数据出境风险自评估报告（模板）.docx

数据出境风险自评估报告（模板）

数据处理者名称：（盖章）年月日

说明：

（一）数据处理者申报数据出境安全评估时需提供自评估报告，并对所提交的自评估报告及附件材料真实性负责；

（二）报告所述自评估活动为本次申报前3个月内完成；

（三）如有第三方机构参与自评估，须在自评估报告中说明第三方机构的基本情况及参与评估的情况；

（四）自评估报告严格按照模板撰写。自评估报告必须使用中文撰写，正文字体四号“仿宋”（其中，正文一级标题黑体、二级标题楷体加黑、三级标题仿宋加黑），数字、字母使用四号“TimesNewRoman”字体，行距固定值26磅，段落首行缩进2字符。页面设置：A4纸，上下页边距为2.54cm，左右页边距为3.18cm。

一、自评估工作情况

简要概述自评估工作开展情况，包括起止时间、组织情况、实施过程、实施方式等内容。

二、出境活动整体情况

简要说明数据处理者基本情况、数据处理者安全保障能力情况、境外接收方情况、法律文件约定情况等，详细说明拟出境数据情况。包括不限于：

（一）数据处理者基本情况

1.基本情况简介，包括股权结构、实际控制人、境内外投

资情况等；

2.组织架构和数据安全管理机构信息；3.整体业务与数据资产情况。

（二）拟出境数据情况

1.数据出境涉及业务、数据资产等情况；

2.数据出境及境外接收方处理数据的目的、范围、方式，及其合法性、正当性、必要性；

3.按照申报业务场景梳理对应的出境数据项情况，以列表形式呈现数据项清单并逐一说明（如下表所示），同一场景下的数据项需去重；

序号

数据项名称

内容描述

出境必要性

示例

备注

1

2

......

4.拟出境数据在境内存储的系统平台、数据中心（包含云服务）等情况，数据出境链路相关情况，计划出境后存储的系统平台、数据中心等；

5.数据出境后向境外其他接收方提供的情况；

6.涉及个人信息的，按照自然人（去重）统计当年的出境数量，预估未来3年的出境数量。

（三）数据处理者数据安全保障能力情况

1.数据安全管理能力，包括管理组织体系和制度建设情况，全流程管理、分类分级、应急处置、风险评估、个人信息权益

保护等制度及落实情况；

（涉及个人信息出境的，需提供履行《个人信息保护法》第三十九条规定的情况说明及佐证材料，包括告知义务和取得个人的单独同意等，若属于《个人信息保护法》第十三条第一款第二项至第七项规定情形的，不需取得个人同意）

2.数据安全技术能力，包括数据收集、存储、使用、加工、传输、提供、公开、删除等全流程所采取的安全技术措施等；

3.数据安全保障措施有效性证明，例如开展的数据安全风险评估、数据安全认证、数据安全检查测评、数据安全合规审计、网络安全等级保护测评等情况；

4.遵守数据和网络安全相关法律法规的情况。

（如涉及受到行政处罚和监管整改的，可以提供证明整改完成的相关佐证材料）

（四）境外接收方情况

1.境外接收方基本情况；

2.境外接收方处理数据的用途、方式等；

3.境外接收方履行责任义务的管理和技术措施、能力等。

（五）法律文件约定数据安全保护责任义务的情况

1.数据出境的目的、方式和数据范围，境外接收方处理数据的用途、方式等；

2.数据在境外保存地点、期限，以及达到保存期限、完成

约定目的或者法律文件终止后出境数据的处理措施；

3.对于境外接收方将出境数据再转移给其他组织、个人的约束性要求；

4.境外接收方在实际控制权或者经营范围发生实质性变化，或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化，以及发生其他不可抗力情形，导致难以保障数据安全时，应当采取的安全措施；

5.违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式；

6.出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用时，妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。

（六）数据处理者认为需要说明的其他情况

三、出境活动的风险自评估情况及结论

对照《数据出境安全评估办法》第五条规定事项，说明数据出境风险自评估情况，重点说明自评估发现的问题和整改情况。

综合风险自评估情况和相应整改情况，对拟申报的数据出境活动作出客观的风险自评估结论，充分说明得出自评估结论的理由。