《数据出境安全评估办法》发布,中国数据出境管理进入新征程
近年来,我国在国家数据安全和个人信息保护的顶层设计布局下,加快数据出境相关立法,在数字经济高速发展中积极维护数据主权。从2017年的18条要求,到2019年的22条要求,到2021年的18条,再到2022年的20条,数据出境相关要求不断完善。针对数据出境进行有效管理,是国家数据安全治理、数据开发利用等工作的重要内容,同时也是国家网信部门持续完善的重点工作。
7月7日,《数据出境安全评估办法》(后文简称“《办法》”)发布,对数据出境评估要求进一步地明确,该办法将于今年9月1日开始实施。
《办法》四问四答
第一问:我们是否需要申报数据出境安全评估?
《办法》第四条明确了触发数据出境安全评估的条件,当我们存在如下情形之一时,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
先看数据类型,重要数据出境或者一定条件下(2和3)的个人信息出境,需要评估;
再看企业身份,关键基础设施运营者、处理100万人以上个人信息的数据处理者向境外提供个人信息,需要评估;
最后看数据量,自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息,需要评估;
可参考如下流程图判断是否需要执行出境评估:
第二问:我们如何进行数据出境安全申报?
《办法》第五条至第十三条对明确规定了数据出境安全申报的流程,可分为出境风险自评估、评估申报、网信部门开展评估、重新评估四步:
我们在数据出境安全评估过程需要开展出境风险自评估、提交申报材料、配合网信部门补充评估材料、接受或响应网信部门的通知:
第三问:我们要向网信部门提交什么材料?
《办法》第六条指出,申报数据出境安全评估需要提交如下材料:
(1) 申报书
(2) 数据出境风险自评估报告
(3) 数据处理者与境外接收方拟订立的法律文件
(4) 安全评估工作需要的其他材料
“数据出境风险自评估报告”中需要包含《办法》第五条指出的自评估重点,包括合法性、正当性、必要性分析,出境风险分析、境外接收方承诺与安全能力、出境风险管控措施等。
“数据处理者与境外接收方拟订立的法律文件”按照《办法》第九条与境外接收方明确约定数据安全保护责任义务,包括:
第四问:谁来评估?评估会关注什么?
《办法》第十条提出国家网信部门受理申报后,根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估。
《办法》第八条提出数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险。
从国家安全和公共利益角度,需要评估数据出境的合法性、正当性、必要性1、境外接收方的网络安全环境2、出境数据的规模、范围、种类和敏感程度3、相关法律法规的遵守情况6;
从个人或组织合法权益角度,需要评估数据出境的合法性、正当性、必要性1、风险评估的完备性3、个人权益4、争议解决5;
综合看来,网信部门会基于我们提供的自评估报告、法律文件等材料从如下6个方面进行评估:
《办法》即将生效,我们立马要采取什么行动?
根据《办法》第二十条规定,本办法自2022年9月1日起施行。本办法施行前已经开展的数据出境活动,不符合本办法规定的,应当自本办法施行之日起6个月内完成整改。
数据出境安全评估从提交申报材料开始最快需要57个工作日(约3个月),我们只有4个月的时间摸排数据出境情况、进行合规整改、准备申报材料。如果我们适用数据出境安全评估,应该立马采取如下行动:
行动一 : 建立“战时”工作组,准备工作资源
我们应立即召集应对《办法》的团队,这个团队应具备提供资源和快速决策的能力,团队可以由以下三个层面的角色组成:
行动二 : 识别出境场景,梳理出境数据流
在自评估之前,我们需要了解有哪些重要数据和个人信息的出境场景,明确哪些数据出境?
数据发出方、中转方、接收方有哪些?我们和相关方的协议中包含了什么内容?我们和相关方在管理和技术层面做了什么管控?
因此,我们可以从合规、管理能力、技术能力三个层面进行对现状梳理;
行动三 : 评估出境风险,完成合规整改
自评估时要充分考虑地区、行业相关的法律法规,对数据发出方和接收方的法律文件、管理能力、技术能力进行全方位的评估,并基于评估结果快速整改。
我们在完成整改之后,需要再次进行风险自评估,形成可以提交给网信部门的“数据出境风险自评估报告”。
行动四 : 整理申报材料,向网信部门提起申报
在整改之后,撰写申报书、整理出最新的数据出境风险自评估报告、数据处理者与境外接收方拟订立的法律文件、以及安全工作需求的其他材料。遵循《办法》规定的数据出境安全申报流程向省级网信部门进行申报,在网信部门要求补充材料时,快速响应,在网信部门拒绝出境需求时,确定是否申请复评。
数据出境安全,不仅要“治标”还要“治本”
数据出境安全评估不是一次性的活动,根据《办法》第十四条,当评估结果超过2年有效期或者出现影响数据安全的情形是应停止数据出境或者重新申请评估,因此数据出境安全应作为数据安全管理中一个常态化的机制落实。
(一)对数据分类分级,从数据性质考虑可否出境
数据出境是数据安全管理中的一部分,在出现数据出境需求之前,需要从数据级别考虑数据本地化的要求。
(二)优化数据合规管理体系,建立数据出境评估流程
从数据安全与隐私合规的角度出发,将数据出境融入整体的数据管理框架。针对《办法》的颁布,优化数据出境管理流程。
(三)设计数据安全技术方案,保障出境过程数据安全
基于数据生命周期,根据数据的类型、性质建立不同阶段的技术方案,从技术层面对出境数据实施可靠的保护。
结语
上半年,除了《数据出境安全评估办法》外,国内还发出了《重要数据识别指南(征求意见稿)》、《网络安全标准实践指南—— 个人信息跨境处理活动认证技术规范》、《个人信息出境标准合同规定(征求意见稿)》,配套数据出境相关立法、规范、指南在迅速完善中,这也反应出国内的数据安全的监管方向。为响应国家的监管要求,企业需要快速建立数据跨境的安全能力,保障数据出境安全。
作者:
何微
德勤中国风险咨询
网络安全服务 合伙人
电邮:vhe@deloitte.com.cn
邓娜
德勤中国风险咨询
网络安全服务 合伙人
电邮:tindeng@deloitte.com.cn
刘雪晴
德勤中国风险咨询
网络安全服务 经理
电邮:ninliu@deloitte.com.cn
声明:本文来自德勤Deloitte,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。