为常态化作念好国度数据跨境策略宣传服务，促进数据照章有序流动，深圳市互联网信息办公室建树了数据跨境策略接洽服务电话0755-83087201，会同聚积安全济急技艺国度工程研究中心编制了《深圳市数据出境安全评估申诉服务迷惑》《深圳市数据出境风险自评估迷惑》，以更好地携带和匡助数据处理者程序开展数据出境行径。

深圳市数据出境安全评估申诉服务迷惑

（2024版）

为携带和匡助数据处理者程序、有序申诉数据出境安全评估，左证《数据出境安全评估方针》《促进和程序数据跨境流动端正》《数据出境安全评估申诉指南（第二版）》，制定本迷惑。

一、相关用语

本迷惑下列用语的含义：

（一）数据

数据，是指任因何电子或者其他方式对信息的纪录。

开首：《中华东说念主民共和国数据安全法》第三条。

（二）数据处理

数据处理，包括数据的网罗、存储、使用、加工、传输、提供、公开等。

开首：《中华东说念主民共和国数据安全法》第三条。

（三）个东说念主信息

个东说念主信息，所以电子或者其他方式纪录的与已识别或者可识别的当然东说念主相关的各式信息，不包括匿名化处理后的信息。

开首：《中华东说念主民共和国个东说念主信息保护法》第四条。

（四）敏锐个东说念主信息

敏锐个东说念主信息，是一朝败露或者不法使用，容易导致当然东说念主的东说念主格尊荣受到侵害或者东说念主身、财产安全受到危害的个东说念主信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、萍踪轨迹等信息，以及起火十四周岁未成年东说念主的个东说念主信息。

开首：《中华东说念主民共和国个东说念主信息保护法》第二十八条。

（五）弥留数据

弥留数据，是指一朝遭到点窜、碎裂、败露或者不法获取、不法利用等，可能危害国度安全、经济启动、社会清爽、民众健康和安全等的数据。

开首：《数据出境安全评估方针》第十九条。

数据处理者应当按影相关端正识别、申诉弥留数据。未被相关部门、地区见知或者公斥地布为弥留数据的，数据处理者不需要作为弥留数据申诉数据出境安全评估。

开首：《促进和程序数据跨境流动端正》第二条。

（六）数据处理者

数据处理者，是指在数据处理行径中自主决定处理策画和处理方式的个东说念主和组织。

开首：《聚积数据安全经管条例（征求观念稿）》附则第七十三条。

（七）向境外提供数据

本迷惑所称向境外提供数据主要指以下数据处理行径：

1.数据处理者将在境内运营中网罗和产生的数据传输至境外；

2.数据处理者网罗和产生的数据存储在境内，境外的机构、组织或者个东说念主不错查询、调取、下载、导出；

3.妥贴《个东说念主信息保护法》第三条第二款情形，在境外处理境内当然东说念主个东说念主信息等其他数据处理行径。

开首：《数据出境安全评估申诉指南（第二版）》第（一）条。

二、申诉主体

本迷惑适用申诉主体为注册地在深圳市的开展数据处理行径的组织，或在深圳市开展数据处理行径的个东说念主。

三、申诉情形

数据处理者向境外提供数据，有下列情形之一的，应当参照本迷惑，通过广东省互联网信息办公室（以下简称省网信办）向国度互联网信息办公室（以下简称国度网信办）申诉数据出境安全评估：

（一）环节信息基础设施运营者向境外提供个东说念主信息或者弥留数据；

（二）环节信息基础设施运营者除外的数据处理者向境外提供弥留数据，或者自昔日1月1日起累计向境外提供100万东说念主以上个东说念主信息（不含敏锐个东说念主信息）或者1万东说念主以上敏锐个东说念主信息。

属于《促进和程序数据跨境流动端正》第三条、第四条、第五条、第六条文矩情形的，从其端正；适用《粤港澳大湾区（内地、香港）个东说念主信息跨境流动尺度合同实施迷惑》端正情形的，从其端正。

四、申诉方式

数据处理者申诉数据出境安全评估，应当通过数据出境申诉系统提交申诉材料，系统网址为https://sjcj.cac.gov.cn。环节信息基础设施运营者或者其他不妥贴通过数据出境申诉系统申诉数据出境安全评估的，选择线下方式通过省网信办向国度网信办申诉数据出境安全评估，申诉方式为投递书面申诉材料并附带材料电子版，书面申诉材料需装订成册。

五、申诉经由

数据出境安全评估申诉服务东要包括以下才略：

（一）判断是否妥贴申诉情形。数据处理者全面梳理所处理的数据，判断是否妥贴需要申诉数据出境安全评估的情形。

（二）开展数据出境风险自评估。数据处理者在申诉数据出境安全评估前应当自行或委用第三方开展数据出境风险自评估，左证自评估情况进行整改。重心评估以下事项：

1.数据出境和境外继承方处理数据的策画、范围、方式等的正当性、正直性、必要性；

2.出境数据的范畴、范围、种类、敏锐进程，数据出境可能对国度安全、民众利益、个东说念主或者组织正当职权带来的风险；

3.境外继承方承诺承担的背负义务，以及履行背负义务的经管和技艺步履、智力等能否保险出境数据的安全；

4.数据出境中庸出境后遭到点窜、碎裂、败露、丢失、和洽或者被不法获取、不法利用等的风险，个东说念主信息职权爱戴的渠说念是否流畅等；

5.与境外继承方拟坚韧的数据出境相关合同或者其他具有法律效劳的文献等（以下统称“法律文献”）是否充分商定了数据安全保护背负义务；

6.其他可能影响数据出境安全的事项。

（三）准备申诉材料。申诉材料要求见附件1，主要包括：

1.融合社会信用代码证件影印件

2.法定代表东说念主身份证件影印件

3.承办东说念主身份证件影印件

4.承办东说念主授权委用书（模板见附件2）

5.数据出境安全评估申诉书（模板见附件3）

6.与境外继承方拟坚韧的数据出境相关合同或者其他具有法律效劳的文献，至少包括以下内容：

（1）数据出境的策画、方式和数据范围，境外继承方处理数据的用途、方式等；

（2）数据在境外保存方位、期限，以及达到保存期限、完成商定策画或者法律文献拒绝后出境数据的处理步履；

（3）对于境外继承方将出境数据再和洽给其他组织、个东说念主的不停性要求；

（4）境外继承方在实践章程权或者筹备范围发生本质性变化，或者所在国度、地区数据安全保护策略律例和聚积安全环境发生变化以及发生其他不可抗力情形导致难以保险数据安全时，应当选择的安全步履；

（5）违背法律文献商定的数据安全保护义务的救援步履、背约背负和争议处罚方式；

（6）出境数据遭到点窜、碎裂、败露、丢失、和洽或者被不法获取、不法利用等风险时，妥善开展济急处置的要乞降保险个东说念主爱戴其个东说念主信息职权的路线和方式。

7.数据出境风险自评估论说（需盖印，题名时刻不得早于申诉之日前３个月，模板见附件4）

8.其他相关解说材料，主要包括申诉书、自评估论说触及的相关解说材料等。

（四）提交申诉材料。数据处理者通过数据出境申诉系统提交申诉材料，系统网址为https://sjcj.cac.gov.cn。环节信息基础设施运营者或者其他不妥贴通过数据出境申诉系统申诉数据出境安全评估的，选择线下方式通过省网信办向国度网信办申诉数据出境安全评估，申诉方式为投递书面申诉材料并附带材料电子版（可光盘刻录），书面申诉材料需装订成册。

（五）检验申诉材料。省网信办在数据处理者提交申诉材料之日起5个服务日内完成申诉材料完备性检验，并向数据处理者见知检验扫尾。通过完备性检验的，省网信办将申诉材料提请国度网信办受理；未通过完备性检验的，省网信办向数据处理者见知未通过完备性检验原因。

（六）反馈受理情况。国度网信办将在收到申诉材料之日起7个服务日内，详情是否受理并书面通告数据处理者。赐与受理的，参加安全评估阶段。

（七）补充或调动材料。在安全评估阶段，数据处理者如被见知需要补充或者调动申诉材料，应当按照见知要求实时补充或者调动材料。无正直原理不补充或者调动申诉材料的，国度网信办不错拒绝安全评估。情况复杂或者需要补充、调动材料的，国度网信办不错适合蔓延评估时刻，并见知数据处理者预测蔓延的时刻。

（八）继承评估扫尾。评估完成后，国度网信办向数据处理者出具评估扫尾通告书。数据处理者应当按照数据出境安全经管相关法律律例和评估扫尾通告书的相关要求，程序相关数据出境行径。数据处理者对评估扫尾有异议的，不错在收到评估扫尾通告书15个服务日内向国度网信办苦求复评，复评扫尾为最终论断。

六、从头评估

在数据出境安全评估的扫尾灵验期内出现以下情形之一的，数据处理者应当从头申诉评估：

（一）向境外提供数据的策画、方式、范围、种类和境外继承方处理数据的用途、方式发生变化影响出境数据安全的，或者蔓延个东说念主信息和弥留数据境外保存期限的；

（二）境外继承方所在国度或者地区数据安全保护策略律例和聚积安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外继承方实践章程权发生变化、数据处理者与境外继承方法律文献变更等影响出境数据安全的；

（三）出现影响出境数据安全的其他情形。

通过数据出境安全评估的扫尾灵验期为3年，自评估扫尾出具之日起计较。灵验期届满，需要不时开展数据出境行径且未发生需要从头申诉数据出境安全评估情形的，数据处理者不错在灵验期届满前60个服务日内通过省网信办向国度网信办提议蔓延评估扫尾灵验期苦求。经国度网信办批准，不错蔓延评估扫尾灵验期3年。

七、接洽、举报接洽方式

接洽电话：010-55627135

020-87100794

八、矜重事项

1.数据处理者对所提交申诉材料的实在性认真，提交纰缪材料的，按照评估欠亨过处理，并照章精雅相应法律背负。

2.数据处理者向境外提供个东说念主信息的，应当按照法律、行政律例的端正履行见知、取得个东说念主单独欢跃、进行个东说念主信息保护影响评估等义务。

3.数据处理者向境外提供数据的，应当征服法律、律例的端正，履行数据安全保护义务，选择技艺步履和其他必要步履，保险数据出境安全。发生或者可能发生数据安全事件的，应当选择救援步履，实时向省级以上网信部门和其他相关驾驭部门论说。

4.深圳市互联网信息办公室照章加强对数据处理者数据出境行径的携带监督，健全完善数据出境安全评估轨制，优化评估经由；强化事先事中过后全链条全鸿沟监管，发现数据出境行径存在较大风险或者发生数据安全事件的，要求数据处理者进行整改，摒除隐患；对拒不改正或者形成严重后果的，照章精雅法律背负。

附件：1.数据出境安全评估申诉材料要求

2.承办东说念主授权委用书（模板）

3.数据出境安全评估申诉书（模板）

4.数据出境风险自评估论说（模板）

向下滑动检讨通盘内容

深圳市数据出境风险自评估迷惑

（2024版）

为携带和匡助数据处理者程序开展数据出境行径，促进数据出境安全、有序流动，左证《中华东说念主民共和国数据安全法》《中华东说念主民共和国个东说念主信息保护法》《促进和程序数据跨境流动端正》等法律律例，制定本迷惑。

一、适用范围

数据处理者向境外提供数据，可参照本迷惑开展数据出境风险自评估服务，以及个东说念主信息保护影响评估、数据安全风险评估、个东说念主信息保护合规审计等触及数据出境场景的服务。

二、术语界说

（一）出境

出境，是指由中国内地向其他国度或者地区，由中国内地向香港特出行政区、澳门特出行政区，由中国大陆向台湾地区。

参考：《中华东说念主民共和国出境入境经管法》第八十九条。

（二）数据

数据，是指任因何电子或者其他方式对信息的纪录。

开首：《中华东说念主民共和国数据安全法》第三条。

（三）数据处理

数据处理，包括数据的网罗、存储、使用、加工、传输、提供、公开等。

开首：《中华东说念主民共和国数据安全法》第三条。

（四）数据出境行动

以下情形属于数据出境行动：

1.数据处理者将在境内运营中网罗和产生的数据传输至境外；

2.数据处理者网罗和产生的数据存储在境内，境外的机构、组织或者个东说念主不错查询、调取、下载、导出；

3.妥贴《个东说念主信息保护法》第三条第二款情形，在境外处理境内当然东说念主个东说念主信息等其他数据处理行径。

开首：《数据出境安全评估申诉指南（第二版）》第（一）条。

（五）个东说念主信息

个东说念主信息，所以电子或者其他方式纪录的与已识别或者可识别的当然东说念主相关的各式信息，不包括匿名化处理后的信息。

开首：《中华东说念主民共和国个东说念主信息保护法》第四条。

（六）个东说念主信息处理者

个东说念主信息处理者，是指在个东说念主信息处理行径中自主决定处理策画、处理方式的组织、个东说念主。

开首：《中华东说念主民共和国个东说念主信息保护法》第七十三条。

（七）弥留数据

弥留数据，是指一朝遭到点窜、碎裂、败露或者不法获取、不法利用等，可能危害国度安全、经济启动、社会清爽、民众健康和安全等的数据。

开首：《数据出境安全评估方针》第十九条。

（八）数据处理者

数据处理者，是指在数据处理行径中自主决定处理策画和处理方式的个东说念主和组织。

开首：《聚积数据安全经管条例（征求观念稿）》附则第七十三条。

三、自评估概述

（一）自评估策画

数据出境风险自评估是数据处理者开展数据出境经管服务的必要基础和依据，数据处理者应充分期骗自评估扫尾，确保数据出境经管的资源、技艺保险智力与评估所识别的风险相匹配，将风险章程在可领受的水平，最大截至地保险出境数据的安全。

（二）自评估原则

数据处理者开展自评估服务应当妥贴法律、律例和强制性国度尺度的端正，并对其数据处理行径认真。

1.全面性原则。数据处理者应从组织架构、业务、数据等方面梳理出境行径。

2.客不雅性原则。数据处理者应以客不雅公平的格调网罗相关数据和贵寓，以充分完满的事实为依据，勤勉全面准确地响应其存在或可能存在的数据出境风险。

3.匹配性原则。数据出境风险自评估应当与国度数据分类分级保护轨制、弥留数据目次经管服务相匹配。

4.灵验性原则。适用数据出境安全评估要求的自评估服务应当在申诉前3个月内完成，其他触及数据出境场景的评估服务应当在法律律例要求的期限内完成。

5.执续性原则。数据处理者应当以自评估扫尾为基础，制定、完善数据出境经管步履，针对自评估识别的高风险或较高风险情形，应当选择强化步履，经管和裁汰风险，并执续追踪履行情况。

（三）自评估方式

数据处理者不错自行开展数据出境风险自评估服务，也不错委用第三方机构协助开展。

四、自评估经由

数据处理者开展数据出境风险自评估服务，主要包括自评估准备、决策落实和论说编制三个阶段。

（一）自评估准备阶段

数据处理者应按照国度数据出境安全经管相关法律律例、行业驾驭部门和国度尺度的要求，并联结自己的实践情况，充分作念好自评估的准备服务，至少包括以下服务：

1.成立互助机制组。数据处理者应明确数据安全认真东说念主，全面认真数据出境风险自评估服务，指定数据出境经管牵头部门，配备数据出境安全经管的相关资源。数据出境经管牵头部门连络业务、法务、信息化等部门，组建互助机制组。互助机制组组织互助自评估举座服务，携带相关业务线、部门、分支机构按照自评估决策承担其自评估职责，确保自评估的客不雅性与独处性。

2.成立自评估服务组。数据处理者应遴荐具备相关专科智力的评估东说念主员构成自评估服务组，认真准备自评估器具和文档、开展风险自评估、分析数据出境风险情况、编制自评估论说等具体自评估服务的履行，并依期向互助机制组通告技俩发达。

3.明确自评估决策。数据处理者应在开展自评估服务前，明确自评估方法、厘清自评估场景、编制自评估内容和相关调研清单等，形成自评估决策。初步分析数据出境行径触及的主体、业务、系统平台、出境数据等，详情本次自评估的范围。

4.数据处理者合计需要准备的其他事项。

（二）自评估决策落实

数据处理者主要从信息网罗、风险分析、转换步履和全面研判等四个方面开展自评估决策的落实服务。

1.信息网罗

自评估服务组通过贵寓检验、东说念主员访谈、系统演示、技艺测试等方式，联结调研清单开展信息网罗服务，厘清和分析数据处理者基本情况、拟出境数据情况、数据处理者数据安全保险智力情况、境外继承方情况、法律文献商定数据安全保护背负义务的情况等，形成数据出境信息网罗论说。重心网罗识别以下事项：

（1）识别数据处理者的基本情况。观察了解股权结构、实践章程东说念主、境表里投资情况、组织架构和数据安全经管机构、举座业务与数据钞票等信息。

（2）识别拟出境数据情况。观察了解数据出境触及业务、数据钞票；数据出境及境外继承方处理数据的策画、范围、方式，过甚正当性、正直性、必要性；按照申诉业务场景梳理对应的出境数据项情况，吞并场景下的数据项需去重；拟出境数据在境内存储的系统平台、数据中心（包含云服务）等情况，数据出境链路相关情况，计划出境后存储的系统平台、数据中心等；数据出境后向境外其他继承方提供的情况；触及个东说念主信息的，按照当然东说念主（去重）统计昔日的出境数目，预估改日3年的出境数目。

（3）识别数据处理者数据安全保险智力情况。观察了解数据处理者经管组织体系和轨制建树情况，全经由经管、分类分级、济急处置、风险评估、个东说念主信息职权保护等轨制及落实情况，其中触及个东说念主信息出境的，需取得见知义务和取得个东说念主的单独欢跃等佐证材料；数据网罗、存储、使用、加工、传输、提供、公开、删除等全经由所选择的安全技艺步履等；数据安全保险步履灵验性解说；征服数据和聚积安全相关法律律例的情况，其中触及行政处罚和监管整改的，需取得解说整改完成的相关佐证材料。

（4）识别境外继承方情况。观察了解境外继承方基本情况，处理数据的用途、方式，履行背负义务的经管和技艺步履、智力等。

（5）识别法律文献商定数据安全保护背负义务的情况。观察了解数据出境的策画、方式和数据范围，境外继承方处理数据的用途、方式等；数据在境外保存方位、期限，以及达到保存期限、完成商定策画或者法律文献拒绝后出境数据的处理步履；对于境外继承方将出境数据再和洽给其他组织、个东说念主的不停性要求；境外继承方在实践章程权或者筹备范围发生本质性变化，或者所在国度、地区数据安全保护策略律例和聚积安全环境发生变化，以及发生其他不可抗力情形，导致难以保险数据安全时，应当选择的安全步履；违背法律文献商定的数据安全保护义务的救援步履、背约背负和争议处罚方式；出境数据遭到点窜、碎裂、败露、丢失、和洽或者被不法获取、不法利用时，妥善开展济急处置的要乞降保险个东说念主爱戴其个东说念主信息职权的路线和方式。

（6）数据处理者合计需要网罗的其他事项。

2.风险分析

自评估服务组通过数据出境行径的正当、正直、必要性，出境数据的范畴、范围、种类、敏锐进程，数据出境中庸出境后可能存在的安全风险，境外继承方数据保护智力灵验性、法律文献商定背负义务的充分性等方面研判数据出境风险。重心分析以下事项：

（1）业务合规性风险。数据处理者通过梳理业务经由，识别其是否与面前国度法律律例要求、行业驾驭部门端正和国度尺度建议等存在差距。

（2）出境数据风险。数据处理者通过数据钞票盘货，梳理出境数据的范畴、范围、种类、敏锐进程，识别出境数据中是否包含敏锐个东说念主信息或弥留数据，是否存在毋庸要的出境数据等。

（3）数据安全经管风险。数据处理者通过东说念主员访谈、检验安全经管轨制，识别是否明确数据安全经管机构、建树数据安全认真东说念主、建立数据安全经管轨制体系、落实经管监督窥察机制等。

（4）数据安全技艺保险风险。数据处理者通过技艺器具、浸透测试等妙技检测数据安全保险珍贵步履灵验性，识别应付数据被点窜、碎裂、败露、丢失、和洽或者被不法获取、不法利用等风险的数据安全技艺智力。

（5）境外继承方风险。数据处理者通过访谈境外继承方东说念主员，调研相关经管轨制，研判境外继承方的数据处理经由、数据安全保险智力、境外法律环境是否冒失保险出境数据的安全。

（6）法律文献风险。数据处理者与境外继承方签订或拟签订的相关数据出境的法律文献是否充分商定出境数据储存情况、出境数据再和洽要求、境外继承方变化应付步履、违背合同应付步履、出境数据职权保险等数据安全保护背负义务。

（7）数据处理者合计需要开展风险分析的其他事项。

3.转换步履

数据处理者针对已识别的安全隐患，从转换数据出境业务经由、完善数据出境安全经管轨制、建树技艺珍玉体系、加强法律条件不停等方面逐个提议相应的转换步履。主要包括以下事项：

（1）针对业务合规性风险。数据处理者应严格落实《聚积安全法》、《数据安全法》、《个东说念主信息保护法》对于数据出境安全经管的端正，对业务模式进行必要调整。

（2）针对出境数据风险。数据处理者应筛除毋庸要的数据出境字段，对敏锐个东说念主信息和弥留数据选择脱敏、去标记等必要的技艺妙技，以裁汰出境数据可能对国度安全、民众利益、个东说念主或者组织正当职权带来的风险。

（3）针对数据安全经管风险。数据处理者应建立或完善数据安全经管组织架构，建树数据安全认真东说念主等环节岗亭。健全数据处理行径全经由、数据分类分级、济急处置、个东说念主信息职权保护等经管轨制，并执续追踪转换情况。

（4）针对数据安全技艺保险相关风险。数据处理者应围绕数据的网罗、存储、使用、加工、传输、提供、公开、删除等数据处理全经由，加强数据安全基础保险智力，选择身份辩认、看望章程、权限经管、监测预警、数据防清楚等技艺妙技对出境数据进行安全保护，建立数据安全技艺保险机制，搭建数据出境风险防控体系。

（5）针对境外继承方相关风险。境外继承方应明确数据处理的全经由，选择与风险进程相匹配的保险步履，确保数据安全保护智力不低于我王法律和行政律例端正的尺度。

（6）针对数据安全保护背负义务不停相关风险。数据处理者应当通过法律文献不停境外继承方，对于不妥贴要求的已签订法律文献，应与境外继承方协商修改法律文献商定条件或签署数据出境补充合同等，充分商定数据安全保护背负义务。

（7）数据处理者合计需要转换的其他事项。

4.全面研判

数据处理者针对已识别的风险选择的转换步履，进行灵验性评价。从数据出境安全风险一朝发生，对国度安全、社会民众利益、其他组织或者个东说念主的正当职权形成的危害进程进行分析，同期考虑风险发生可能性、出境数据敏锐进程和弥留性、安全步履灵验性和经管轨制完备性等身分，研判自评估论断。必要时可邀请行业鸿沟和数据安全、法律、技艺等方面众人对自评估论断进行评议。

（三）编制自评估论说

数据处理者抽象上述各阶段服务后果完成自评估论说。自评估论说应当包括自评估服务情况、出境行径举座情况、出境行径的风险自评估情况及论断等主要内容（数据出境风险自评估论说模板见附件1，本迷惑与数据出境风险自评估论说模板内容对比见附件2）。同期，数据处理者应行为念好相关佐证材料的纪录和保存服务。

附件：1.数据出境风险自评估论说（模板）

2.深圳市数据出境风险自评估迷惑与数据出境风险自评估论说（模板）内容对比

向下滑动检讨通盘内容

（信息开首：深圳发布、深圳市互联网信息办公室）

开首：深圳梦（微信号ID：SZeverything）抽象

咱们的服务是：星辰大海，只与梦念念者同业！

领有深圳梦，请关怀（微信号ID：SZeverything）