第三期数据保护官沙龙纪实:数据出境安全评估
8月23日,第三期数据保护官(DPO)沙龙在北京举办,主题为“数据跨境传输的良好安全实践”。围绕数据出境安全的评估要点、实现路径等问题,相关指南起草者与一线实务工作者进行了热烈探讨。
近年来,数据传输产生的经济和社会价值飞速增长,其间的安全风险也随之增加。在此背景下,网络安全法第三十七条对关键信息基础设施运营者提出要求,即境内产生的个人信息和重要数据出境前应经过安全评估。数据跨境传输基本规则首次现身中国法律,引发各界关注。
如今,网络安全法施行超过一年,被业界视为重要配套细则的《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称“《评估办法》征求意见稿”)和国家标准《信息安全技术数据出境安全评估指南(草案)》(以下简称“《评估指南》草案”),仍在修改过程中。
第三期数据保护官(DPO)沙龙,便在一线实践问题与《评估办法》征求意见稿、《评估指南》草案的碰撞中展开。
洪延青谈安全评估要点。
《评估指南》起草人之一、中国信息通信研究院安全所研究员姜宇泽从草案的编制过程切入,系统阐述了草案所规定的数据出境安全评估流程、评估要点、评估方法等内容。他透露,自《评估指南》于2017年4月立项至8月公开征求意见,编制起草组已组织召开了9次起草组封闭讨论会、7次专家研讨会、7次企业调研会、2次专题研讨会以及多次企业交流会,推动草案的完善。
腾讯数据隐私合规专家赵冉冉认为,目前企业面临若干种数据出境的典型场景,比如覆盖全球的 HR 信息查询系统、健康医疗设备的运营维护、跨境支付与相关争端解决,等等。他结合实践案例,分享了腾讯在数据出境合规方面的经验。
一些一线法务人员则围绕《评估办法》征求意见稿、《评估指南》草案中的具体细节,反映了他们在合规实践中遇到的困惑和思考。其中焦点之一,是个人信息和重要数据的区分问题。有律师表示,尽管《评估指南》草案附录中罗列了28类重要数据,企业仍需要更清晰的数据分类和定义。
参会人员提问。
“有时候个人信息和重要数据会交织在一起。比如基因数据,即使经过去标识化处理,满足了个人信息出境的要求,仍然可能影响社会公共利益与国家安全。在这种情况下,界定重要数据的范围就成了问题。”方达律师事务所律师杨建媛说。
针对业界困惑,中国电子技术标准化研究院安全审查部技术总监何延哲在随后的主题发言中作出回应,从多个维度进一步阐释了重要数据与个人信息的关系、重要数据的特点和判定标准。同时,他援引Facebook 数据泄露事件强调,重要数据出境不仅要做安全评估,还应持续进行风险监控。
“我们希望借此机会向各位参会人士了解相关反馈与建议,帮助我国的数据出境安全评估机制更有效地指导企业进行合规落地。”数据保护官沙龙发起人 、四川大学网络安全研究院特聘副研究员洪延青说。
关于DPO沙龙活动的有关情况,请见:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点