来源: 发布日期:2022.03.09 点击量:
10月29日国家互联网信息办公室(下称“国家网信办”)发布《数据出境安全评估办法(征求意见稿)》(下称“《意见稿》”)并公开征求意见。
《意见稿》是对数据出境安全评估问题监管上的最新回应,其将全面监管、从严监管的理念贯彻得更为彻底,也对涉及数据出境的企业进一步预设了相应的合规义务。
随着《数据安全法》、《数据安全法》和《个人信息保护法》作为数据出境评估所依据的上位法的确定,以《数据出境安全评估办法(征求意见稿)》是作为与法律条文相配套的数据出境安全评估办法,使得数据出境安全评估的法律体系得以明晰,以引导数据出境安全评估相关工作。
(1)基本概念
《办法》中明确规定网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。
因业务需要,确需向境外提供的,应当进行安全评估。也就是说,如果实施,交通导航、电子商务、社交网络等各类涉及数据收集与跨境传输的企业,都将受到监管。
数据出境:是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构、组织、个人。
个人信息:是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
重要数据:是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南。
(2)立法目的
目前国际上已形成了成熟、系统的跨境数据流动管理制度框架,如:
—— 欧盟与美国达成的隐私盾协议(EU-U.S.Privacy Shield)
—— 世界经合组织的《隐私保护和个人数据跨境流通的指南》
—— 亚太经合组织的《跨境隐私规则》
随着国际经济贸易的不断加深,我国的信息服务业以及境外大型跨国公司的数据出境活动日益频繁,其中可能涉及到我国公民个人隐私甚至涉及我国国家安全、经济发展和社会公共利益相关的重要数据,国家迫切需要对这些企业数据出境行为进行规范和指引。
(3)安全评估适用范围
数据处理者向境外提供再中华人民共和国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息,应当按照本办法的规定进行安全评估;法律、行政法规另有规定的,依照其规定。
(4)哪些出境数据需要评估
除此之外,比如以下几个广泛关注的情况也属于数据出境
—— 境外镜像、远程访问;
—— 去标识化(如MD5加密)和ID转化(例如openID、jdID、VIN、各种封闭ID)后的个人信息出境;
—— 员工(含外籍员工)信息出境;
—— 用户根据国内公司指引(例如跳转、通知)或基于国内公司的信赖(例如购买国内产品)向境外网站或系统直接提供(例如投递简历等);
(5)数据出境安全评估应重点评估哪些内容
(6)《办法》中的时间节点
—— 申报受理时常
—— 安全评估时长
—— 安全评估结果有效期
有效期为两年,有效期届满,在有效期届满六十个工作日前重新申报评估。
(7)与境外接收方订立合同充分约定书安全保护责任义务
(8)评估机构人员职责与数据处理者配合义务
—— 评估机构人员职责
—— 数据处理者配合义务
(1)企业应按照法律要求对数据进行分类分级管理、内部建立和规的操作规程和制度。
(2)应对数据跨境数据流动相关的法律规则有充分认识。不仅包括本国的法律规则,也包括与数据业务有关的其他法域的法律规则。必要时,企业也应当咨询相关领域的法律专业人士,对法律规则的适用给予指导。
(3)企业应结合自身业务,依据适用的法律法规,定位自身角色,明确需要承担的义务和需要遵守的约定。
(4)企业需要加强人员培训,确保相关人员明确知晓自身的岗位职责,树立风险意识,在遇到不确定事项时及时上报,获取正确的处理方式。
依据《个人信息保护法》、《网络安全法》、《数据安全法》以及最新发布的《数据出境安全评估办法(征求意见稿)》相关规定,帮助企业识别数据出境合规关键风险点;
明确现有监管要求下具体场景对应数据出境的要求;针对企业现状开展合规评估;
通过对数据出境合规评估,分析客户方整体的信息化策略能否支撑内外部合规需求,进一步开展数据出境安全影响评估并提出处置建议。
相关新闻: