数话安全 | 第一章：关于数据出境安全评估合规要求，您要知道的那些事

yyds 2023-07-14 10:18:01  64647

分类专栏：资讯

随着《中华人民共和国网络安全法》、《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》“三驾马车”并行齐驱局面的开启，相关配套法律法规、部门规章、国家标准等进一步完善，形成了数据出境的基本合规框架。我国数据出境监管呈现出立法加速、执法趋细、监管趋严的新态势，为数字经济的发展奠定了坚实基础。

为帮助企业快速了解数据出境应关注的合规要点，电科网安特推出数据跨境系列文章，和大家一起分享我国数据跨境监管相关要求，以及企业满足跨境合规的要点和难点，并给出电科网安的服务解决方案和产品解决方案。本文为本系列的第一篇，主要对数据跨境的概念、必要性、整体现状和主要合规路径等进行介绍。

哪些情况属于数据出境？

数据处理者将境内运营中收集和产生的数据传输、存储至境外;

数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载导出;

国家网信办规定的其他数据出境行为。

可以通过哪些途径开展数据出境？

目前，我国通过《数据出境安全评估办法》、《个人信息出境标准合同办法》、《个人信息跨境处理活动安全认证规范》等法律法规，针对不同的数据处理主体、对象细化并明确了数据出境的“三条路径”，为企业提供可落地的操作指引，即：

数据出境安全评估（简称“安全评估”）

个人信息出境标准合同（简称“标准合同”）

个人信息跨境处理活动安全认证（简称“安全认证”）

三条路径并不是企业可以“自助式”任意选择的，而应根据企业自身性质以及出境数据类型、量级和规模等，套用对应的路径。

一般来说，行业头部或用户量级大的创新型企业，往往涉及重要数据和敏感个人信息，难以避免适用安全评估；规模较小、跨境需求不多的中小型企业，在满足条件的前提下，可选择适用标准合同，减少合规成本；安全认证则通常适用于跨国公司等同一实体之间的跨境数据处理活动，目前是非强制的自愿性认证。

此外，特殊场景以及所属行业监管机构另有要求的，除满足出境的基本合规要求外，还应满足相关法律法规规定的其他要求。

哪些情况需申报数据出境安全评估?

数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险，在三条路径中适用范围最广，流程最复杂，外部监管要求最高，是监管的重中之重。

数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：

数据处理者向境外提供重要数据；

关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；

自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；

国家网信部门规定的其他需要申报数据出境安全评估的情形。

企业如不按要求开展数据出境安全评估，会有什么后果？

我国规定了数据处理者应对跨境数据行为承担主体责任。鉴于数据出境活动的高敏感性和高风险性，若企业不按要求开展数据出境安全评估，违反相应监管要求的，可能导致严重的违规风险和法律后果，将依照《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规，视违法违规情节轻重，由有关主管部门给予以下处理：

· 责令改正；

· 警告、通报批评；

· 没收违法所得、罚款（情节严重的可处一百万元以上一千万元以下罚款）；

· 责令暂停相关业务、停业整顿、吊销相关业务许可证或吊销营业执照；

· 对直接负责的主管人员和其它直接责任人员处以罚款（情节严重的可处十万元以上一百万元以下罚款）；

· 构成犯罪的，还将依法追究刑事责任。

某网约车平台数据泄漏事件殷鉴未远，为免“触雷”造成财务损失、业务受限、声誉受损等后果，企业应严格实施数据出境合规管理，最大限度规避违规风险，在发现触发数据出境安全评估的情形下，按要求、按步骤开展和落实安全评估申报工作。

各地企业数据出境安全评估申报工作开展现状如何？

《数据出境安全评估办法》于2022年9月1日生效，现已实施近十个月。在各地网信部门的大力宣传和推动下，各地相关企业积极提交申请，由省级网信部门完成申报材料完备性审核后向国家网信办提报。

根据各地最新公布的信息，已有142家单位向北京市网信办初步表达了申报意愿，120余家单位咨询申报事宜，48家单位正式提交申报材料，35家单位正补充完善申报材料；上海市网信办已接收涉及金融、零售、商务服务、汽车、医疗等重点领域的申报材料超400件，通过完备性查验并报送国家网信办申报材料近60件；浙江网信办已接收正式申报材料70余份，其中通过完备性查验并报送国家网信办32件，主要涉及电商平台、金融、物流、安防、通信等领域。

根据各地网信办公布的辖区内企业安全评估申报工作的进展和动态，截止目前，已有十余家企业的数据出境安全评估申请获国家网信部门批准，其中北京2家、上海2家、浙江3家、江苏1家、广东3家，涉及医疗、交通、汽车、跨境电商等领域。各地安全评估申报项目在如火如荼的推进过程中，已申报企业积极配合网信部门修改完善材料。

企业应积极自查，在发现触发数据出境安全评估的情形下，及时主动按要求、按步骤开展和落实安全评估申报工作，保障数据出境业务合规、顺利开展。

数据出境安全评估，企业应该怎么做？

对企业来说，数据出境安全评估中最重要的环节是进行企业数据出境风险自评估。

在自评估中，首先，需要深度梳理数据出境活动的基本情况，准确识别数据出境场景，这是企业开展数据出境安全评估工作的关键第一步。企业应尽快对照各新规和指南中规定的评估内容，全面筛查涉及数据出境的业务场景，并对出境信息基础设施和信息系统、数据链路等进行梳理与检测，厘清企业涉出境的数据资产情况，为分析企业数据出境风险提供支撑。

其次，还应对数据出境安全保障能力进行全面深入的安全评估，系统评估企业的数据安全管理能力和技术能力，并综合考量境外接收方的数据安全保障能力。通过及时整改自评估工作中发现的问题，建立起数据安全管理的组织和资源保障体系，并实施持续的内部合规监测与审计；同时通过部署安全工具和技术手段，执行和优化防护策略，加强数据跨境过程中的整体防护能力。

此外，还应综合评估境内外的法律环境，对合同等相关法律文件进行合规性审查，并对出境后个人信息权利的保障能力进行评价。

自评估是一项综合性、持续性的工作。企业应将自评估的内容纳入企业数据合规管理体系中。企业可根据自身情况，设置相应管理机构及职位，综合统筹业务部门、信息化部门、安全团队、合规团队等各条线人员，建立相应的机制，在日常的管理运营过程中开展和落实数据出境的安全合规工作，以便及时发现会触发网信部门要求开展安全评估条件的数据出境活动，及时组织企业的自评估工作，及时向网信部门进行申报。

在实施自评估工作时，由于合规性的评价、安全保障能力的评估、申报材料的填写等具有相当的专业性，企业可适当引入第三方专业团队，采用其专业的法律服务或技术服务，以便实现高效、妥善地开展自评估工作和申报工作。

网站声明：如果转载，请联系本站管理员。否则一切后果自行承担。

本文链接：https://www.xckfsq.com/news/show.html?id=26345

赞同 0

评论 0 条

数话安全 | 第一章：关于数据出境安全评估合规要求，您要知道的那些事

相关文章

关注我们