重要数据、个人信息要出境 合规路径有哪些?
数据跨境流动是近年来全球各法域的监管热点问题,近年来,我国陆续出台《网络安全法》《数据安全法》《个人信息保护法》《数据出境安全评估办法》等法律法规,以及《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》《数据出境安全评估申报指南(第一版)》《个人信息出境标准合同规定(征求意见稿)》等规范性文件,逐步搭建成型我国的数据出境监管机制。
数据出境合规正式成为许多企业必须面对的课题,部分企业由此面临不小的压力,法规条款众多,担心实施细则中信息不够明朗不好把握,在合规实施层面存在障碍。安全419关注到,中国信息通信研究院安全研究所相关专家在近期的公开演讲中,从专业角度分析梳理了我国数据出境的规则体系,以及个人信息出境和重要数据出境的合规路径,具有较强的指引和操作性,我们在此总结重点内容供相关企业参考。
重要数据出境合规唯一路径:数据出境安全评估
国家对重要数据出境的管理十分严格,《网络安全法》《数据安全法》共同规定了重要数据出境的唯一合规路径,即通过国家网信部门组织的数据出境安全评估,无例外情形。一旦违反,机构、组织将承担最高1000万的罚款,直接负责人将承担最高100万的罚款,罚金之外还面临警告、停业、吊销营业执照等处罚。
《网络安全法》相关处罚
《数据安全法》相关处罚
重要数据的数据出境安全评估更侧重于数据出境活动对国家安全、公共利益带来的风险。在操作上,2022年9月1日由国家网信办公布实施的《数据出境安全评估办法》对评估的范围、条件和程序进行了统一规定。
重要数据识别
重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。可参见2022年3月16日发布的国家标准《信息安全技术 重要数据识别规则(征求意见稿)》进行梳理。对于部分特殊行业,主管部门制定的法规可成为识别本行业重要数据的有益参考。这一步最终需要输出重要数据清单。
出境活动识别
从具体业务入手,梳理业务场景,进而梳理数据处理活动,再对每个数据处理活动形成数据映射关系,最终输出重要数据出境活动(业务场景)清单。
风险自评估
数据处理者申报数据出境安全评估前,应当开展数据出境风险自评估,输出对应报告。
申报安全评估
数据处理者应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估,申报材料包括申报书、数据出境风险自评估报告、数据处理者与境外接收方拟订立的法律文件及其他相关材料。
个人信息出境合规路径:认证、合同、评估
对于个人信息出境,合规必要条件是个人信息处理者需履行告知义务,告知个人信息主体出境相关事项,并取得单独同意。《个人信息保护法》区分不同责任主体类型规定了个人信息出境的合规路径。
《个人信息保护法》相关规定
路径一:个人信息保护认证
2022年6月24日,信安标委发布《网络安全标准实践指南-个人信息跨境处理活动安全认证规范》,适用于跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动,由境内一方申请认证并承担法律责任;以及《个人信息保护法》第三条第二款适用的个人信息处理活动(见下图),由其在境内设置的专门机构或指定代表申请认证并承担法律责任。
境内外双方均应设立个人信息保护机构,依法制定并实施个人信息跨境处理活动计划,组织开展个人信息保护影响评估,监督本组织按照约定规则处理跨境个人信息,接受和处理个人信息主体的请求和投诉。同时,境内外双方均应指定个人信息保护责任人,由决策层成员承担,明确目标、要求、任务、保护措施,提供人、财、物力保障,指导、支持以确保达到预期目标,向组织汇报工作并推动持续改进。
其中,个人信息保护影响评估可参考国家标准《信息安全技术 个人信息安全影响评估指南》(GB/T 39335-2020)进行。个人信息保护影响评估是个人信息出境的合规前置程序,在后面其他合规路径中亦会涉及。
合规路径二:个人信息出境标准合同
2022年6月30日,国家网信办发布《个人信息出境标准合同规定(征求意见稿)》,个人信息处理者同时符合下图情形的,可以通过签订标准合同的方式向境外提供个人信息。
首先需要事前开展个人信息保护影响评估;根据出境个人信息具体情况,适用于该情形的签署标准合同,生效后即可开展个人信息出境活动,并在10个工作日内进行备案;当出境情况发生变化时,应重新签署标准合同并备案;出现违规行为时,终止出境。
备案材料即为个人信息保护影响评估报告和标准合同。《规定》第六条明确了标准合同包括的内容,同时给出了合同文本。
合规路径三:数据出境安全评估
与重要数据出境的安全评估一样,《数据出境安全评估办法》同时也为个人信息出境提供了具体指引。有下图情形之一的,适用安全评估:
从适用范围来看,「安全评估」和「标准合同」两条路径在一定程度上互为补充,选取上年1月1日作为累计起始日期,以个人信息主体人数作为计量单位,“大量/高风险(关键信息基础设施运营者)”进行安全评估,“少量/低风险(非关键信息基础设施运营者)”选择签署标准合同。
数据安全评估坚持事前评估和持续监督相结合,风险自评估与安全评估相结合的总体原则,由国家网信部门负责统筹协调,省级网信部门进行材料完备性查验并上报,国务院有关部门、省级网信部门、专门机构各司其职相互配合参与具体评估。2022年8月31日,国家网信办编制了《数据出境安全评估指南(第一版)》,对数据出境安全评估申报方式、申报流程、申报材料等具体要求作出了说明,企业可依照操作。
数据出境合规工作建议
在国家数据安全和个人信息保护工作逐步完善、监督逐步加强的大背景下,数据出境安全合规是一项重要工作,但不是孤立的工作。在数据安全合规体系建设整体思路指引下,做好数据出境合规工作,可以考虑以下方面:
● 重视基础性工作,包括数据资产梳理、数据分类分级、重要数据识别等(具体实施可参考安全419《数据分类分级解决方案》系列访谈 ;
● 重视合规工作之间的联动与协同,如个人信息保护影响评估与数据出境安全评估,重要数据风险评估与数据出境安全评估;
● 重视持续监督与改进,如个人信息出境累计数量变化,数据出境目的、方式、范围、种类变化,境外接收方的相关变化;
● 重视业务优化与改造,重要数据能不提供就不提供,个人信息尽量少提供,降低合规成本。
西 西
安全419编辑部
关注网络安全行业的一切新鲜事物。
✦
推荐阅读
✦
粉丝福利群开放啦
加安全419好友进群
红包/书籍/礼品等不定期派送