根据《评估办法》第二条,数据出境安全评估的申报主体为向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的数据处理者。
值得注意的是,根据《评估申报指南(第二版)》和《标准合同备案指南(第二版)》规定,未在中国境内设立办事机构或分支机构的境外主体如果向境内自然人提供产品服务,构成在境外处理中国境内自然人个人信息的情况,那么当其符合法定需要申报数据出境安全评估的情形时,也应遵守《评估办法》的规定。
考虑到《个人信息保护法》第五十三条提出,"以向境内自然人提供产品或者服务为目的或分析、评估境内自然人行为的境外个人信息处理者应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门"。因此,对于数据处理者从境外直接获取境内的重要数据和个人信息且达到申报标准的情况,该数据处理者应由国内指定机构代其进行申报。
此外,在实践中,企业通常会委托第三方供应商代为处理企业数据,并认为可以由该供应商代为申报数据出境安全评估。但对此不可一概而论---若第三方供应商仅按照企业委托的数据处理目的和数据处理范围进行数据处理,则第三方供应商在此时承担"代理人"而不是数据处理者的角色,因此不能担任数据出境安全评估的申报主体。
来源:环球律师事务所等团队