freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

关于9月正式实施的数据出境安全评估相关政策的解读
  • 关注
关于9月正式实施的数据出境安全评估相关政策的解读
2022-09-05 15:41:42
所属地 北京

2022年7月7日,国家互联网信息办公室出台《数据出境安全评估办法》,坚持安全和发展并重,标志着我国数据治理法治实践走出关键一步。

同年9月1日起《数据出境安全评估办法》正式施行。于此同时在8月31日晚国家互联网信息办公室公布《数据出境安全评估申报指南(第一版)》,那么数据出境安全评估相关政策的背景和意义是什么,数据出境安全评估的流程和要求是什么,未来数据跨境流动管理的展望是怎样的?本文为您进行解读。

一、背景、目的和意义

伴随数字经济蓬勃发展,融入全球数据跨境流动的趋势不可避免。欧美已经形成较为体系化的数据跨境管理制度,我国作为世界数据资源大国之一,面临的数据安全风险相较于其他国家也更为严峻,亟需建立健全数据跨境管理规则。

自2016年起,我国陆续出台《网络安全法》《数据安全法》《个人信息保护法》等,基本构建了数据治理顶层法律制度,有效回应数字经济发展中各类问题。其中,数据出境作为国内外高度关注的数字经济发展议题,在有关顶层立法中均作出制度安排,明确了总体性要求。

2022年7月7日,国家互联网信息办公室正式出台《数据出境安全评估办法》,对数据出境管理中最为重要的“安全评估”手段予以明确,实现了规则性立法落地,是完善数字治理顶层制度设计的重要配套性规章。就个人信息和重要数据的出境安全评估管理措施提供具体的法律解决方案,是我国破题数据跨境流动管理规则的重要实践,有效保障数据依法有序自由流动。

为了指导和帮助数据处理者规范、有序申报数据出境安全评估,国家互联网信息办公室编制了《数据出境安全评估申报指南(第一版)》,对数据出境安全评估申报方式、申报流程、申报材料等具体要求作出了说明。

二、数据出境行为

企业或单位的数据处理者如何判定什么是数据出境行为?我们根据《数据出境安全评估申报指南(第一版)》规定,判定以下情景为数据出境行为:

一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。

二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。

三是国家网信办规定的其他数据出境行为。

三、数据出境安全评估适用范围

有些企业或者单位拟数据跨境传输前,需要判断是否需要进行出境安全评估,在这里我们根据《数据出境安全评估办法》,整理出数据出境安全评估的适用范围及相关建议。

数据处理者向境外提供数据,有下列情形之一的,应当通过所在省级网信办向国家网信办申报数据出境安全评估:

适用范围对于拟向境外跨境传输数据的企业,我们建议,应当根据跨境传输数据的类型进行如下自评工作:

首先,应当关注本地区、本行业、本领域主管部门制定的重要数据目录,如果涉及向境外提供目录上的数据的,应当严格按照《数据出境安全评估办法办法》的要求进行出境前的自评估和安全评估申报。

其次,如果不涉及传输重要数据,仅涉及传输个人信息的,应当判断是否属于“关键基础设施运营者和处理100万人以上个人信息的数据处理者”如果属于也应当严格按照《数据出境安全评估办法办法》的要求进行出境前的自评估和安全评估申报。

最后,除以上两种情况,还需判断是否“自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息”,如果属于也应当严格按照《数据出境安全评估办法办法》的要求进行出境前的自评估和安全评估申报。

四、数据出境安全评估重点事项

各企业或单位的数据处理者,均会重点关注数据出境安全评估的重点事项是什么?有哪些方面入手去准备申报材料,根据《数据出境安全评估办法办法》的要求,数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险。数据出境安全评估主要包括以下事项:
重点事项

五、申报数据出境安全评估指南要求

(一)申报方式和流程

为方便企业和单位的相关人员一目了然的了解数据出境安全评估的申报方式和流程,按照《数据出境安全评估办法》、《数据出境安全评估申报指南(第一版)》的要求,整理出申报方式和流程详见下图
流程在申报中需要注意的是:数据处理者首次申请需要提前三个月内完成《数据出境风险自评估报告》作为申报材料递交所在省级网信办、国家网信办评估。再次申报需要在有效期届满60个工作日内重新提交申报,申报评估通过后,一般有效期为2年。因此申报的时间是重要的考虑因素。递交申报材料的方式是以纸质版和电子版形式的结合,国家网信办亦通过书面通数据处理者。

(二)申报材料要求

企业和单位的数据处理者究竟需要准备哪些申报材料进行数据出境安全评估?,具体应当申请以下材料:
材料其中对于《数据出境风险自评估报告》的相关要求,进行整体情况的梳理,作为申报材料的中比较重要的材料进行一个详细说明。其主要包括数据出境基本情况、数据出境涉及业务和信息系统情况、拟出境数据情况、数据处理者安全保障能力、境外接收方情况、法律文件约定数据安全保护责任义务情况和数据处理者需要认为说明的其他情况,详见下图。其中再次说明一下,因《数据出境风险自评估报告》涉及的内容和方面比较多,且需在申报前的3个月内完成,因此时间把控仍相对比较重要。
风险自评

六、数据跨境流动管理的展望

数据安全是国家安全的重要组成部分。从国内来看,《数据出境安全评估办法》完善了数据出境安全评估的具体制度,在数据治理领域践行了总体国家安全观。

《数据出境安全评估办法》的正式实施,将为国家数据安全工作筑牢坚实“防线”。未来,随着标准合同条款、数据出境安全认证等其他数据跨境监管措施的落实,我国的数据跨境管理制度体系将更为完善,乃至形成全球数据跨境流动规则的中国方案。

# 安全评估 # 数据安全 # 安全合规 # 数据出境
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
一、背景、目的和意义
    二、数据出境行为
      三、数据出境安全评估适用范围
        四、数据出境安全评估重点事项
          五、申报数据出境安全评估指南要求
          • (一)申报方式和流程
          • (二)申报材料要求
          六、数据跨境流动管理的展望