2022年7月7日,国家互联网信息办公室发布《数据出境安全评估办法》(简称《评估办法》),自2022年9月1日起施行。《评估办法》规定数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估。数据出境风险自评估是数据处理者申报数据出境评估的必要条件,由数据处理者自行或者委托第三方机构开展。因此,理解如何高质量开展自评估具有重要意义。

自评估目标、依据、机构和时机

1、数据出境风险自评估的目标

数据出境风险自评估的目标,包括但不限于:1)全面识别数据处理者已经开展和准备开展的数据出境活动情况;2)客观分析可能影响数据出境安全的风险,确保数据出境安全保障能力与评估所识别的风险相适应;3)高质量的数据出境风险自评估报告,为申报网信部门数据出境安全评估提供必要基础和充分补充。

2、数据出境风险自评估的依据

数据出境风险自评估依据文件,包括但不限于《网络安全法》《数据安全法》《个人信息保护法》《数据出境安全评估办法》《网络数据安全管理条例(征求意见稿)》《个人信息出境标准合同规定(征求意见稿)》等数据出境相关政策法规和标准规范。但需注意的是,《信息安全技术 数据出境安全评估指南》(后更名为《信息安全技术 个人信息出境安全评估指南》),由于标准内容与现有《评估办法》存在差异,不能作为数据出境风险自评估的依据。

3、数据出境风险自评估的机构

数据出境风险自评估可由数据处理者自身或委托第三方机构开展:1)如数据处理者自行开展自评估,评估团队建议涵盖数据出境安全相关人员,如组织的数据安全负责人、数据安全人员、个人信息保护人员、业务人员、法务人员等;2)如委托第三方机构开展自评估,评估报告应加盖评估机构公章;3)第三方机构在自评估过程中对知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密;4)如选择涉外背景的第三方机构,宜考虑数据再出境或再转移风险。

4、数据出境风险自评估的时机

数据处理者应在申报数据出境安全评估前开展自评估,同时按照《评估办法》要求应注意以下几点:

1)《评估办法》要求已经开展的数据出境活动,在2023年2月底前完成整改并申报数据出境安全评估。建议尽快对已开展的数据出境活动进行数据出境风险自评估,发现与办法不符合项尽快整改,在整改后申报数据出境评估前再次开展自评估,对不符合项进行复核并出具数据出境风险自评估报告。

2)在数据出境安全评估有效期届满60个工作日前,需要再次开展数据出境风险自评估,重新申报数据出境评估。

3)当有效期内出现《评估办法》第十四条规定的数据出境目的、方式、范围、种类、用途、延长保存期限或所属地的法律环境等发生变化影响出境数据安全时,需要再次开展数据出境风险自评估,重新申报数据出境评估。

评估内容对比分析

1、风险自评估与安全评估对比分析

《评估办法》提出坚持事前评估和持续监督相结合、风险自评估与安全评估相结合的原则,为便于理解数据出境风险自评估和数据出境安全评估之间的关系,将二者评估事项进行对比分析,如下图所示。

风险自评估事项

安全评估事项

差别分析

数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性

数据出境的目的、范围、方式等的合法性、正当性、必要性

前者较后者增加境外接收方处理数据的合法正当必要性

N/A

境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响

仅在后者列出,增加境外接收方所在国家或地区的数据安全政策和环境影响评估

出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险

出境数据的规模、范围、种类、敏感程度

前者与后者在出境数据识别内容一致,前者较后者增加出境数据的风险分析

境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全

境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求

前者从数据安全能力和数据安全风险角度评估,后者从数据安全合规角度评估

数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险

出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险

前者与后者基本一致

个人信息权益维护的渠道是否通畅等

数据安全和个人信息权益是否能够得到充分有效保障

后者增加了数据安全,个人信息权益保障内涵更加广泛

与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务

数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务

前者与后者基本一致

N/A

遵守中国法律、行政法规、部门规章情况

仅在后者列出

其他可能影响数据出境安全的事项

国家网信部门认为需要评估的其他事项

从不同角度列出

2.征求意见版与正式版自评估对比分析

《评估办法》与2021年10月份发布的征求意见稿相比,在自评估部分有些许差别,为便于理解将两个版本制成了一个自评估对照表,并进行简要的差别分析,如下表所示。

《数据出境安全评估办法(征求意见稿)》

《数据出境安全评估办法》

差别分析

第五条数据处理者在向境外提供数据前,应事先开展数据出境风险自评估,重点评估以下事项:

第五条 数据处理者在向境外提供数据前,申报数据出境安全评估前,应事先当开展数据出境风险自评估,重点评估以下事项:

正式版将自评估时机从向境外提供数据前,更改为申报数据出境安全评估前。

(一)数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;

(一)数据出境及和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;

前后版本差别不大。

(二)出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;

(二)出境数据的数量、规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;

正式版将“数量”替换为“规模”,规模包含数量含义且含义更广泛。

(三)数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险;

(三)数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险;

数据处理者管理和技术措施、能力等评估,可在正式版(四)数据出境存在的风险中进行评估,故此条进行了删除。

(四)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;

(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;

前后版本无差别。

(五)数据出境和再转移后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;

(四)数据出境和再转移后中和出境后遭到毁损、篡改、破坏、泄露、滥用、丢失、转移或者被非法获取、非法利用等的风险,个人维护个人信息权益维护的渠道是否通畅等;

正式版本覆盖了数据再转移风险,风险描述与《数据安全法》等法律法规相关描述保持一致。

(六)与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务。

(五)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务;

正式版本增加了其他法律效力的文件,不仅覆盖已订立的,也涉及拟订立的。

N/A

(六)其他可能影响数据出境安全的事项。

考虑到以后可能存在的其他特殊情况。

自评估内容归类解析

按照《评估办法》第五条列出的数据出境安全自评估事项,数据出境风险自评估内容可分为五个方面:出境数据风险评估、数据处理者安全保障能力评估、境外接收方风险评估、个人信息权益保护评估、法律文件约定情况评估等,相关评估点如下图所示。其中,数据安全保障能力,可在数据出境活动安全、数据安全管理、数据安全技术等评估的基础上,提供已开展的数据安全评估或认证作为措施有效性证明,如数据安全管理认证、数据安全能力成熟度评估(DSMM)等。

自评估流程

数据出境安全风险自评估流程,主要包括评估准备、数据出境识别、风险评估、评估总结四个阶段,各阶段主要内容如下图所示。评估准备是自评估的初始预备阶段,在自评估实施前应完成评估准备工作。数据出境识别,用于识别数据出境相关对象情况,如数据处理者、境外接收方、出境数据、业务系统、数据出境活动等。风险评估,主要用于对出境数据风险、境外接收方数据安全、数据处理者安全保障能力、个人信息权益保护、法律文件约定等进行数据出境风险识别、分析和评价。评估总结,主要用于编制自评估报告,按需提出改进建议和措施。

(本文作者:中国电子技术标准化研究院网安中心 胡影、李海东)

声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。