在數(shù)字經(jīng)濟(jì)全球化浪潮背景下,催生了企業(yè)數(shù)據(jù)跨境流動(dòng)的客觀需要,成為了企業(yè)在空間維度延伸數(shù)據(jù)價(jià)值的必然要求。數(shù)據(jù)跨境流動(dòng)是數(shù)據(jù)利用在境外的延伸,能夠?yàn)槠髽I(yè)帶來商業(yè)價(jià)值,但是也存在風(fēng)險(xiǎn),主要在數(shù)據(jù)出境之后的泄漏問題。
《數(shù)據(jù)出境安全評估辦法》于2022年9月1日起開始施行。這標(biāo)志這我國關(guān)于跨境數(shù)據(jù)流動(dòng)的法律制度逐漸完善,為數(shù)據(jù)出境的雙向流動(dòng)提供明確的行為準(zhǔn)則,對國外企業(yè)在國內(nèi)開展的違規(guī)數(shù)據(jù)活動(dòng)形成約束,對企業(yè)數(shù)據(jù)跨境合規(guī)應(yīng)對和治理能力提出新的要求。
與此同時(shí),國家網(wǎng)信辦發(fā)布了《數(shù)據(jù)出境安全評估申報(bào)指南(第一版)》,指導(dǎo)和幫助數(shù)據(jù)處理者規(guī)范、有序申報(bào)數(shù)據(jù)出境安全評估。申報(bào)指南中包含了4個(gè)附件,包括評估材料要求,經(jīng)辦人授權(quán)委托書模版,數(shù)據(jù)出境安全評估申報(bào)書模版,數(shù)據(jù)出境風(fēng)險(xiǎn)自評估模版等,企業(yè)可以參考模版提交申報(bào)材料。
一、數(shù)據(jù)出境政策要求
國家互聯(lián)網(wǎng)信息辦公室制定《數(shù)據(jù)出境安全評估辦法》,明確了數(shù)據(jù)出境安全評估的目的、原則、范圍、程序和監(jiān)督機(jī)制等具體規(guī)定,對保護(hù)國家安全、公共利益、個(gè)人合法利益和促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展具有重要的里程碑意義。
《數(shù)據(jù)出境安全評估辦法》,以近年來我國發(fā)布的多個(gè)網(wǎng)絡(luò)安全和數(shù)據(jù)安全法律為基礎(chǔ)?!毒W(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》三部法律,在各自側(cè)重的網(wǎng)絡(luò)安全領(lǐng)域、數(shù)據(jù)安全領(lǐng)域、個(gè)人信息安全領(lǐng)域分別對數(shù)據(jù)跨境問題有具體條例解釋?!毒W(wǎng)絡(luò)安全法》首次在法律層面從國家安全角度對數(shù)據(jù)出境安全提出具體要求,強(qiáng)調(diào)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者在境內(nèi)收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲,因業(yè)務(wù)需要確需向境外提供的,應(yīng)按照國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估?!稊?shù)據(jù)安全法》進(jìn)一步完善了對數(shù)據(jù)出境的規(guī)定?!秱€(gè)人信息保護(hù)法》則具體明確了個(gè)人信息出境的管理規(guī)則。這三部上位法對數(shù)據(jù)出境安全管理的基本原則是重要數(shù)據(jù)境內(nèi)存儲和數(shù)據(jù)出境安全評估。
在上述三部法律基礎(chǔ)上,《數(shù)據(jù)出境安全評估辦法》在落地實(shí)施環(huán)節(jié)對數(shù)據(jù)跨境流動(dòng)所涉及的數(shù)據(jù)處理者、數(shù)據(jù)對象、評估方法等方面給予明確指導(dǎo)。同時(shí),對于赴境外上市引起數(shù)據(jù)流動(dòng)的情況,還應(yīng)遵守《網(wǎng)絡(luò)安全審查辦法》的要求申報(bào)并通過網(wǎng)絡(luò)安全審查。
二、《數(shù)據(jù)出境安全評估辦法》要點(diǎn)解讀
要點(diǎn)1:什么情景下需要開展數(shù)據(jù)出境評估?
要點(diǎn)2:數(shù)據(jù)出境評估流程
要點(diǎn)3:企業(yè)自評估及材料申請
要點(diǎn)4:監(jiān)管部門評估要點(diǎn)
要點(diǎn)5:安全評估組織構(gòu)成
三、國內(nèi)企業(yè)數(shù)據(jù)出境建議
隨著《數(shù)據(jù)出境安全評估辦法》9月1日的施行,對于需要開展數(shù)據(jù)出境業(yè)務(wù)的企業(yè),如果不能通過監(jiān)管部門的安全評估檢查,則可能因此影響數(shù)據(jù)出境、甚至業(yè)務(wù)的連續(xù)運(yùn)營。建議企業(yè)在《數(shù)據(jù)出境安全評估辦法》施行前即開展準(zhǔn)備工作,如需申報(bào),在《評估辦法》于今年9月1日實(shí)施后盡早申報(bào)較為穩(wěn)妥。
企業(yè)如涉及跨境業(yè)務(wù)的開展,應(yīng)盡快開展自查與梳理,分析是否存在可觸發(fā)數(shù)據(jù)出境安全評估的情形,并盡快組織或聘請第三方開展風(fēng)險(xiǎn)自評估,及早發(fā)現(xiàn)數(shù)據(jù)出境安全風(fēng)險(xiǎn)并進(jìn)行整改,為通過國家網(wǎng)信辦安全評估做好準(zhǔn)備。具體步驟包括:
? 圍繞受監(jiān)管主體和受監(jiān)管數(shù)據(jù)等要素研判企業(yè)是否涉及數(shù)據(jù)出境。
? 選擇適當(dāng)?shù)臄?shù)據(jù)出境途徑,目前個(gè)人信息出境包括網(wǎng)信辦評估、個(gè)人信息出境標(biāo)準(zhǔn)合同,個(gè)人信息跨境處理活動(dòng)安全認(rèn)證等三種途徑,重要數(shù)據(jù)主要采用網(wǎng)信辦評估的方式出境。
? 自行或聘請第三方開展數(shù)據(jù)出境安全自評估,自評估工作可與個(gè)人信息安全影響評估同步進(jìn)行,并重點(diǎn)關(guān)注重要數(shù)據(jù)及個(gè)人信息的出境風(fēng)險(xiǎn)。
? 自評估結(jié)束后,對評估風(fēng)險(xiǎn)問題進(jìn)行整改。如果企業(yè)從零開始的話,建議企業(yè)要建立數(shù)據(jù)安全治理體系,包括但不限于開展數(shù)據(jù)分類分級,數(shù)據(jù)安全風(fēng)險(xiǎn)評估,個(gè)人信息安全影響評估、數(shù)據(jù)安全管理制度、數(shù)據(jù)安全防護(hù)措施建設(shè)等工作;同時(shí),結(jié)合《評估辦法》要求,建立完善數(shù)據(jù)出境安全機(jī)制,建立出境安全制度體系、出境安全組織架構(gòu)、出境安全技術(shù)保障和出境安全應(yīng)急響應(yīng)等。
? 對于申報(bào)數(shù)據(jù)出境安全評估階段,企業(yè)準(zhǔn)備自評估報(bào)告、自評估過程材料、數(shù)據(jù)出境合同、申報(bào)書并向省級網(wǎng)信部門提交資料,需關(guān)注申報(bào)材料準(zhǔn)備、申報(bào)材料補(bǔ)充、申請復(fù)評和重新評估等關(guān)鍵節(jié)點(diǎn),切忌因材料問題影響評估結(jié)果。
四、國內(nèi)某車企數(shù)據(jù)出境實(shí)踐參考
近年來,隨著我國政府在新能源汽車的提前布局與政策利好,中國車企在全球新能源汽車領(lǐng)域的競爭中贏得了市場先機(jī),并加速搶灘海外市場,數(shù)據(jù)出境的需求日益增多。然而,汽車行業(yè)數(shù)據(jù)出境安全風(fēng)險(xiǎn)事件頻發(fā),引起了國家有關(guān)部門高度重視,陸續(xù)出臺了一系列的政策文件,旨在加強(qiáng)跨境流動(dòng)監(jiān)管與治理工作,保障汽車重要數(shù)據(jù)與個(gè)人信息數(shù)據(jù)的安全。
在此背景下,國內(nèi)某車企對出境數(shù)據(jù)內(nèi)容進(jìn)行盤點(diǎn),發(fā)現(xiàn)涉及大量個(gè)人信息、車輛數(shù)據(jù)及營銷數(shù)據(jù),如駕駛?cè)松矸葑C號、行駛證號、駕駛證檔案編號,發(fā)動(dòng)機(jī)編號、工況數(shù)據(jù)、車輛應(yīng)用數(shù)據(jù),銷售、倉儲、物流數(shù)據(jù)等。綠盟科技配合該車企開展了一系列數(shù)據(jù)出境安全合規(guī)的建設(shè)內(nèi)容:
建立數(shù)據(jù)出境合規(guī)團(tuán)隊(duì)
由企業(yè)的信息安全部門、法務(wù)部門和業(yè)務(wù)部門等成員組成數(shù)據(jù)出境合規(guī)委員會(huì)。數(shù)據(jù)出境合規(guī)委員會(huì)定期對國內(nèi)外數(shù)據(jù)安全法律法規(guī)進(jìn)行研究,確保在采集和處理國外數(shù)據(jù)時(shí)不違反當(dāng)?shù)胤?在本國數(shù)據(jù)出境時(shí),接入方有嚴(yán)格的安全保護(hù)措施來保證數(shù)據(jù)安全。同時(shí),落實(shí)數(shù)據(jù)出境的安全主體責(zé)任制,建立企業(yè)數(shù)據(jù)出境管理制度,加強(qiáng)數(shù)據(jù)出境安全監(jiān)測與防護(hù)。
跨境數(shù)據(jù)識別梳理
參照國家和行業(yè)領(lǐng)域的重要數(shù)據(jù)識別指南等文件,結(jié)合企業(yè)自身的業(yè)務(wù)數(shù)據(jù)識別重要數(shù)據(jù)與個(gè)人敏感信息,開展數(shù)據(jù)分類分級工作。
數(shù)據(jù)出境風(fēng)險(xiǎn)自評估
數(shù)據(jù)出境風(fēng)險(xiǎn)自評估是數(shù)據(jù)處理者向境外提供數(shù)據(jù)的必經(jīng)之路,對出境方式、數(shù)據(jù)數(shù)量、數(shù)據(jù)屬性進(jìn)行充分綜合判斷,制定數(shù)據(jù)出境計(jì)劃,最終形成數(shù)據(jù)出境風(fēng)險(xiǎn)評估報(bào)告。通過有效的自評估,不僅可以降低數(shù)據(jù)出境的合規(guī)風(fēng)險(xiǎn),在向主管部門申報(bào)安全評估時(shí),也有助于提高監(jiān)管部門安全評估的效率。
完善數(shù)據(jù)出境管理體系
健全數(shù)據(jù)出境管理制度,落實(shí)數(shù)據(jù)安全保護(hù)義務(wù)。如企業(yè)數(shù)據(jù)出境合同,約定雙方的數(shù)據(jù)安全保護(hù)權(quán)責(zé),優(yōu)化隱私政策和用戶協(xié)議中跨境條款;企業(yè)數(shù)據(jù)泄露應(yīng)急預(yù)案,在緊急事件發(fā)生后,第一時(shí)間通知相關(guān)責(zé)任人,同時(shí)在法律規(guī)定的時(shí)間內(nèi)上報(bào)數(shù)據(jù)監(jiān)管機(jī)構(gòu),避免因違反法規(guī)程序而擴(kuò)大不良影響及懲罰金額。
加強(qiáng)數(shù)據(jù)安全防護(hù)措施
通過關(guān)鍵技術(shù)創(chuàng)新,構(gòu)建起全場景、可信任、實(shí)戰(zhàn)化的數(shù)據(jù)安全縱深防御預(yù)警體系,貼合客戶實(shí)際需求,形成場景化的數(shù)據(jù)出境安全解決方案。包括數(shù)據(jù)梳理、數(shù)據(jù)監(jiān)測、數(shù)據(jù)庫審計(jì)、數(shù)據(jù)匿名化、數(shù)據(jù)溯源及數(shù)據(jù)可視化等能力,有效保護(hù)數(shù)據(jù)在出境生命周期過程中的安全,達(dá)到合法采集、合理利用、靜態(tài)可知、動(dòng)態(tài)可控的防護(hù)目標(biāo)。
五、數(shù)據(jù)出境安全展望
數(shù)據(jù)作為數(shù)字經(jīng)濟(jì)的核心要素,不僅是企業(yè)的核心競爭力,也成為國家之間爭奪的重要戰(zhàn)略資源。面對復(fù)雜的國際形勢,我國出于維護(hù)國家數(shù)據(jù)安全的需要,對數(shù)據(jù)出境的監(jiān)管是極其必要的。企業(yè)應(yīng)在合理利用“數(shù)據(jù)紅利”的基礎(chǔ)上,盡快推進(jìn)落實(shí)數(shù)據(jù)出境合規(guī)化建設(shè),加大資金與人力的投入,開展數(shù)據(jù)出境自評估與合規(guī)調(diào)整。綠盟數(shù)據(jù)出境安全解決方案,全面落地“智慧安全 3.0”的理念,將事前評估、事中監(jiān)測、事后溯源與持續(xù)監(jiān)督相結(jié)合,有效防范數(shù)據(jù)出境安全風(fēng)險(xiǎn),保障數(shù)據(jù)依法有序自由流動(dòng)。
免責(zé)聲明:市場有風(fēng)險(xiǎn),選擇需謹(jǐn)慎!此文僅供參考,不作買賣依據(jù)。
關(guān)鍵詞: