随着互联网的不断发展,国际社会合作关系的不断加深,数据出境情况也越发频繁。在这种背景下,国家也越发重视数据出境,《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规的出台,数据出境方面的要求也越发清晰。2022年9月1日国家互联网信息办公室正式实施《数据出境安全评估办法》(以下简称《办法》),实施至今即将满6个月。《办法》中设立了为期6个月的整改时限,已开展数据出境活动的企事业单位需要对照《办法》具体规定及时依法申报数据出境安全评估。
01参与主体
涉及重要数据出境的数据处理者按照要求准备申报材料并自行提交;省级网信部门负责申报材料完备性查验和报送;国家网信部门负责申报材料的受理,并根据申报情况,组织国务院有关部门、省级网信部门、专门机构等进行安全评估,以及重要数据通过评估出境后的活动是否符合数据出境管理要求的监督工作。
02申报材料要求
申报书;
数据出境风险自评估报告;
数据处理者与境外接收方拟订立的法律文件;
安全评估工作需要的其他材料。
03安全评估内容
数据出境的目的、范围、方式等的合法性、正当性、必要性;
境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求;
出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险;
数据安全和个人信息权益是否能够得到充分有效保障;
数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务;
遵守中国法律、行政法规、部门规章情况;
国家网信部门认为需要评估的其他事项。
其中,法律文件中明确约定的数据安全保护责任义务至少包括以下内容:
数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;
数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;
对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;
境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施;
违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;
出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。
04流程时限
5个工作日内:省级网信部门进行完备性查验(可退补材料);
7个工作日内:国家网信部门决定是否受理;
自受理起45个工作日内(可适当延期):国家网信部门完成出境评估并出具书面结果;
自收到结果15个工作日内:数据处理者若对书面结果存在异议,可申请复评。
05重要数据出境的合规流程
根据《数据出境安全评估办法》,安全评估共包含四个阶段:自评估阶段、申报阶段、评估阶段、评估结果通知、监督阶段。详细流程如下图所示:
根据现有的管理制度,数据出境管理的目标主体为关键信息基础设施运营者和跨境数据处理者,管理的数据范围主要为重要数据和批量的个人信息,重要数据出境必须依照《办法》的规定,进行自评估和国家(网信部门组织)安全评估,个人信息则根据数据总量、规模和敏感度的不同,采取国家安全评估、个人信息保护认证(网信部门牵头组织)、标准合同(网信部门确定)三种主要途径进行出境操作。
除此之外,不属于重要数据和个人信息的其他出境数据,按照目前法律法规规定,是可以自由出境的(涉密信息或行业有特殊要求的除外)。比如说,既非个人信息又非重要数据的数据出境以及自然人因个人或家庭事务需要对个人信息出境的情况下,数据可以自由出境;我国签订的国际协议若对信息出境有额外要求,则遵从国际协议要求(《个人信息保护法》第38条第2款)。
我国数据出境尚处于整改自查时期,亿赛通根据数据出境场景复杂、难控等因素,提出了针对性方案。帮助有跨境数据采集、共享、传输等业务需要的企事业单位在业务开展过程中及时发现敏感数据,并对重要敏感数据执行阻断功能。
实现对网络( 含邮件) 中的业务进行还原,并对还原出的业务进行内容识别;
根据不同国家、地区的数据安全规定,梳理成安全策略;
对还原出的业务内容进行对应的数据安全规定检查,及时发现业务开展过程中的敏感数据,并根据不同规定中数据的敏感程度采取不同的防护策略,以期满足不同国家、地区对敏感数据的安全要求;
及时发现网络上不同要求的敏感数据,采取不同的防护方法,降低敏感数据泄露风险。
欲了解亿赛通数据跨境安全检查工具请咨询服务热线:400-898-1617
网站声明:如果转载,请联系本站管理员。否则一切后果自行承担。
加入交流群
请使用微信扫一扫!