首頁 > 關于我們 > 新聞動態 > 深度解讀

數據出境“安檢”新規——《數據出境安全評估辦法(征求意見稿)》解讀

發布時間 2021-11-11

隨著互聯網的蓬勃發展,“互聯網+” 正在滲透到各行各業。與此同時,互聯網的高速發展也帶來了數據高度的集中,其中數據范圍涵蓋個人數據、重要數據以及國家核心數據等,因此越來越關系到個人信息權益,國家安全和社會公共利益,數據在使用過程中安全風險不斷凸顯,也因此受到社會各界的持續廣泛關注。


伴隨全球一體化發展進程,大量國外企業在華開展業務以及國內企業赴境外上市,企業在經營過程中涉及大量的個人信息、重要數據以及國家核心數據跨境傳輸。在此背景下,國家互聯網信息辦公室發出了關于《數據出境安全評估辦法(征求意見稿)》(以下簡稱:《辦法》)公開征求意見的通知。


《辦法》的征求意見稿主要是基于兩方面的考慮,一是數據出境遭泄露、利用,違規出境個人信息和重要數據等危害個人信息權益,國家安全和社會公共利益的現象日益突出;二是促進數據跨境安全、自由流動。


國內外跨境數據安全管理現狀


歐盟2016年4月頒布了《 通用數據保護條例》(General Data Protection Regulation,簡稱GDPR), 前身是歐盟在1995年制定的《計算機數據保護法》。GDPR對數據保護提出了高標準要求(增加懲罰機制),旨在保障歐洲同盟國之間的數據流動行為可以順利進行。


歐盟數據出境規定針對數據出境情況,歐盟的數據控制者可以通過以下3種方式實施數據跨境活動:


1、數據傳輸至“ 充分性認定” 地區;


2、充分保障措施;


3、例外場景( 包括用戶同意或者執行合同需要等)。


國家標準化組織(ISO) 針對跨境數據流通,定義了一個隱私參考體系結構框架,針對數據跨境實體,利用匿名和身份認證技術,實現跨境數據的隱私保護。同時,針對跨境數據分散存儲問題,利用分布式存儲技術,拓展云存儲能力,從而挖掘海量數據信息。此外,利用機器學習模型,建立了完善的隱私風險評估體系。


我國陸續頒布了《網絡安全法》、《數據安全法》、《個人信息保護法》和《關鍵信息基礎設施安全保護條例》,相關法律法規已對個人信息、重要數據以及國家核心數據作出了基本規定,現階段有必要針對出境數據出臺有針對性的管理制度,明確數據處理者的責任和義務,規范數據出境活動,促進數據跨境安全、自由流動。


跨境數據安全管理若干規定重點解讀


《辦法》共十八條,旨在維護國家安全、公共利益、個人或者組織合法權益,針對跨境數據安全風險,明確了數據處理者向境外提供在中華人民共和國境內運營中收集和產生的重要數據和依法應當進行安全評估的個人信息的權利和義務,包括以下三個方面重點內容。


一、《辦法》明確了跨境數據評估情形范圍?!掇k法》給出了數據處理者向境外提供數據的五種情形需申報數據出境安全評估。特別是今年《關鍵信息基礎設施安全保護條例》頒布之后關鍵信息基礎設施涉及的重要數據出境以及《辦法》將“累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息”明確為評估情形,為數據處理者數據出境評估提供了具體執行情形。


二、《辦法》對數據出境安全評估重點評估數據出境活動可能對國家安全、公共利益、個人或者組織合法權益帶來的風險,數據出境的目的、范圍、方式等的合法性、正當性、必要性。對于跨境數據的流通過程中保障措施是否到位,是否達到中華人民共和國法律、行政法規規定和強制性國家標準的要求。


三、《辦法》中規定數據處理者在申報數據跨境時,應與境外接收方訂立的合同充分約定數據安全保護責任義務。申報前要進行數據風險自評估與申報跨境數據安全評估相結合,其中數據出境安全評估堅持事前評估和持續監督相結合。


關于落實好《辦法》的幾點思考


數字經濟全球化發展愈演愈烈,在融入數字經濟全球化的過程中,保護好在我國境內運營中收集和產生的重要數據和依法應當進行安全評估的個人信息就尤為關鍵,相關數據涉及個人信息權益,維護國家安全和社會公共利益??缇硵祿踩珕栴}已經成為產業發展中的焦點問題、難點問題?!掇k法》的落地實施為構建安全有序的跨境數據流通,推動數字經濟全球化良性發展提供了保障。


圍繞《辦法》更好的落地實施,筆者提出以下三點建議:


一、提升數據處理者風險自評估能力


《辦法》著重提出“風險自評估與安全評估相結合”,也即除網信部門的評估外,還要求數據處理者在向境外提供數據前,應事先開展數據出境風險自評估。企業對數據安全風險的來源、預防與處理的判斷更為熟悉與清晰。


數據出境前的自評估可以在數據安全風險評估工作中,可適當借助第三方專業安全機構介入提供輔助工作,盡可能綜合考量多方的安全因素。同時,為提高安全評估的工作效率,需逐漸探索出一套數據跨境安全評估的線上操作流程,以便于數據處理者高效落實數據跨境安全的風險自評估工作。


二、加強跨境數據安全評估與持續監督能力


加快開展跨境數據安全評估與持續監督平臺建設,不斷加大技術研發投入,加快研制自動化安全評估工具和持續監督平臺,充分利用前沿技術提升跨境數據安全評估和持續監督能力。


三、做好宣貫培訓,推動數據處理者合規意識提升


大力推進普法力度,推進《網絡安全》、《數據安全法》、《個人信息保護法》、《關鍵信息基礎設施安全保護條例》、《辦法》和《信息安全技術 個人信息安全規范》等相關法律法規標準的宣貫工作,提升數據處理者數據安全意識。加快推進國家標準《數據出境安全評估指南》研究制定工作,推動形成數據出境管理新局面。



文章引自于公眾號:CCIA數據安全工作委員會



上一篇 下一篇