在數字經濟全球化浪潮背景下,催生了企業(yè)數據跨境流動的客觀需要,成為了企業(yè)在空間維度延伸數據價值的必然要求。數據跨境流動是數據利用在境外的延伸,能夠為企業(yè)帶來商業(yè)價值,但是也存在風險,主要在數據出境之后的泄漏問題。
《數據出境安全評估辦法》于2022年9月1日起開始施行。這標志這我國關于跨境數據流動的法律制度逐漸完善,為數據出境的雙向流動提供明確的行為準則,對國外企業(yè)在國內開展的違規(guī)數據活動形成約束,對企業(yè)數據跨境合規(guī)應對和治理能力提出新的要求。
與此同時,國家網信辦發(fā)布了《數據出境安全評估申報指南(第一版)》,指導和幫助數據處理者規(guī)范、有序申報數據出境安全評估。申報指南中包含了4個附件,包括評估材料要求,經辦人授權委托書模版,數據出境安全評估申報書模版,數據出境風險自評估模版等,企業(yè)可以參考模版提交申報材料。
一、數據出境政策要求
國家互聯(lián)網信息辦公室制定《數據出境安全評估辦法》,明確了數據出境安全評估的目的、原則、范圍、程序和監(jiān)督機制等具體規(guī)定,對保護國家安全、公共利益、個人合法利益和促進數字經濟發(fā)展具有重要的里程碑意義。
《數據出境安全評估辦法》,以近年來我國發(fā)布的多個網絡安全和數據安全法律為基礎?!毒W絡安全法》《數據安全法》《個人信息保護法》三部法律,在各自側重的網絡安全領域、數據安全領域、個人信息安全領域分別對數據跨境問題有具體條例解釋?!毒W絡安全法》首次在法律層面從國家安全角度對數據出境安全提出具體要求,強調關鍵信息基礎設施運營者在境內收集和產生的個人信息和重要數據應當在境內存儲,因業(yè)務需要確需向境外提供的,應按照國家網信部門會同國務院有關部門制定的辦法進行安全評估?!稊祿踩ā愤M一步完善了對數據出境的規(guī)定?!秱€人信息保護法》則具體明確了個人信息出境的管理規(guī)則。這三部上位法對數據出境安全管理的基本原則是重要數據境內存儲和數據出境安全評估。
在上述三部法律基礎上,《數據出境安全評估辦法》在落地實施環(huán)節(jié)對數據跨境流動所涉及的數據處理者、數據對象、評估方法等方面給予明確指導。同時,對于赴境外上市引起數據流動的情況,還應遵守《網絡安全審查辦法》的要求申報并通過網絡安全審查。
二、《數據出境安全評估辦法》要點解讀
要點1:什么情景下需要開展數據出境評估?
要點2:數據出境評估流程
要點3:企業(yè)自評估及材料申請
要點4:監(jiān)管部門評估要點
要點5:安全評估組織構成
三、國內企業(yè)數據出境建議
隨著《數據出境安全評估辦法》9月1日的施行,對于需要開展數據出境業(yè)務的企業(yè),如果不能通過監(jiān)管部門的安全評估檢查,則可能因此影響數據出境、甚至業(yè)務的連續(xù)運營。建議企業(yè)在《數據出境安全評估辦法》施行前即開展準備工作,如需申報,在《評估辦法》于今年9月1日實施后盡早申報較為穩(wěn)妥。
企業(yè)如涉及跨境業(yè)務的開展,應盡快開展自查與梳理,分析是否存在可觸發(fā)數據出境安全評估的情形,并盡快組織或聘請第三方開展風險自評估,及早發(fā)現(xiàn)數據出境安全風險并進行整改,為通過國家網信辦安全評估做好準備。具體步驟包括:
? 圍繞受監(jiān)管主體和受監(jiān)管數據等要素研判企業(yè)是否涉及數據出境。
? 選擇適當的數據出境途徑,目前個人信息出境包括網信辦評估、個人信息出境標準合同,個人信息跨境處理活動安全認證等三種途徑,重要數據主要采用網信辦評估的方式出境。
? 自行或聘請第三方開展數據出境安全自評估,自評估工作可與個人信息安全影響評估同步進行,并重點關注重要數據及個人信息的出境風險。
? 自評估結束后,對評估風險問題進行整改。如果企業(yè)從零開始的話,建議企業(yè)要建立數據安全治理體系,包括但不限于開展數據分類分級,數據安全風險評估,個人信息安全影響評估、數據安全管理制度、數據安全防護措施建設等工作;同時,結合《評估辦法》要求,建立完善數據出境安全機制,建立出境安全制度體系、出境安全組織架構、出境安全技術保障和出境安全應急響應等。
? 對于申報數據出境安全評估階段,企業(yè)準備自評估報告、自評估過程材料、數據出境合同、申報書并向省級網信部門提交資料,需關注申報材料準備、申報材料補充、申請復評和重新評估等關鍵節(jié)點,切忌因材料問題影響評估結果。
四、國內某車企數據出境實踐參考
近年來,隨著我國政府在新能源汽車的提前布局與政策利好,中國車企在全球新能源汽車領域的競爭中贏得了市場先機,并加速搶灘海外市場,數據出境的需求日益增多。然而,汽車行業(yè)數據出境安全風險事件頻發(fā),引起了國家有關部門高度重視,陸續(xù)出臺了一系列的政策文件,旨在加強跨境流動監(jiān)管與治理工作,保障汽車重要數據與個人信息數據的安全。
在此背景下,國內某車企對出境數據內容進行盤點,發(fā)現(xiàn)涉及大量個人信息、車輛數據及營銷數據,如駕駛人身份證號、行駛證號、駕駛證檔案編號,發(fā)動機編號、工況數據、車輛應用數據,銷售、倉儲、物流數據等。綠盟科技配合該車企開展了一系列數據出境安全合規(guī)的建設內容:
建立數據出境合規(guī)團隊
由企業(yè)的信息安全部門、法務部門和業(yè)務部門等成員組成數據出境合規(guī)委員會。數據出境合規(guī)委員會定期對國內外數據安全法律法規(guī)進行研究,確保在采集和處理國外數據時不違反當地法律;在本國數據出境時,接入方有嚴格的安全保護措施來保證數據安全。同時,落實數據出境的安全主體責任制,建立企業(yè)數據出境管理制度,加強數據出境安全監(jiān)測與防護。
跨境數據識別梳理
參照國家和行業(yè)領域的重要數據識別指南等文件,結合企業(yè)自身的業(yè)務數據識別重要數據與個人敏感信息,開展數據分類分級工作。
數據出境風險自評估
數據出境風險自評估是數據處理者向境外提供數據的必經之路,對出境方式、數據數量、數據屬性進行充分綜合判斷,制定數據出境計劃,最終形成數據出境風險評估報告。通過有效的自評估,不僅可以降低數據出境的合規(guī)風險,在向主管部門申報安全評估時,也有助于提高監(jiān)管部門安全評估的效率。
完善數據出境管理體系
健全數據出境管理制度,落實數據安全保護義務。如企業(yè)數據出境合同,約定雙方的數據安全保護權責,優(yōu)化隱私政策和用戶協(xié)議中跨境條款;企業(yè)數據泄露應急預案,在緊急事件發(fā)生后,第一時間通知相關責任人,同時在法律規(guī)定的時間內上報數據監(jiān)管機構,避免因違反法規(guī)程序而擴大不良影響及懲罰金額。
加強數據安全防護措施
通過關鍵技術創(chuàng)新,構建起全場景、可信任、實戰(zhàn)化的數據安全縱深防御預警體系,貼合客戶實際需求,形成場景化的數據出境安全解決方案。包括數據梳理、數據監(jiān)測、數據庫審計、數據匿名化、數據溯源及數據可視化等能力,有效保護數據在出境生命周期過程中的安全,達到合法采集、合理利用、靜態(tài)可知、動態(tài)可控的防護目標。
五、數據出境安全展望
數據作為數字經濟的核心要素,不僅是企業(yè)的核心競爭力,也成為國家之間爭奪的重要戰(zhàn)略資源。面對復雜的國際形勢,我國出于維護國家數據安全的需要,對數據出境的監(jiān)管是極其必要的。企業(yè)應在合理利用“數據紅利”的基礎上,盡快推進落實數據出境合規(guī)化建設,加大資金與人力的投入,開展數據出境自評估與合規(guī)調整。綠盟數據出境安全解決方案,全面落地“智慧安全 3.0”的理念,將事前評估、事中監(jiān)測、事后溯源與持續(xù)監(jiān)督相結合,有效防范數據出境安全風險,保障數據依法有序自由流動。
免責聲明:市場有風險,選擇需謹慎!此文僅供參考,不作買賣依據。
關鍵詞: