海南省数据出境安全评估申报工作指引（第三版）

海南省数据出境安全评估申报工作指引

（第三版）

为指导和帮助数据处理者规范、有序申报数据出境安全评估，保障数据要素安全跨境流动，海南省互联网信息办公室（以下简称“省网信办”）根据《数据出境安全评估办法》（以下简称《办法》）《促进和规范数据跨境流动规定》以及国家互联网信息办公室（以下简称“国家网信办”）《数据出境安全评估申报指南（第三版）》，结合海南自由贸易港建设实际，制定本指引。

一、术语

（一）数据，本指引所称数据是指任何以电子或者其他方式对信息的记录。

（二）重要数据，本指引所称重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。数据处理者需根据相关行业标准界定出境数据是否为重要数据，如无行业标准，可参考如下标准：

1.未公开的政务数据、工作秘密、情报数据和执法司法数据；

2.重点行业和领域安全生产、运行的数据，关键系统组件、设备供应链数据；

3.达到国家有关部门规定规模或者精度的基因、地理、矿产、气象等国家基础数据；

4.影响关键信息基础设施安全稳定运行的数据，国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据；

5.出口管制物项涉及的核心技术、设计方案、生产工艺等相关数据，密码、生物、电子信息、人工智能等领域对国家安全、经济竞争力有直接影响的科学技术成果数据；

6.国家法律、行政法规、部门规章明确规定需要保护或者限制处理的国家经济运行数据、重要行业和领域业务数据、统计数据等；

7.其他一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。

数据处理者还应参照《数据安全技术数据分类分级规则》（GB/T 43697-2024）附录G《重要数据识别指南》以及《海南自由贸易港数据出境管理清单（负面清单）》等文件，准确识别重要数据。

（三）个人信息，本指引所称个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

（四）敏感个人信息，本指引所称敏感个人信息是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

（五）数据处理，本指引所称数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。

二、适用范围

（一）适用主体

在海南注册并开展数据处理活动的法人、公共机构、政府机关等组织。

（二）适用情形

数据处理者向境外提供数据，有下列情形之一的，应当申报数据出境安全评估：

1.关键信息基础设施运营者向境外提供个人信息或者重要数据；

2.关键信息基础设施运营者以外的数据处理者向境外提供重要数据，或者自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息）或者1万人以上敏感个人信息。

属于《促进和规范数据跨境流动规定》第三条、第四条、第五条、第六条规定情形的，从其规定。属于《海南自由贸易港数据出境管理清单（负面清单）》及其他自贸区数据出境负面清单规定范围之外的数据出境活动，亦可依规免予申报。

以下情形属于数据出境行为：

1.数据处理者将在境内运营中收集和产生的数据传输至境外；

2.数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；

3.符合《个人信息保护法》第三条第二款情形，在境外处理境内自然人个人信息等其他数据处理活动。

三、申报方式

数据处理者申报数据出境安全评估，应当通过线上方式提交申报材料，系统网址为https://sjcj.cac.gov.cn，也可从中国网信网（https://www.cac.gov.cn）首页“全国网信政务办事大厅”栏目访问“数据出境申报系统”。

关键信息基础设施运营者或者其他不适合通过数据出境申报系统申报的，采用线下方式通过所在地省级网信办向国家网信办申报数据出境安全评估，申报方式为送达书面申报材料并附带材料电子版，书面申报材料需装订成册。

四、申报流程

（一）判断是否符合申报情形

数据处理者全面梳理处理和出境的数据，结合本指引第二章“适用范围”，判断是否符合需要申报评估的情形。对于海南自贸港内数据处理者，还应同时对照《海南自由贸易港数据出境管理清单（负面清单）》及其他自贸区数据出境管理负面清单，确认是否属于免予申报的情形。

（二）系统登录与项目申报

初次登录申报系统进行申报的数据处理者，点击“注册账户”，填写用户名、密码、手机号码等信息。注册成功后，登录申报系统进行基础信息录入，填写数据处理者单位名称、统一社会信用代码、单位注册所在省份（选择“海南省”）等。

数据处理者选择“数据出境安全评估”栏目，选择新增申报评估项目，并将准备好的申报材料进行上传。

（三）开展数据出境风险自评估

数据处理者自行或委托第三方开展数据出境风险自评估，自评估活动须在申报之日前3个月内完成，且至申报之日未发生重大变化。

（四）提交申报材料

申报材料要求见附件1，主要包括：

1.统一社会信用代码证件影印件（加盖公章）

2.法定代表人身份证件影印件（加盖公章）

3.经办人身份证件影印件（加盖公章）

4.经办人授权委托书（模板见附件2）

5.数据出境安全评估申报表（模板见附件3）

6.与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件（须明确订立日期、生效期限或有效期限；若仅有非中文版本，须同步提交中文版本；对数据出境相关约定条款作高亮、线框等显著标识；确保与申报书相关内容一致），至少包括以下内容：

（1）数据出境的目的、方式和数据范围，境外接收方处理数据的用途、方式等；

（2）数据在境外保存地点、期限，以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施；

（3）对于境外接收方将出境数据再转移给其他组织、个人的约束性要求；

（4）境外接收方在实际控制权或者经营范围发生实质性变化，或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时，应当采取的安全措施；

（5）违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式；

（6）出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时，妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。

7.数据出境风险自评估报告（落款时间不得早于申报之日前3个月，模板见附件4）

8.其他相关证明材料

数据处理者对所提交材料的真实性负责，故意提交虚假材料的，将被按照评估不通过处理，并将被依法追究相应法律责任。

（五）查验申报材料

省网信办收到申报材料后，在数据处理者提交申报材料之日起5个工作日内完成完备性查验，并同步更新申报系统内的完备性查验结果，将存在的问题一次性告知数据处理者。数据处理者应及时按照要求补充或更正材料，无正当理由不补充或更正的，安全评估将会终止。

查验内容主要包括：是否满足安全评估申报条件、申报材料是否齐全准确、自评估报告是否符合要求、法律文件是否全面有效、数据处理者是否有重大违法违规行为、是否存在重大数据安全风险且尚未完成整改、是否重复提交未评估通过场景等。

（六）反馈受理情况

国家网信办在收到申报材料之日起7个工作日内，确定是否受理并书面通知数据处理者。予以受理的，在45个工作日内完成安全评估，情况复杂或者需要补充、更正材料的，可适当延长并告知数据处理者预计延长的时间。数据处理者可通过申报系统及时查询了解评估进展。

在实施安全评估过程中，数据处理者如被告知补充或者更正申报材料，应当及时按照要求补充或者更正材料。无正当理由不补充或者更正的，安全评估将会终止。

（七）通知评估结果

评估完成后，国家网信办向数据处理者出具评估结果通知书。对评估结果无异议的，数据处理者须按照数据出境安全管理相关法律法规和评估结果通知书的有关要求，规范相关数据出境活动；对评估结果有异议的，数据处理者可在收到评估结果通知书15个工作日内向国家网信办申请复评，复评结果为最终结论。

五、申请延长评估结果有效期

根据《促进和规范数据跨境流动规定》，数据出境安全评估结果有效期为3年，自评估结果出具之日起计算。有效期届满，需要继续开展数据出境活动且符合申请延长条件的，数据处理者可以在有效期届满前60个工作日内提出延长评估结果有效期申请。

（一）适用条件

同时符合以下全部条件的，可申请延长：

1.数据出境的目的、范围等未发生变化；

2.数据处理者和境外接收方等未发生变化；

3.出境个人信息的，未来三年涉及自然人数量增幅不超过原评估结果准予过去三年出境数量的20%；

4.出境重要数据的，未来三年出境数据规模（MB/GB/TB）增幅不超过原评估结果准予过去三年出境数据规模的20%；

5.与境外接收方订立的法律文件符合《数据出境安全评估办法》第九条规定；

6.过去三年数据出境活动严格按照评估结果通知书合规开展，且未发生重大数据安全事件。

（二）申请方式与流程

数据处理者申请延长，通过申报系统提交申请材料。关键信息基础设施运营者或其他不适合通过系统申请的，采用线下方式提交。

线上申报项目：登录申报系统后，直接选择申报项目进行申请延长操作，上传申请材料；

线下申报项目：登录申报系统后，在“延长评估结果有效期”栏目下，输入原申报项目受理编号，上传申请材料。

申请材料包括：

1.统一社会信用代码证件影印件（无变化可不重新提供）

2.法定代表人身份证件影印件（无变化可不重新提供）

3.经办人身份证件影印件（无变化可不重新提供）

4.经办人授权委托书（模板见附件2）

5.延长评估结果有效期申请表（模板见附件5）

（三）完备性查验

省网信办在数据处理者提交申请材料之日起5个工作日内完成完备性查验，并同步更新系统内的完备性查验结果。通过后将申请材料提交国家网信办。

（四）延长审核

国家网信办自收到省网信办提交的申请材料之日起20个工作日内，确定是否准予延长并书面通知数据处理者。情况复杂或需要补充材料的，可适当延长审核时间。经批准延长的，有效期再延长3年。

六、其他

（一）数据处理者对所提交申报材料的真实性负责，故意提交虚假材料的，将被按照评估不通过处理，并将被依法追究相应法律责任；按照相关法律法规和评估结果要求规范数据出境行为。

（二）各市、县网信办、省各行业主管（监管）部门加强数据出境相关法律法规、标准规范宣贯，梳理摸排本地区、本行业企事业单位数据出境需求，指导数据处理者合法合规跨境传输数据，提供数据出境安全评估、个人信息出境标准合同相关咨询服务。

（三）海南自贸港内数据处理者如存在《海南自由贸易港数据出境管理清单（负面清单）》规定的免申报情形，应主动向省网信办确认适用情形，并自行留存相关记录备查。

（四）省网信办将根据国家法律法规和相关要求，以及我省执行情况，适时修订本指引。

七、联系方式

联系电话：0898-65380723（海南）

报送地址：海南省海口市美兰区国兴大道69号9号楼6楼615室

附件：1.数据出境安全评估申报材料要求

2.经办人授权委托书（模板）

3.数据出境安全评估申报书（模板）

4.数据出境风险自评估报告（模板）

5.延长评估结果有效期申请表（模板）

识别二维码下载附件

（原标题：海南省数据出境安全评估申报工作指引（第三版））

【责任编辑：冯　超】

【内容审核：李彦昆】