在數(shù)字經(jīng)濟(jì)全球化浪潮背景下,催生了企業(yè)數(shù)據(jù)跨境流動的客觀需要,成為了企業(yè)在空間維度延伸數(shù)據(jù)價值的必然要求。數(shù)據(jù)跨境流動是數(shù)據(jù)利用在境外的延伸,能夠為企業(yè)帶來商業(yè)價值,但是也存在風(fēng)險,主要在數(shù)據(jù)出境之后的泄漏問題。

《數(shù)據(jù)出境安全評估辦法》于2022年9月1日起開始施行。這標(biāo)志這我國關(guān)于跨境數(shù)據(jù)流動的法律制度逐漸完善,為數(shù)據(jù)出境的雙向流動提供明確的行為準(zhǔn)則,對國外企業(yè)在國內(nèi)開展的違規(guī)數(shù)據(jù)活動形成約束,對企業(yè)數(shù)據(jù)跨境合規(guī)應(yīng)對和治理能力提出新的要求。

與此同時,國家網(wǎng)信辦發(fā)布了《數(shù)據(jù)出境安全評估申報指南(第一版)》,指導(dǎo)和幫助數(shù)據(jù)處理者規(guī)范、有序申報數(shù)據(jù)出境安全評估。申報指南中包含了4個附件,包括評估材料要求,經(jīng)辦人授權(quán)委托書模版,數(shù)據(jù)出境安全評估申報書模版,數(shù)據(jù)出境風(fēng)險自評估模版等,企業(yè)可以參考模版提交申報材料。

一、數(shù)據(jù)出境政策要求

國家互聯(lián)網(wǎng)信息辦公室制定《數(shù)據(jù)出境安全評估辦法》,明確了數(shù)據(jù)出境安全評估的目的、原則、范圍、程序和監(jiān)督機(jī)制等具體規(guī)定,對保護(hù)國家安全、公共利益、個人合法利益和促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展具有重要的里程碑意義。

《數(shù)據(jù)出境安全評估辦法》,以近年來我國發(fā)布的多個網(wǎng)絡(luò)安全和數(shù)據(jù)安全法律為基礎(chǔ)?！毒W(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》三部法律,在各自側(cè)重的網(wǎng)絡(luò)安全領(lǐng)域、數(shù)據(jù)安全領(lǐng)域、個人信息安全領(lǐng)域分別對數(shù)據(jù)跨境問題有具體條例解釋。《網(wǎng)絡(luò)安全法》首次在法律層面從國家安全角度對數(shù)據(jù)出境安全提出具體要求,強(qiáng)調(diào)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者在境內(nèi)收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲,因業(yè)務(wù)需要確需向境外提供的,應(yīng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估?！稊?shù)據(jù)安全法》進(jìn)一步完善了對數(shù)據(jù)出境的規(guī)定。《個人信息保護(hù)法》則具體明確了個人信息出境的管理規(guī)則。這三部上位法對數(shù)據(jù)出境安全管理的基本原則是重要數(shù)據(jù)境內(nèi)存儲和數(shù)據(jù)出境安全評估。

在上述三部法律基礎(chǔ)上,《數(shù)據(jù)出境安全評估辦法》在落地實施環(huán)節(jié)對數(shù)據(jù)跨境流動所涉及的數(shù)據(jù)處理者、數(shù)據(jù)對象、評估方法等方面給予明確指導(dǎo)。同時,對于赴境外上市引起數(shù)據(jù)流動的情況,還應(yīng)遵守《網(wǎng)絡(luò)安全審查辦法》的要求申報并通過網(wǎng)絡(luò)安全審查。

二、《數(shù)據(jù)出境安全評估辦法》要點解讀

要點1:什么情景下需要開展數(shù)據(jù)出境評估?

要點2:數(shù)據(jù)出境評估流程

要點3:企業(yè)自評估及材料申請

要點4:監(jiān)管部門評估要點

要點5:安全評估組織構(gòu)成

三、國內(nèi)企業(yè)數(shù)據(jù)出境建議

隨著《數(shù)據(jù)出境安全評估辦法》9月1日的施行,對于需要開展數(shù)據(jù)出境業(yè)務(wù)的企業(yè),如果不能通過監(jiān)管部門的安全評估檢查,則可能因此影響數(shù)據(jù)出境、甚至業(yè)務(wù)的連續(xù)運(yùn)營。建議企業(yè)在《數(shù)據(jù)出境安全評估辦法》施行前即開展準(zhǔn)備工作,如需申報,在《評估辦法》于今年9月1日實施后盡早申報較為穩(wěn)妥。

企業(yè)如涉及跨境業(yè)務(wù)的開展,應(yīng)盡快開展自查與梳理,分析是否存在可觸發(fā)數(shù)據(jù)出境安全評估的情形,并盡快組織或聘請第三方開展風(fēng)險自評估,及早發(fā)現(xiàn)數(shù)據(jù)出境安全風(fēng)險并進(jìn)行整改,為通過國家網(wǎng)信辦安全評估做好準(zhǔn)備。具體步驟包括:

? 圍繞受監(jiān)管主體和受監(jiān)管數(shù)據(jù)等要素研判企業(yè)是否涉及數(shù)據(jù)出境。

? 選擇適當(dāng)?shù)臄?shù)據(jù)出境途徑,目前個人信息出境包括網(wǎng)信辦評估、個人信息出境標(biāo)準(zhǔn)合同,個人信息跨境處理活動安全認(rèn)證等三種途徑,重要數(shù)據(jù)主要采用網(wǎng)信辦評估的方式出境。

? 自行或聘請第三方開展數(shù)據(jù)出境安全自評估,自評估工作可與個人信息安全影響評估同步進(jìn)行,并重點關(guān)注重要數(shù)據(jù)及個人信息的出境風(fēng)險。

? 自評估結(jié)束后,對評估風(fēng)險問題進(jìn)行整改。如果企業(yè)從零開始的話,建議企業(yè)要建立數(shù)據(jù)安全治理體系,包括但不限于開展數(shù)據(jù)分類分級,數(shù)據(jù)安全風(fēng)險評估,個人信息安全影響評估、數(shù)據(jù)安全管理制度、數(shù)據(jù)安全防護(hù)措施建設(shè)等工作;同時,結(jié)合《評估辦法》要求,建立完善數(shù)據(jù)出境安全機(jī)制,建立出境安全制度體系、出境安全組織架構(gòu)、出境安全技術(shù)保障和出境安全應(yīng)急響應(yīng)等。

? 對于申報數(shù)據(jù)出境安全評估階段,企業(yè)準(zhǔn)備自評估報告、自評估過程材料、數(shù)據(jù)出境合同、申報書并向省級網(wǎng)信部門提交資料,需關(guān)注申報材料準(zhǔn)備、申報材料補(bǔ)充、申請復(fù)評和重新評估等關(guān)鍵節(jié)點,切忌因材料問題影響評估結(jié)果。

四、國內(nèi)某車企數(shù)據(jù)出境實踐參考

近年來,隨著我國政府在新能源汽車的提前布局與政策利好,中國車企在全球新能源汽車領(lǐng)域的競爭中贏得了市場先機(jī),并加速搶灘海外市場,數(shù)據(jù)出境的需求日益增多。然而,汽車行業(yè)數(shù)據(jù)出境安全風(fēng)險事件頻發(fā),引起了國家有關(guān)部門高度重視,陸續(xù)出臺了一系列的政策文件,旨在加強(qiáng)跨境流動監(jiān)管與治理工作,保障汽車重要數(shù)據(jù)與個人信息數(shù)據(jù)的安全。

在此背景下,國內(nèi)某車企對出境數(shù)據(jù)內(nèi)容進(jìn)行盤點,發(fā)現(xiàn)涉及大量個人信息、車輛數(shù)據(jù)及營銷數(shù)據(jù),如駕駛?cè)松矸葑C號、行駛證號、駕駛證檔案編號,發(fā)動機(jī)編號、工況數(shù)據(jù)、車輛應(yīng)用數(shù)據(jù),銷售、倉儲、物流數(shù)據(jù)等。綠盟科技配合該車企開展了一系列數(shù)據(jù)出境安全合規(guī)的建設(shè)內(nèi)容:

建立數(shù)據(jù)出境合規(guī)團(tuán)隊

由企業(yè)的信息安全部門、法務(wù)部門和業(yè)務(wù)部門等成員組成數(shù)據(jù)出境合規(guī)委員會。數(shù)據(jù)出境合規(guī)委員會定期對國內(nèi)外數(shù)據(jù)安全法律法規(guī)進(jìn)行研究,確保在采集和處理國外數(shù)據(jù)時不違反當(dāng)?shù)胤?在本國數(shù)據(jù)出境時,接入方有嚴(yán)格的安全保護(hù)措施來保證數(shù)據(jù)安全。同時,落實數(shù)據(jù)出境的安全主體責(zé)任制,建立企業(yè)數(shù)據(jù)出境管理制度,加強(qiáng)數(shù)據(jù)出境安全監(jiān)測與防護(hù)。

跨境數(shù)據(jù)識別梳理

參照國家和行業(yè)領(lǐng)域的重要數(shù)據(jù)識別指南等文件,結(jié)合企業(yè)自身的業(yè)務(wù)數(shù)據(jù)識別重要數(shù)據(jù)與個人敏感信息,開展數(shù)據(jù)分類分級工作。

數(shù)據(jù)出境風(fēng)險自評估

數(shù)據(jù)出境風(fēng)險自評估是數(shù)據(jù)處理者向境外提供數(shù)據(jù)的必經(jīng)之路,對出境方式、數(shù)據(jù)數(shù)量、數(shù)據(jù)屬性進(jìn)行充分綜合判斷,制定數(shù)據(jù)出境計劃,最終形成數(shù)據(jù)出境風(fēng)險評估報告。通過有效的自評估,不僅可以降低數(shù)據(jù)出境的合規(guī)風(fēng)險,在向主管部門申報安全評估時,也有助于提高監(jiān)管部門安全評估的效率。

完善數(shù)據(jù)出境管理體系

健全數(shù)據(jù)出境管理制度,落實數(shù)據(jù)安全保護(hù)義務(wù)。如企業(yè)數(shù)據(jù)出境合同,約定雙方的數(shù)據(jù)安全保護(hù)權(quán)責(zé),優(yōu)化隱私政策和用戶協(xié)議中跨境條款;企業(yè)數(shù)據(jù)泄露應(yīng)急預(yù)案,在緊急事件發(fā)生后,第一時間通知相關(guān)責(zé)任人,同時在法律規(guī)定的時間內(nèi)上報數(shù)據(jù)監(jiān)管機(jī)構(gòu),避免因違反法規(guī)程序而擴(kuò)大不良影響及懲罰金額。

加強(qiáng)數(shù)據(jù)安全防護(hù)措施

通過關(guān)鍵技術(shù)創(chuàng)新,構(gòu)建起全場景、可信任、實戰(zhàn)化的數(shù)據(jù)安全縱深防御預(yù)警體系,貼合客戶實際需求,形成場景化的數(shù)據(jù)出境安全解決方案。包括數(shù)據(jù)梳理、數(shù)據(jù)監(jiān)測、數(shù)據(jù)庫審計、數(shù)據(jù)匿名化、數(shù)據(jù)溯源及數(shù)據(jù)可視化等能力,有效保護(hù)數(shù)據(jù)在出境生命周期過程中的安全,達(dá)到合法采集、合理利用、靜態(tài)可知、動態(tài)可控的防護(hù)目標(biāo)。

五、數(shù)據(jù)出境安全展望

數(shù)據(jù)作為數(shù)字經(jīng)濟(jì)的核心要素,不僅是企業(yè)的核心競爭力,也成為國家之間爭奪的重要戰(zhàn)略資源。面對復(fù)雜的國際形勢,我國出于維護(hù)國家數(shù)據(jù)安全的需要,對數(shù)據(jù)出境的監(jiān)管是極其必要的。企業(yè)應(yīng)在合理利用“數(shù)據(jù)紅利”的基礎(chǔ)上,盡快推進(jìn)落實數(shù)據(jù)出境合規(guī)化建設(shè),加大資金與人力的投入,開展數(shù)據(jù)出境自評估與合規(guī)調(diào)整。綠盟數(shù)據(jù)出境安全解決方案,全面落地“智慧安全 3.0”的理念,將事前評估、事中監(jiān)測、事后溯源與持續(xù)監(jiān)督相結(jié)合,有效防范數(shù)據(jù)出境安全風(fēng)險,保障數(shù)據(jù)依法有序自由流動。

免責(zé)聲明：市場有風(fēng)險，選擇需謹(jǐn)慎！此文僅供參考，不作買賣依據(jù)。