《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 重要數(shù)據(jù)、個(gè)人信息要出境 合規(guī)路徑有哪些,?

重要數(shù)據(jù),、個(gè)人信息要出境 合規(guī)路徑有哪些?

2022-11-10
來源:安全419

  數(shù)據(jù)跨境流動(dòng)是近年來全球各法域的監(jiān)管熱點(diǎn)問題,,近年來,,我國陸續(xù)出臺(tái)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《數(shù)據(jù)出境安全評(píng)估辦法》等法律法規(guī),以及《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》《數(shù)據(jù)出境安全評(píng)估申報(bào)指南(第一版)》《個(gè)人信息出境標(biāo)準(zhǔn)合同規(guī)定(征求意見稿)》等規(guī)范性文件,,逐步搭建成型我國的數(shù)據(jù)出境監(jiān)管機(jī)制,。

  數(shù)據(jù)出境合規(guī)正式成為許多企業(yè)必須面對(duì)的課題,部分企業(yè)由此面臨不小的壓力,,法規(guī)條款眾多,,擔(dān)心實(shí)施細(xì)則中信息不夠明朗不好把握,在合規(guī)實(shí)施層面存在障礙,。安全419關(guān)注到,,中國信息通信研究院安全研究所相關(guān)專家在近期的公開演講中,從專業(yè)角度分析梳理了我國數(shù)據(jù)出境的規(guī)則體系,,以及個(gè)人信息出境和重要數(shù)據(jù)出境的合規(guī)路徑,,具有較強(qiáng)的指引和操作性,我們在此總結(jié)重點(diǎn)內(nèi)容供相關(guān)企業(yè)參考,。

  重要數(shù)據(jù)出境合規(guī)唯一路徑:數(shù)據(jù)出境安全評(píng)估

  國家對(duì)重要數(shù)據(jù)出境的管理十分嚴(yán)格,,《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》共同規(guī)定了重要數(shù)據(jù)出境的唯一合規(guī)路徑,,即通過國家網(wǎng)信部門組織的數(shù)據(jù)出境安全評(píng)估,無例外情形,。一旦違反,,機(jī)構(gòu)、組織將承擔(dān)最高1000萬的罰款,,直接負(fù)責(zé)人將承擔(dān)最高100萬的罰款,,罰金之外還面臨警告、停業(yè),、吊銷營業(yè)執(zhí)照等處罰,。

  重要數(shù)據(jù)的數(shù)據(jù)出境安全評(píng)估更側(cè)重于數(shù)據(jù)出境活動(dòng)對(duì)國家安全、公共利益帶來的風(fēng)險(xiǎn),。在操作上,,2022年9月1日由國家網(wǎng)信辦公布實(shí)施的《數(shù)據(jù)出境安全評(píng)估辦法》對(duì)評(píng)估的范圍、條件和程序進(jìn)行了統(tǒng)一規(guī)定,。

  重要數(shù)據(jù)識(shí)別

  重要數(shù)據(jù)是指一旦遭到篡改,、破壞、泄露或者非法獲取,、非法利用等,,可能危害國家安全、經(jīng)濟(jì)運(yùn)行,、社會(huì)穩(wěn)定,、公共健康和安全等的數(shù)據(jù)??蓞⒁?022年3月16日發(fā)布的國家標(biāo)準(zhǔn)《信息安全技術(shù) 重要數(shù)據(jù)識(shí)別規(guī)則(征求意見稿)》進(jìn)行梳理,。對(duì)于部分特殊行業(yè),主管部門制定的法規(guī)可成為識(shí)別本行業(yè)重要數(shù)據(jù)的有益參考,。這一步最終需要輸出重要數(shù)據(jù)清單,。

  出境活動(dòng)識(shí)別

  從具體業(yè)務(wù)入手,梳理業(yè)務(wù)場景,,進(jìn)而梳理數(shù)據(jù)處理活動(dòng),,再對(duì)每個(gè)數(shù)據(jù)處理活動(dòng)形成數(shù)據(jù)映射關(guān)系,最終輸出重要數(shù)據(jù)出境活動(dòng)(業(yè)務(wù)場景)清單,。

  風(fēng)險(xiǎn)自評(píng)估

  數(shù)據(jù)處理者申報(bào)數(shù)據(jù)出境安全評(píng)估前,,應(yīng)當(dāng)開展數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估,輸出對(duì)應(yīng)報(bào)告,。

  申報(bào)安全評(píng)估

  數(shù)據(jù)處理者應(yīng)當(dāng)通過所在地省級(jí)網(wǎng)信部門向國家網(wǎng)信部門申報(bào)數(shù)據(jù)出境安全評(píng)估,,申報(bào)材料包括申報(bào)書、數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估報(bào)告,、數(shù)據(jù)處理者與境外接收方擬訂立的法律文件及其他相關(guān)材料,。

  個(gè)人信息出境合規(guī)路徑:認(rèn)證、合同,、評(píng)估

  對(duì)于個(gè)人信息出境,,合規(guī)必要條件是個(gè)人信息處理者需履行告知義務(wù),告知個(gè)人信息主體出境相關(guān)事項(xiàng),,并取得單獨(dú)同意,。《個(gè)人信息保護(hù)法》區(qū)分不同責(zé)任主體類型規(guī)定了個(gè)人信息出境的合規(guī)路徑,。

  路徑一:個(gè)人信息保護(hù)認(rèn)證

  2022年6月24日,,信安標(biāo)委發(fā)布《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南-個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》,適用于跨國公司或者同一經(jīng)濟(jì),、事業(yè)實(shí)體下屬子公司或關(guān)聯(lián)公司之間的個(gè)人信息跨境處理活動(dòng),,由境內(nèi)一方申請(qǐng)認(rèn)證并承擔(dān)法律責(zé)任;以及《個(gè)人信息保護(hù)法》第三條第二款適用的個(gè)人信息處理活動(dòng)(見下圖),,由其在境內(nèi)設(shè)置的專門機(jī)構(gòu)或指定代表申請(qǐng)認(rèn)證并承擔(dān)法律責(zé)任,。

  境內(nèi)外雙方均應(yīng)設(shè)立個(gè)人信息保護(hù)機(jī)構(gòu),依法制定并實(shí)施個(gè)人信息跨境處理活動(dòng)計(jì)劃,,組織開展個(gè)人信息保護(hù)影響評(píng)估,,監(jiān)督本組織按照約定規(guī)則處理跨境個(gè)人信息,接受和處理個(gè)人信息主體的請(qǐng)求和投訴,。同時(shí),,境內(nèi)外雙方均應(yīng)指定個(gè)人信息保護(hù)責(zé)任人,由決策層成員承擔(dān),,明確目標(biāo),、要求、任務(wù),、保護(hù)措施,,提供人、財(cái),、物力保障,,指導(dǎo)、支持以確保達(dá)到預(yù)期目標(biāo),,向組織匯報(bào)工作并推動(dòng)持續(xù)改進(jìn),。

  其中,個(gè)人信息保護(hù)影響評(píng)估可參考國家標(biāo)準(zhǔn)《信息安全技術(shù) 個(gè)人信息安全影響評(píng)估指南》(GB/T 39335-2020)進(jìn)行,。個(gè)人信息保護(hù)影響評(píng)估是個(gè)人信息出境的合規(guī)前置程序,,在后面其他合規(guī)路徑中亦會(huì)涉及。

  合規(guī)路徑二:個(gè)人信息出境標(biāo)準(zhǔn)合同

  2022年6月30日,,國家網(wǎng)信辦發(fā)布《個(gè)人信息出境標(biāo)準(zhǔn)合同規(guī)定(征求意見稿)》,,個(gè)人信息處理者同時(shí)符合下圖情形的,,可以通過簽訂標(biāo)準(zhǔn)合同的方式向境外提供個(gè)人信息。

  首先需要事前開展個(gè)人信息保護(hù)影響評(píng)估,;根據(jù)出境個(gè)人信息具體情況,,適用于該情形的簽署標(biāo)準(zhǔn)合同,生效后即可開展個(gè)人信息出境活動(dòng),,并在10個(gè)工作日內(nèi)進(jìn)行備案,;當(dāng)出境情況發(fā)生變化時(shí),應(yīng)重新簽署標(biāo)準(zhǔn)合同并備案,;出現(xiàn)違規(guī)行為時(shí),,終止出境。

  備案材料即為個(gè)人信息保護(hù)影響評(píng)估報(bào)告和標(biāo)準(zhǔn)合同,?!兑?guī)定》第六條明確了標(biāo)準(zhǔn)合同包括的內(nèi)容,同時(shí)給出了合同文本,。

  合規(guī)路徑三:數(shù)據(jù)出境安全評(píng)估

  與重要數(shù)據(jù)出境的安全評(píng)估一樣,,《數(shù)據(jù)出境安全評(píng)估辦法》同時(shí)也為個(gè)人信息出境提供了具體指引。有下圖情形之一的,,適用安全評(píng)估:

  從適用范圍來看,,「安全評(píng)估」和「標(biāo)準(zhǔn)合同」兩條路徑在一定程度上互為補(bǔ)充,選取上年1月1日作為累計(jì)起始日期,,以個(gè)人信息主體人數(shù)作為計(jì)量單位,,“大量/高風(fēng)險(xiǎn)(關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者)”進(jìn)行安全評(píng)估,“少量/低風(fēng)險(xiǎn)(非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者)”選擇簽署標(biāo)準(zhǔn)合同,。

  數(shù)據(jù)安全評(píng)估堅(jiān)持事前評(píng)估和持續(xù)監(jiān)督相結(jié)合,,風(fēng)險(xiǎn)自評(píng)估與安全評(píng)估相結(jié)合的總體原則,由國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào),,省級(jí)網(wǎng)信部門進(jìn)行材料完備性查驗(yàn)并上報(bào),,國務(wù)院有關(guān)部門、省級(jí)網(wǎng)信部門,、專門機(jī)構(gòu)各司其職相互配合參與具體評(píng)估,。2022年8月31日,國家網(wǎng)信辦編制了《數(shù)據(jù)出境安全評(píng)估指南(第一版)》,,對(duì)數(shù)據(jù)出境安全評(píng)估申報(bào)方式,、申報(bào)流程、申報(bào)材料等具體要求作出了說明,,企業(yè)可依照操作,。

  數(shù)據(jù)出境合規(guī)工作建議

  在國家數(shù)據(jù)安全和個(gè)人信息保護(hù)工作逐步完善、監(jiān)督逐步加強(qiáng)的大背景下,,數(shù)據(jù)出境安全合規(guī)是一項(xiàng)重要工作,,但不是孤立的工作,。在數(shù)據(jù)安全合規(guī)體系建設(shè)整體思路指引下,做好數(shù)據(jù)出境合規(guī)工作,,可以考慮以下方面:

  ● 重視基礎(chǔ)性工作,,包括數(shù)據(jù)資產(chǎn)梳理、數(shù)據(jù)分類分級(jí),、重要數(shù)據(jù)識(shí)別等(具體實(shí)施可參考安全419《數(shù)據(jù)分類分級(jí)解決方案》系列訪談 ;

  ● 重視合規(guī)工作之間的聯(lián)動(dòng)與協(xié)同,,如個(gè)人信息保護(hù)影響評(píng)估與數(shù)據(jù)出境安全評(píng)估,,重要數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估與數(shù)據(jù)出境安全評(píng)估;

  ● 重視持續(xù)監(jiān)督與改進(jìn),,如個(gè)人信息出境累計(jì)數(shù)量變化,,數(shù)據(jù)出境目的、方式,、范圍,、種類變化,境外接收方的相關(guān)變化,;

  ● 重視業(yè)務(wù)優(yōu)化與改造,,重要數(shù)據(jù)能不提供就不提供,個(gè)人信息盡量少提供,,降低合規(guī)成本,。



更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。