除 PIA 之外,当企业符合需要向网信部门申报数据出境安全评估的情形时,企业还应当组织开展数据出境风险自评估,作为申报的前置程序。
《评估申报指南(第二版)》附件 4《数据出境风险自评估报告(模版)》明确规定自评估报告应当严格按照模版撰写,包含以下内容:
1. 自评估工作情况;
2. 出境活动整体情况:
⚫ 数据处理者基本情况,包括基本情况简介、组织架构和数据安全管理机构信息、整体业务与数据资产情况;
⚫ 拟出境数据情况,包括
①数据出境涉及业务、数据资产等情况
② 数据出境及境外接收方处理数据的目的、范围、方式,及其合法性、正当性、必要性
③按照申报业务场景梳理对应的出境数据项情况
④拟出境数据在境内存储的系统平台、数据中心(包含云服务)等情况,数据出境链路相关情况,计划出境后存储的系统平台、数据中心等
⑤数据出境后向境外其他接收方提供的情况
⑥涉及个人信息的,按照自然人(去重)统计当年的出境数量,预估未来 3 年
的出境数量;
⚫ 数据处理者数据安全保障能力情况,包括数据安全管理能力、数据安全技术能力、数据安全保障措施有效性证明、遵守数据和网络安全相关法律法规的情况;
⚫ 境外接收方情况,包括境外接收方基本情况、境外接收方处理数据的用途、方式等、境外接收方履行责任义务的管理和技术措施、能力等;
⚫ 法律文件约定数据安全保护责任义务的情况,包括
①数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等
②数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施
③对于境外接收方将出境数据再转移给其他组织、个人的约束性要求
④境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化,以及发生其他不可抗力情形,导致难以保障数据安全时,应当采取的安全措施
⑤违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式
⑥出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式
⚫ 数据处理者认为需要说明的其他情况。
3. 出境活动的风险自评估情况及结论:
对照《评估办法》第五条规定的如下评估事项,说明数据出境风险自评估情况,重点说明自评估发现的问题和整改情况,对拟申报的数据出境活动作出客观的风险自评估结论,充分说明得出自评估结论的理由:
⚫ 数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
⚫ 出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
⚫ 境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
⚫ 数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
⚫ 与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等是否充分约定了数据安全保护责任义务;
⚫ 其他可能影响数据出境安全的事项。
来源:环球律师事务所等团队