• 回到顶部
  • 400-158-6822
  • QQ客服
  • 微信二维码

政策解读|《数据出境安全评估办法》解读

创建时间:2022-08-03 10:48

近年来,随着数字经济的蓬勃发展,数据跨境活动日益频繁,数据处理者的数据出境需求快速增长,随之而来的数据出境安全风险日益突出,在国家安全和社会公共利益、个人权益等方面面临严峻的挑战。

为促进数字经济健康发展、防范化解数据跨境带来的安全风险,依据《网络安全法》、《数据安全法》、《个人信息保护法》的规定,规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,切实以安全保发展、以发展促安全。

2022年7月7日,国家互联网信息办公室公布《数据出境安全评估办法》(以下简称《办法》)自2022年9月1日起施行,《办法》规定了数据出境安全评估的范围、条件和程序,为数据出境安全评估工作提供了具体指引。 

 

01 数据出境活动是什么?

国家互联网信息办公室有关负责人指出,《办法》所称数据出境活动主要包括

一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。

二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。

 

02 哪些情形需要申报数据出境安全评估?

《办法》明确了4种应当申报数据出境安全评估的情形

🟠向境外提供重要数据(数据维度)

🟠关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;(数据处理者类型维度)

🟠自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;(数据量级维度)

🟠国家网信部门规定的其他需要申报数据出境安全评估的情形。

 

03 申报数据出境安全评估前需要做什么?

《办法》第三条规定:数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。

申报数据出境安全前,企业/组织应开展数据出境安全自评估,主要包括业务合规性、接收方能力、双方责任、出境风险、个人权益保障等几个维度开展。

 

04 申报数据出境安全评估需要哪些材料?

企业/组织申报数据出境安全评估需要提供申报书、自评估报告、拟定的法律文件、其他佐证材料等;

省级网信部门收到申报材料后,5个工作日内完成完备性查验,通过后报国家网信部门;未通过企业/组织应按照要求补充材料。

 

05 数据出境安全评估重点评估什么内容?

数据出境安全评估重点关注国家安全、公共利益、组织权益、个人权益相关风险,从业务合规、接收方环境和保护水平、出境后安全风险、安全和权益保障措施、双方责任和义务、法律遵循等方面开展评估。

 

06 双方法律文件中需明确哪些数据安全保护责任义务?

在双方拟签订的合同等法律文件中应明确数据出境的目的、范围、用途及方式明确保障地点、期限及地点,约束数据再转移明确接收方自身、环境及其他因素影响出境数据安全时候的应急和安全措施明确违约责任及争议解决方式明确应急处置要求及保障个人权益的途径和方式等。

 

07 数据出境安全评估周期是多久?

数据出境一般情况下在国家网信部门受理之日起45个工作日完成,情况复杂或需要补充、更正材料的可能延期;

企业/组织对评估结果存在异议,15个工作日内申请复评,复评结果为最终结论。

 

08 评估结果终身有效吗?什么情况下需要重新评估?

数据出境安全评估结果有效期为2年,并且在业务、环境、控制器、法律文件等发生变更时,需要进行重新评估。

 

09 我是参与评估的机构/人员需要注意什么?

参与评估机构/人员对接触到的数据予以保密,也适用于参与自评估相关的机构和人员。

 

10 为保障出境后数据安全,监管部门如何开展监督工作?

为保障出境后的数据安全,监管部门通过全面监督举报、执法监督等方式持续对数据出境安全进行监督,保障数据出境安全。

 

11 数据出境未评估或未落实办法相关要求企业/组织/相关责任人会受到什么处罚?

企业/组织未落实《办法》的各项规定,未开展数据出境安全评估,将面临如下处罚:

企业/组织根据严重程度,轻则面临责任改正、给予警告,并面临10万-100万的罚金;严重将面临100万以上-1000万以下的罚款,并且面临暂停相关业务、停业整顿、吊销相关业务许可或吊销营业执照等严重后果;如审计个人信息最高可处5000万以上下或上一年营业额5%以下的罚款。

直接负责人或其他直接负责人最高面临10万以上,100万以下的罚款;涉及个人信息的相关人员在一定期限内可能被限制从事相关职业,如企业董事、监事等。

 

12 我们企业/组织应该如何做?

企业/组织应根据管理办法要求,完善自身数据安全管理制度修订相关法律文件,确保满足办法要求;开展数据分类分级,理清自身数据分布情况,建立数据分类分级清单和重要数据目录;建立数据自评估机制,对自评估实施全流程管理;根据不同数据级别实施差异化安全管控,如数据脱敏、数据加密、风险监测等;在现有投诉举报机制、渠道的基础上,完善数据出境相关投诉举报流程和处理机制。

 

13 思维世纪能够帮助你们做什么?

 
 

帮助企业/组织理清自身数据资产分布情况

通过数据分类分级识别理清企业/组织敏感数据分布情况,形成分类分级清单和重要数据目录,并通过API等方式赋能给业务和安全措施,为数据出境自评估、数据出境管理和技术管理提供依据。

 
 

帮助企业/组织建立数据出境安全风险自评估机制,

常态化开展风险自评

数据出境风险自评估服务:思维世纪以第三方中立视角,根据企业/组织数据出境合规需求,通过工具+专家分析的模式,组织开展数据出境活动的风险自评估,并提交符合监管要求的数据出境风险自评估报告。

 
 

帮助企业/组织开展数据出境安全风险监测,

保障数据出境安全

通过对境外网络访问、数据调用、出境传输流量进行监测,及时发现出境安全风险,通过API等方式与其他安全措施联动,实现风险自动阻断、风险处置溯源,为持续优化安全措施提供支撑

 

想获得完整ppt,可联系耿老师。
邮箱地址:gengxi@siweicn.com

 

 

 

往期回顾

 

 

 

 

 

监测数据泄露,保卫数据资产|互联网数据泄露监测工具

 

思维世纪助力“数据安全合规治理(DSCG)专项行动”

要闻|四川省经信厅信息安全及基础设施处领导一行莅临我司调研交流!