数据出境风险自评估流程.docx

-35

数据出境风险自评估流程

数据处理者开展数据出境风险自评估工作，包括方案准备、方案实施、编制报告、后续跟进四个阶段。

（一）方案准备阶段1.组建专业团队

（1）协调机制组设立：数据处理者应成立由数据安全负责人领导的协调机制组，成员涵盖业务、法务、信息化等部门，

负责整体协调与指导自评估工作，确保评估的客观性与独立性。

（2）实施工作组设立：选拔具备专业能力的评估人员，组建自评估工作组，负责具体执行自评估任务，包括工具准备、文档编制、风险评估及报告撰写等，并定期向协调机制组汇报进展。

2.制定评估方案

数据处理者需明确自评估的目标、范围、方法及时间表，制定详细的自评估方案。通过初步分析数据出境活动涉及的主体、业务、系统平台及出境数据等，确定评估的重点领域与关键环节。

-36

（二）方案实施阶段

1.内部尽调

为全面审视数据出境活动的各个方面，自评估工作组应采取多元化内部尽调方法，包括但不限于资料详尽审查、人员深入访谈、系统直观演示及严格技术测试，同时紧密结合预先设定的调研清单，确保信息的全面性和准确性。该过程旨在清晰勾勒出数据处理者的基本概况、拟出境数据的详尽面貌、数据安全保障能力现状、境外接收方的资质与能力，以及法律文件中关于数据安全保护责任的具体约定。

（1）归集数据处理者基础信息

首先对数据处理者的基础信息进行全面调查，涵盖其股权架构、实际控制人背景、境内外投资布局、组织架构形态特别是数据安全管理部门的设置情况，以及整体业务运作与数据资产概况。该等信息的收集为了解数据处理者的整体运营环境和数据现状提供坚实基础。

（2）全面梳理拟出境数据

针对拟出境数据，自评估工作组应详细了解所涉业务领域和数据底层情况，深入分析数据出境及其后续处理的目的、范围、方式，并严格评估其合法性、正当性和必要性。按照具体业务场景，逐一梳理对应的出境数据项，确保同一场景下数据

-37

项不重复统计。同时关注拟出境数据在境内的存储环境（包括但不限于信息系统平台和数据中心，特别是云服务的使用情况），数据出境链路的具体信息，以及出境后计划存储的信息系统平台和数据中心。对于涉及个人信息的数据，应特别注重统计当年的出境数量，并预估未来三年的潜在出境量。

（3）综合评估数据安全保障能力

在评估数据处理者的数据安全保障能力时，自评估工作组应考察管理组织体系和制度建设情况，包括全流程管理、数据分类分级、应急响应机制、风险评估流程、个人信息权益保护等方面的制度建立及执行情况。涉及个人信息出境的，应关注告知义务的履行和个人单独同意的获取情况。同时，应考量数据处理者在数据收集、存储、使用、加工、传输、提供、公开、删除等各个环节所采取的安全技术措施并予以技术验证，核实数据处理者遵守数据和网络安全相关法律法规的情况。

（4）境外接收方资质与能力的严格考察

针对境外接收方，自评估工作组应详细调查其基本情况、处理数据的具体用途和方式，以及为履行数据安全保护责任所采取的管理和技术措施。

（5）深度解析法律文件条款

-38

自评估工作组应就法律文件详细审查其数据出境的目的、

方式和数据范围，以及境外接收方处理数据的具体方式和用途，包括但不限于：数据在境外的保存地点和期限，以及达到保存期限、完成约定目的或法律文件终止后出境数据的处理措施；

法律文件中对于境外接收方将数据再转移给其他组织或个人的约束性要求；在特定情况下（如实际控制权或经营范围发生实质性变化、所在国家或地区数据安全保护政策法规和网络安全环境发生变化等）应采取的安全措施。对于违反法律文件约定的数据安全保护义务的情形，应关注关于补救措施、违约责任和争议解决方式的约定。同时，还应关注出境数据在遭受篡改、破坏、泄露等风险时的应急处置要求和保障个人维护其个人信息权益的途径和方式。

2.尽调分析

基于收集到的信息，自评估工作组应从多维度对数据出境活动进行风险分析，包括但不限于：

（1）业务合规性风险：评估数据处理者的业务模式是否符合国家法律法规、行业标准及内部管理制度要求。

（2）出境数据风险：识别出境数据中是否包含敏感个人信息或重要数据，评估数据出境的必要性及潜在风险。

-39

（3）数据安全管理风险：检查数据安全管理体系的完整性、有效性及执行情况，识别管理漏洞与不足。

（4）数据安全技术保障风险：评估数据处理者在数据收集、存储、使用、传输等环节的技术防护措施是否到位，能否有效应对数据泄露、篡改