数据出境安全的“知”与“行”
全球数字经济的发展催生海量的跨境数据流动,已经从个人信息泛化到包括非个人信息的一切数据范围,且在世界网络空间安全论坛中,数据跨境已经成为最重要的话题之一。数据跨境包括国内的数据出境、国外的数据入境以及第三国的数据过境,今天且先聊一聊我国的数据出境。
我国对于数据出境的监管早在2017年,随着全球竞争格局的变化,我国数据出境的管辖法律法规体系日趋成熟,2022年7月7日正式发布了《数据出境安全评估办法》,使得出境要求日渐清晰明朗,如:出境情形、开展安全评估、签订法律文件、安全技术保障等,有效指导出海组织降低安全风险,提升数据保护整体水平。
数据安全出境
的“知”与“行”
知红线、行安全,知行合一,保数据安全出境。
数据出境的定义
《信息安全技术 数据出境安全评估指南(草案)》中数据出境的定义:将在中华人民共和国境内收集和产生的电子形式的个人信息和重要数据,提供给境外机构、组织、个人的一次性活动或连续性活动。(注:境外数据经由中华人民共和国中转,未经任何变动或加工处理的情形不属于数据出境。)
哪些行为是数据出境?
1、地域转移:数据通过网络传输或物理转移到境外;
2、远程访问:在境外通过网络访问境内的数据;
3、其他情况:国外机构获取境内数据,例如境内的驻华使馆通过网络传输或者网络访问获取数据。
哪些数据可以出境,哪些不可以?
数据处理者在境内收集和产生的个人信息和重要数据,如需出境,需要根据要求进行安全评估,根据评估结果确定是否可以出境。(法律、行政法规另有规定的,依照其规定。)
1、严禁出境:国家秘密等;
2、评估/审查/许可后出境:重要数据、敏感个人信息、大量个人信息、出境管制技术数据等;
3、可自由流动:其他类型数据、国际/区域协议明示数据。
数据安全出境保障做哪些,怎么做?
组织可根据自身实际情况和需出境数据,由法务和技术人员进行基础的保障判断,可参考如下保障措施进行数据出境准备:
第一步:数据出境安全评估要求确认
严格按照国家法律法规要求,在重要数据和个人信息的出境活动之前履行数据出境安全评估责任和义务,并将评估结果报送监管单位;根据《数据出境安全评估办法》,符合以下情形,需要进行安全评估:
① 数据处理者向境外提供重要数据;
② 关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
③ 自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
④ 国家网信部门规定的其他需要申报数据出境安全评估的情形。
1)申报材料如下:
① 申报书;
② 数据出境风险自评估报告;
③ 数据处理者与境外接收方拟订立的法律文件;
④ 安全评估工作需要的其他材料。
如向境外提供个人信息时,应当事前进行个人信息保护影响评估。(来源:《个人信息保护法》)
2)安全评估流程如下:
第二步:数据出境安全评估
根据数据出境合规要求,组织开展出境活动所必需的自评估,并提交风险自评估报告。
美创数据出境风险评估服务:以第三方中立视角协助组织更有效地完成风险自评估工作,并提供符合监管审查要求的自评估报告。
个人信息保护影响评估服务:协助组织有效评估在各项数据处理活动中的所存在个人信息、特别是个人敏感信息所可能存在的各项风险情况,同时结合对出现个人信息相关安全事件时所造成的影响进行分析的结果,给予相关的处置措施建议。
1)数据出境安全加固:建立数据安全保障机制,特别加强数据转移环节的管理和技术措施、能力等,以防范数据出境时的泄露、毁损等风险。
美创数据出境合规指引和加固服务:基于数据出境风险评估结果,提供体系化的数据出境合规指引和针对性的防护策略,并可协助完成策略落地。
2)数据出境安全应急响应机制:组织需具备应急响应机制,发生数据泄露、数据损坏等风险时,妥善开展应急处置,并保障个人维护个人信息权益的通畅渠道。
美创可根据组织数据出境实际情况,提供数据出境应急响应制度、应急预案、应急处置流程,以及应急响应服务,协助组织能够在第一时间响应并完成处置工作,最大程度降低损失。
组织进行数据出境自评估和充分安全保障后,数据出境更安全,申报出境安全评估的材料也更充足。
《数据出境安全评估办法》第二十条 本办法自2022年9月1日起施行。本办法施行前已经开展的数据出境活动,不符合本办法规定的,应当自本办法施行之日起6个月内完成整改。
基于十七年数据安全领域深耕,美创科技贯通安全咨询、架构设计以及安全技战能力,不仅提供全面完整的咨询和建设服务,同时在服务、团队、产品能力上不断提升,旨在为组织提供一站式的数据安全治理服务。
权威的服务资质
具备CCRC颁发的风险评估、安全集成、安全运维、应急处理等多项信息安全服务资质证书。
专业的服务团队
美创数据安全服务团队拥有安全咨询顾问20+、各类安全服务人员80+,以及公司各产线专业的人才资源库。
优秀的产品能力
拥有暗数据发现和分类分级、数据库防水坝、数据库审计、数据库透明加密、数据库防火墙、数据脱敏、数据安全管理平台等众多产品,协助组织落地数据安全防护策略。
请输入标题
请输入标题