《网络安全法》《数据安全法》《个人信息保护法》已构建我国数据出境管理框架,《数据出境安全评估办法》规定整改期将至,数据处理者需及时申报完成数据安全评估,依法依规向境外提供数据。本文梳理数据出境安全评估的情形,分析《数据出境安全评估管理办法》相关要求,研提数据出境合规建议,帮助企业顺利开展数据出境工作。

一、数据出境安全评估情形

目前,我国数据出境安全评估主要涉及向境外提供重要数据、个人信息,向外国司法或者执法机构提供数据,以及国家网信部门规定的其他需要申报数据出境安全评估的情形。

重要数据出境安全管理

依据《网络安全法》第37条、《数据安全法》第31条,以及《数据出境安全评估办法》第4条的规定,数据处理者向境外提供中华人民共和国境内收集和产生的重要数据,应当通过国家网信部门组织的数据出境安全评估。

个人信息出境安全管理

《个人信息保护法》第38条、第40条规定,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。

《数据出境安全评估办法》第4条进一步明确申报对象,包括关键信息基础设施运营者、处理100万人以上个人信息的数据处理者、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者。

向国外司法或者执法机构提供数据

2022年6月,司法部就国际民商事司法协助常见问题进行解答,明确了涉诉信息的跨境调取规则,指出中国境内当事人出于自愿直接向外国司法机关或司法人员提交位于境内的证据材料,应符合《民事诉讼法》《数据安全法》《个人信息保护法》的相关规定。数据信息确需向境外提供的,应当通过国家网信部门组织的安全评估、认证后方可向境外提交。涉及到国际司法协助的,非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据或个人信息。

二、数据出境安全评估制度解读

《数据出境安全评估办法》明确数据出境安全评估流程、内容等具体要求,遵循坚持事前评估和持续监督相结合、坚持风险自评估与国家安全评估相结合的原则。

申报流程

《数据出境安全评估办法》《数据出境安全评估申报指南(第一版)》对数据出境安全评估申报方式、申报流程、申报材料等具体要求作出说明,具体申报流程如下图:

申报对象通过省级网信部门向国家网信部门申报数据出境安全评估,省级网信部门负责对申报材料完备性查验,并于5个工作日内完成相关工作,不符合规定的申报请求将被直接驳回。

国家网信部门收到申报材料后,7个工作日完成申报材料的审查工作,确定是否受理并书面通知申报主体。申报材料通过审查后,国家网信部门组织进行安全评估,原则上45个工作日完成。若申报材料存在补充、更正等情况,或者申报情形较为复杂,评估周期将适当延长。因此,数据处理者对数据出境情况的准确把握、精准描述、风险研判及防范措施等,直接决定安全评估的周期、结果。

数据出境安全评估重点内容

国家网信部门根据数据出境安全评估申报情况,组织有关部门进行安全评估,评估着重考虑以下因素:一是数据出境的目的、范围、方式等的合法性、正当性、必要性;二是境外接收方所处政策环境、数据安全保护能力等;三是出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险;四是数据安全和个人信息权益是否能够得到充分有效保障;五是数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务;六是遵守中国法律、行政法规、部门规章情况。

三、企业数据出境合规建议

做到知己知彼,掌握自身数据资产、数据接收方等情况

企业应首先识别重要数据、盘点处理个人信息情况,梳理掌握数据的数量、类型、范围、字段、存储地点等情况,真实、详细、准确描述企业掌握数据情况;充分调研数据接收方背景、安全管理能力、承担责任能力、所处政策环境等情况,有针对性地分析风险、提出风险防范措施。

遵循必要原则,准确研判数据出境的范围、方式

企业需按照相关法律法规的要求,结合自身业务特点、主体性质和数据敏感性,精确确定数据出境范围。明晰自身是否属于关键信息基础设施运营者、处理的个人信息是否达到国家网信部门规定的情形,依法依规确定数据出境途径。

提升保障能力,建立健全数据处理者自身数据安全合规体系

企业需强化自身数据管理能力,建立全流程数据安全管理制度,明确数据安全负责人和管理机构,定期进行风险评估、应急演练、教育培训,提升企业数据安全保障水平,降低数据安全威胁的影响,形成“事前预防风险、事中保障安全、事后降低损失”一体化数据出境合规体系。

小结

审慎合规是行稳之道,驾驭风险是致远之路。随着经济全球化进程的不断加速,以及我国数据出境管理制度的不断完善,涉及数据出境的有关企业,应当积极履行义务,严守合规底线,护航数字经济稳步发展。

(国家工业信息安全发展研究中心 李文婷 杨晓伟 张誉馨)

声明:本文来自工业信息安全产业发展联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。