數(shù)據(jù)跨境流動是近年來全球各法域的監(jiān)管熱點問題,近年來,,我國陸續(xù)出臺《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》《數(shù)據(jù)出境安全評估辦法》等法律法規(guī),,以及《網(wǎng)絡(luò)安全標準實踐指南——個人信息跨境處理活動安全認證規(guī)范》《數(shù)據(jù)出境安全評估申報指南(第一版)》《個人信息出境標準合同規(guī)定(征求意見稿)》等規(guī)范性文件,逐步搭建成型我國的數(shù)據(jù)出境監(jiān)管機制。
數(shù)據(jù)出境合規(guī)正式成為許多企業(yè)必須面對的課題,,部分企業(yè)由此面臨不小的壓力,,法規(guī)條款眾多,擔心實施細則中信息不夠明朗不好把握,,在合規(guī)實施層面存在障礙,。安全419關(guān)注到,中國信息通信研究院安全研究所相關(guān)專家在近期的公開演講中,,從專業(yè)角度分析梳理了我國數(shù)據(jù)出境的規(guī)則體系,,以及個人信息出境和重要數(shù)據(jù)出境的合規(guī)路徑,具有較強的指引和操作性,,我們在此總結(jié)重點內(nèi)容供相關(guān)企業(yè)參考,。
重要數(shù)據(jù)出境合規(guī)唯一路徑:數(shù)據(jù)出境安全評估
國家對重要數(shù)據(jù)出境的管理十分嚴格,《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》共同規(guī)定了重要數(shù)據(jù)出境的唯一合規(guī)路徑,,即通過國家網(wǎng)信部門組織的數(shù)據(jù)出境安全評估,,無例外情形。一旦違反,,機構(gòu),、組織將承擔最高1000萬的罰款,直接負責人將承擔最高100萬的罰款,,罰金之外還面臨警告,、停業(yè)、吊銷營業(yè)執(zhí)照等處罰,。
重要數(shù)據(jù)的數(shù)據(jù)出境安全評估更側(cè)重于數(shù)據(jù)出境活動對國家安全,、公共利益帶來的風險。在操作上,,2022年9月1日由國家網(wǎng)信辦公布實施的《數(shù)據(jù)出境安全評估辦法》對評估的范圍,、條件和程序進行了統(tǒng)一規(guī)定。
重要數(shù)據(jù)識別
重要數(shù)據(jù)是指一旦遭到篡改,、破壞,、泄露或者非法獲取、非法利用等,,可能危害國家安全,、經(jīng)濟運行、社會穩(wěn)定,、公共健康和安全等的數(shù)據(jù),。可參見2022年3月16日發(fā)布的國家標準《信息安全技術(shù) 重要數(shù)據(jù)識別規(guī)則(征求意見稿)》進行梳理,。對于部分特殊行業(yè),,主管部門制定的法規(guī)可成為識別本行業(yè)重要數(shù)據(jù)的有益參考。這一步最終需要輸出重要數(shù)據(jù)清單。
出境活動識別
從具體業(yè)務入手,,梳理業(yè)務場景,,進而梳理數(shù)據(jù)處理活動,再對每個數(shù)據(jù)處理活動形成數(shù)據(jù)映射關(guān)系,,最終輸出重要數(shù)據(jù)出境活動(業(yè)務場景)清單,。
風險自評估
數(shù)據(jù)處理者申報數(shù)據(jù)出境安全評估前,應當開展數(shù)據(jù)出境風險自評估,,輸出對應報告,。
申報安全評估
數(shù)據(jù)處理者應當通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估,申報材料包括申報書,、數(shù)據(jù)出境風險自評估報告,、數(shù)據(jù)處理者與境外接收方擬訂立的法律文件及其他相關(guān)材料。
個人信息出境合規(guī)路徑:認證,、合同,、評估
對于個人信息出境,合規(guī)必要條件是個人信息處理者需履行告知義務,,告知個人信息主體出境相關(guān)事項,,并取得單獨同意?!秱€人信息保護法》區(qū)分不同責任主體類型規(guī)定了個人信息出境的合規(guī)路徑,。
路徑一:個人信息保護認證
2022年6月24日,信安標委發(fā)布《網(wǎng)絡(luò)安全標準實踐指南-個人信息跨境處理活動安全認證規(guī)范》,,適用于跨國公司或者同一經(jīng)濟,、事業(yè)實體下屬子公司或關(guān)聯(lián)公司之間的個人信息跨境處理活動,由境內(nèi)一方申請認證并承擔法律責任,;以及《個人信息保護法》第三條第二款適用的個人信息處理活動(見下圖),,由其在境內(nèi)設(shè)置的專門機構(gòu)或指定代表申請認證并承擔法律責任,。
境內(nèi)外雙方均應設(shè)立個人信息保護機構(gòu),,依法制定并實施個人信息跨境處理活動計劃,組織開展個人信息保護影響評估,,監(jiān)督本組織按照約定規(guī)則處理跨境個人信息,,接受和處理個人信息主體的請求和投訴。同時,,境內(nèi)外雙方均應指定個人信息保護責任人,,由決策層成員承擔,明確目標,、要求,、任務、保護措施,提供人,、財,、物力保障,指導,、支持以確保達到預期目標,,向組織匯報工作并推動持續(xù)改進。
其中,,個人信息保護影響評估可參考國家標準《信息安全技術(shù) 個人信息安全影響評估指南》(GB/T 39335-2020)進行,。個人信息保護影響評估是個人信息出境的合規(guī)前置程序,在后面其他合規(guī)路徑中亦會涉及,。
合規(guī)路徑二:個人信息出境標準合同
2022年6月30日,,國家網(wǎng)信辦發(fā)布《個人信息出境標準合同規(guī)定(征求意見稿)》,個人信息處理者同時符合下圖情形的,,可以通過簽訂標準合同的方式向境外提供個人信息,。
首先需要事前開展個人信息保護影響評估;根據(jù)出境個人信息具體情況,,適用于該情形的簽署標準合同,,生效后即可開展個人信息出境活動,并在10個工作日內(nèi)進行備案,;當出境情況發(fā)生變化時,,應重新簽署標準合同并備案;出現(xiàn)違規(guī)行為時,,終止出境,。
備案材料即為個人信息保護影響評估報告和標準合同?!兑?guī)定》第六條明確了標準合同包括的內(nèi)容,,同時給出了合同文本。
合規(guī)路徑三:數(shù)據(jù)出境安全評估
與重要數(shù)據(jù)出境的安全評估一樣,,《數(shù)據(jù)出境安全評估辦法》同時也為個人信息出境提供了具體指引,。有下圖情形之一的,適用安全評估:
從適用范圍來看,,「安全評估」和「標準合同」兩條路徑在一定程度上互為補充,,選取上年1月1日作為累計起始日期,以個人信息主體人數(shù)作為計量單位,,“大量/高風險(關(guān)鍵信息基礎(chǔ)設(shè)施運營者)”進行安全評估,,“少量/低風險(非關(guān)鍵信息基礎(chǔ)設(shè)施運營者)”選擇簽署標準合同。
數(shù)據(jù)安全評估堅持事前評估和持續(xù)監(jiān)督相結(jié)合,,風險自評估與安全評估相結(jié)合的總體原則,,由國家網(wǎng)信部門負責統(tǒng)籌協(xié)調(diào),,省級網(wǎng)信部門進行材料完備性查驗并上報,國務院有關(guān)部門,、省級網(wǎng)信部門,、專門機構(gòu)各司其職相互配合參與具體評估。2022年8月31日,,國家網(wǎng)信辦編制了《數(shù)據(jù)出境安全評估指南(第一版)》,,對數(shù)據(jù)出境安全評估申報方式、申報流程,、申報材料等具體要求作出了說明,,企業(yè)可依照操作。
數(shù)據(jù)出境合規(guī)工作建議
在國家數(shù)據(jù)安全和個人信息保護工作逐步完善,、監(jiān)督逐步加強的大背景下,,數(shù)據(jù)出境安全合規(guī)是一項重要工作,但不是孤立的工作,。在數(shù)據(jù)安全合規(guī)體系建設(shè)整體思路指引下,,做好數(shù)據(jù)出境合規(guī)工作,可以考慮以下方面:
● 重視基礎(chǔ)性工作,,包括數(shù)據(jù)資產(chǎn)梳理,、數(shù)據(jù)分類分級、重要數(shù)據(jù)識別等(具體實施可參考安全419《數(shù)據(jù)分類分級解決方案》系列訪談 ,;
● 重視合規(guī)工作之間的聯(lián)動與協(xié)同,,如個人信息保護影響評估與數(shù)據(jù)出境安全評估,重要數(shù)據(jù)風險評估與數(shù)據(jù)出境安全評估,;
● 重視持續(xù)監(jiān)督與改進,,如個人信息出境累計數(shù)量變化,數(shù)據(jù)出境目的,、方式,、范圍、種類變化,,境外接收方的相關(guān)變化,;
● 重視業(yè)務優(yōu)化與改造,重要數(shù)據(jù)能不提供就不提供,,個人信息盡量少提供,,降低合規(guī)成本,。
更多信息可以來這里獲取==>>電子技術(shù)應用-AET<<