“安全评估”——数据出境的重要合规路径

2022-07-22 15:31:21 wfkj 52

2022年7月7日,国家互联网信息办公室正式公布《数据出境安全评估办法》(以下简称《评估办法》),此办法的确定是对《网络安全法》《数据安全法》《个人信息保护法》等法律法规中“出境数据安全评估”规定的细化落实,表明了数据处理者应当在数据出境活动发生前申报并通过数据出境安全评估,明确了数据出境安全评估的适用条件、评估流程、管理机制等。可以说“安全评估”是数据出境的重要合规路径。

点击了解更多


法律层面的制度规范:

《网络安全法》

第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。

《数据安全法》

第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。

《个人信息保护法》

第三十六条 国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助。

《评估办法》第三条中也进行了强调“数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合。”对此,万方科技着重整理了《评估办法》中有关评估流程规定,以帮助企业更好地进行安全评估。

点击了解更多


数据出境安全评估流程

在具体的评估流程上,《数据出境安全评估办法》明确了事前评估——申报评估——开展评估——重新评估的评估流程框架。

1.事前评估:数据处理者在向境外提供数据前,应首先开展数据出境风险自评估。重点评估以下事项:(一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;(二)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;(四)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;(五)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等是否充分约定了数据安全保护责任义务;(六)其他可能影响数据出境安全的事项。

2.申报评估:符合申报数据出境安全评估情形的,数据处理者应通过所在地省级网信部门向国家网信部门申报数据出境安全评估。应当申报评估的四种情形:(一)数据处理者向境外提供重要数据;(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。

3.开展评估:省级网信部门自收到申报材料之日起5个工作日内完成完备性查验。申报材料齐全的,将申报材料报送国家网信部门;申报材料不齐全的,退回数据处理者并一次性告知需要补充的材料。国家网信部门自收到申报材料之日起7个工作日内确定是否受理评估;自出具书面受理通知书之日起45个工作日内完成数据出境安全评估;情况复杂或者需要补充、更正材料的,可以适当延长并告知数据处理者预计延长的时间。

4.重新评估:通过数据出境安全评估的结果有效期为2年,自评估结果出具之日起计算。评估结果有效期届满或者在有效期内出现本办法中规定重新评估情形的,数据处理者应当重新申报数据出境安全评估:(一)向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的;(二)境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的;(三)出现影响出境数据安全的其他情形。已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,在收到国家网信部门书面通知后,数据处理者应终止数据出境活动。数据处理者需要继续开展数据出境活动的,应当按照要求整改,整改完成后重新申报评估。

 图片关键词

评估流程图

点击了解更多


企业开展数据出境自评估的要求

《评估办法》的出台,是国家进一步加强对数据出境的监管的体现,涉及数据出境相关企业势必会受到严格监管,在数据出境活动发生前依法开展开展自评估,是通过安全评估的重要一环,可发现出境数据存在的安全隐患与风险,针对性的进行安全整改,促进数据安全合规。对此,在自评估方面万方科技给相关企业提供一些建议:

(1)企业应对业务展开全面梳理,理清涉及数据出境相关业务的基本情况、组织架构,内部建立起数据出境合规管理制度。

(2)全面提高企业数据安全保障能力,具体表现在数据安全管理技术和技术措施、数据安全事件应急处置能力、个人信息权益保障情况等方面。

(3)寻求第三方机构合作,虽然评估流程看似并不复杂,但其中包含着诸多细枝末节,在实践中不可避免会遇到复杂场景与难以解决问题。资深安全专家在安全评估上更专业,可根据企业的实际情况提出具有针对性的解决方案,帮助企业有效开展安全评估。

点击了解更多


万方科技提供数据出境安全评估,协助企业客户对拟出境的数据开展技术及合规检测,配合企业对接网信部门并指导企业依据网信部门意见完成整改合规工作,确保企业数据出境的安全与合规。

 图片关键词

万方专注网络安全13年!

欢迎联系我们:188 188 60088 (微信同号)、188 188 63388 (微信同号),万方科技随时为您服务!

了解更多资讯:http://www.wfnetworks.cn/news1/