境要求梳理表 禁止出境、限制出境禁止出境、限制出境 限制出境限制出境限制出境严禁出境、限制出境保险业涉及国家安全类 期货业涉及国家秘密类个人信息档案管理类限制出境限制出境* 限制出境限制出境限制出境限制出境基金业出口管制类 会计行业核心数据金融行业（一般）征信业限制出境限制出境 禁止出境、限制出境禁止出境、限制出境限制出境限制出境医疗健康行业重要数据 种质资源（遗传资源）类关键信息基础设施银行业证券业 限制出境限制出境 限制出境限制出境限制出境禁止出境、限制出境快递行业测绘行业 科学技术、科技成果气象行业电力行业出版服务业禁止出境、限制出境限制出境 限制出境限制出境限制出境限制出境石油资源类汽车行业 其它电信行业传媒行业新闻业