摘要: 近日,长三角医药数智化协会和默安科技在苏州联合举办线下安全沙龙,邀请众多医药企业的IT高管们,围绕“数据安全与数据跨境合规的思考与实践”的主题进行研讨与交流。默安科技合规安全专家薛安正带来《数据出境合规及解决方案》的主题演讲,围绕数据出境的背景、合规要点、安全...
近日,长三角医药数智化协会和默安科技在苏州联合举办线下安全沙龙,邀请众多医药企业的IT高管们,围绕“数据安全与数据跨境合规的思考与实践”的主题进行研讨与交流。默安科技合规安全专家薛安正带来《数据出境合规及解决方案》的主题演讲,围绕数据出境的背景、合规要点、安全评估解决方案与实践等展开分享。
图 默安科技合规安全专家薛安正现场分享
数据出境的背景
在数字经济蓬勃发展、企业数字化转型的背景下,数据已然成为国家战略资源和主要生产要素,也是企业核心竞争资产。同时,伴随着经济全球化,数据出境场景显著激增,安全风险不断加剧,数据跨境流动相关话题成为各方关注焦点,我国围绕数据出境安全的监管体系也日趋完善严格。
请问,我国目前出台了哪些和数据出境安全相关的法律呢?
近年来,我国不断完善数据出境安全管理制度。2016年11月通过的《网络安全法》明确要求关键信息基础设施运营者应将在中国境内收集和产生的个人信息和重要数据存储在境内,数据处理者出境传输的个人信息和重要数据应当通过国家网信部门组织的安全评估后方可出境。
2021年6月通过的《数据安全法》首次提出对数据实行分类分级保护,建立国家数据分类分级保护制度,并对重要数据的出境安全管理提出了明确要求。
2021年8月通过的《个人信息保护法》首次对公民个人信息保护、合理使用进行专门立法,并明确了域外适用的情况。
上述提到的三部法律作为数据安全领域的上位法对数据出境安全评估进行了原则性规定,此后,我国相继颁布了《数据出境安全评估办法》和《个人信息出境标准合同办法》等法律规范。其中《数据出境安全评估办法》标志着数据出境规则的正式落地,规定数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估,以及识别当评估结果发生重大变化,如何进行重新申报评估。
薛安正表示,在数据出境监管层面,企业需要关注以下几点:一是不同数据差异化管理:在设计层面对个人信息和重要数据的出境合规提出了不同要求,特定行业的特定类型重要数据,由不同行业法律法规进行规定;二是注重安全风险管控:数据出境安全风险和影响性评估成为企业数据出境前的基本合规义务;三是关注出境目的:“出境目的合法、正当、必要”贯穿各法律和行政法规,使得出境目的合规成为数据出境合规工作的前置条件。
数据出境合规路径有哪些
如何判定企业业务行为与场景是否属于数据出境?请大家先回答下面这个小问题哟~ 👇
Q
以下属于数据出境活动的是?
A、数据处理者将在境内运营中收集和产生的数据传输、存储至境外
B、数据处理者收集和产生的数据存储在境内,境外的机构、组织或个人可以访问或调用(公开信息、网页访问除外)
值得注意的是,不属于数据出境的情况有两种:一是非在境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动和加工处理的;二是非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据。
那么,数据出境有哪些合规路径呢?
合规路径一:安全评估
薛安正认为,由于安全评估需通过国家网信部门的审核,因此是企业开展数据出境活动最重要的合规路径。依据《网络安全法》《数据安全法》《个人信息保护法》,数据处理者向境外提供数据,符合下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
(一)数据处理者向境外提供重要数据;
(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。
评估要点包括申报书、数据出境风险自评估报告、数据处理者与境外接收方拟订立的法律文件,以及安全评估工作需要的其他材料。
图 数据出境安全评估流程
合规路径二:标准合同
依据《个人信息保护法》,个人信息处理者同时符合下列情形的,可以通过签订标准合同的方式向境外提供个人信息:
(一)非关键信息基础设施运营者;
(二)处理个人信息不满100万人的;
(三)自上年1月1日起累计向境外提供未达到10万人个人信息的;
(四)自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。
评估要点包括标准合同和个人信息保护影响评估报告。
合规路径三:认证规范
个人信息处理者依据GB/T 35273《信息安全技术 个人信息安全规范》、TC260-PG-20222A《个人信息跨境处理活动安全认证规范》,开展技术验证、现场审核、获证后监督等个人信息保护认证流程。
薛安正特别提醒,企业若未履行数据出境合规义务将面临以下后果:一是合规风险:未按要求完成数据出境申报,或面临监管机构的行政处罚;二是安全事件:未履行安全责任和义务,发生安全事件,或面临来自客户以及监管机构的法律追究;三是举报:来自竞争对手、个人用户等,对存在的安全隐患进行举报,或面临监管机构处罚。
默安科技安全评估解决方案
默安科技安全评估解决方案主要包含数据出境安全评估服务和个人信息保护影响评估服务。
数据出境安全评估服务包含以下六大环节:
01 项目启动阶段:完成准备阶段相关的工作,确认团队成员、工作范围等
02 调研阶段:完成数据资产和数据出境基本情况的调研阶段相关工作
03 评估阶段:完成评估阶段的各项评估工作
04 输出阶段:根据评估结果和客户实际情况,协助客户完成报告编制和申报工作
05 改进指导阶段:提出改进建议并协助落实改进
06 项目终验阶段:完成项目总体验收
个人信息保护影响评估服务分为个人信息处理活动调研、个人权益影响评估、安全保护措施有效性评估、安全风险综合评估、评估报告、改进与指导六个部分。此外,默安科技还为客户提供以下赋能服务:信息安全意识培训、个人信息安全保护意识培训、个人信息保护合规风险评估培训、个人信息安全管理体系培训、个人信息保护影响评估培训、个人信息跨境处理合规培训等。
图 默安科技个人信息保护影响评估框架
案例实践
在某头部医疗客户案例实践中,默安科技第一步协助客户完成项目宣贯及调研模板标准化,包括项目启动会、确定数据出境(CBDT)情景、确定沟通邮件模板、培训(调研表填写)、邮件发送(调研表&填写说明);第二步是研究和收集,包括组织填写调研问卷,总结和分析调研信息(确保合规性及标准化);第三步是总结、整理和提交,包括调查表摘要、修改与改进、绘制数据出境流导图、提交最终调研结果;第四步是差距分析,对客户当前的数据出境安全保护现状与合规标准之间的差距进行分析;第五步是报告输出,由专业律所确定提交策略、提供司法解释、编制标准条款合同(SSC)和完成最终评估报告;最后与网信办(CAC)完成对接沟通。
客户收益
默安科技数据出境安全评估解决方案能够为企业客户实现以下收益:
☑满足合规:帮助企业在数据出境的事项上,以及持续合规的审计或调查中证明其遵守了相关法律法规和标准要求,进而满足合规要求。
☑降低风险:帮助企业更好地识别出数据出境中存在的风险及合规影响,尽早发现风险和制定相关保护措施,从而加强风险预防。
☑提升能力:企业可以根据评估结果,有针对性地开展内部数据安全的治理,使之警惕可能导致组织受损的数据安全问题,帮助企业提升数据安全保护能力。
☑保护声誉:用户更倾向于信任有能力保护个人权益的企业,企业尊重用户的隐私并回应他们所担忧的个人信息安全问题,是取得用户信赖的重要策略,也有助于企业维护品牌价值和声誉。
目前,默安科技已在医疗、互联网等行业成功落地数据出境合规解决方案与服务。未来,默安科技将凭借丰富的数据出境合规项目经验,帮助客户有效防范数据安全与出境合规风险,保障数据出境业务安全可持续。
