作者 | 北京信联数安科技有限公司 数据安全咨询团队
数据经济全球化的发展大势之下,企业在融入全球供应链、更便捷地享受全球化资源要素的同时,数据跨境流动活动日益频繁。数据跨境流动事关国家安全、公共利益和个人权益,如何走出一条合规、安全、可持续的数据出境业务发展之路是企业“走出去”重点关注的命题。
2017年6月施行的《中华人民共和国网络安全法》规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。”首次提出了“安全评估”是企业数据出境的合规路径,适用范围是关键信息基础设施的运营者。
2021年9月施行的《中华人民共和国数据安全法》规定:“数据收集、持有、管理、使用等数据安全责任单位向境外提供国家规定的重要数据,应当按照国家有关规定实行数据出境安全评估和国家安全审查。”安全评估的适用对象由关键信息基础设施的运营者扩展到了数据安全责任单位。
2021年11月施行的《中华人民共和国个人信息保护法》规定:“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估。”安全评估是个人信息处理者跨境提供个人信息应当具备的四类条件之一。至此,安全评估将成为大多数企业开展数据出境业务合规的重要路径。
随着数据安全相关法律法规密集出台,我国数据跨境传输安全管理框架逐渐清晰。2021年10月,中央网信办发布《数据出境安全评估办法(征求意见稿)》(以下简称“办法”),进一步明确了数据出境安全评估的范围、内容和流程。办法指出:“数据处理者在向境外提供数据前,应事先开展数据出境风险自评估。”数据出境风险自评估成为了数据处理者申报数据出境安全评估和开展数据出境业务的重要前置环节。
数据出境风险自评估是企业合规申报数据出境安全评估的起点,也是审视自身数据出境业务安全风险的有效方式,其自评估成果是各级网信部门评估企业数据出境安全风险的重要依据。信联数安现已为互联网服务、医疗、汽车、金融等多个行业领域的企业提供了数据出境风险自评估服务,总结既往服务的实践经验,建议企业可从以下几个方面开展数据出境风险自评估:
《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《数据出境安全评估办法(征求意见稿)》等法律法规是企业开展数据出境风险自评估工作的重要依据。企业有必要学习、熟悉相关政策法规要求,为数据出境风险自评估工作奠定良好的理论基础。此外,数据出境风险自评估工作往往涉及企业的法务、业务、综合、技术、财务等多个部门,各部门统筹协调、明确目标、统一思想、积极配合是顺利开展数据出境风险自评估工作的有力保障。
详实清晰地描述数据出境业务场景中的关键要素和客观准确地分析数据出境业务场景中的安全风险是体现数据出境风险自评估工作成效的两大重点,也是管理部门审核数据出境风险自评估报告的主要关注点。企业应从个人信息权益、社会公共利益和国家安全等角度识别安全风险,把握在数据出境业务场景中的关键要素,其中:数据处理者和境外接收方是主体、数据是核心、流程和技术措施是保障、合同文件是约束。避免仅从法律视角逐条对标,导致局限在碎片化的细节而失去自评估重心,也不可盲目借鉴他人结论而脱离企业实际。
数据出境风险自评估报告不仅仅是企业数据出境合规路径的必要材料,更将为企业数据出境风险管理工作提供必要基础和依据。数据出境风险自评估工作是一个“照镜子、正衣冠”的过程,也是“发现问题、分析问题、解决问题”的过程。企业应当从自身业务长远发展的角度重视自评估过程中发现的风险问题,积极采取改进措施,补齐问题短板,搭建企业的数据出境风险防控体系,提升数据出境风险防控能力,有效降低风险,以高标准的风险管理模式赢得稳定持续的业务发展。
国家十四五规划将“加快数字化发展、建设数字中国”列为独立篇章;今年的政府工作报告中也将“数字经济”单独成段,凸显数字经济在我国经济发展中的关键战略地位。“促发展、保安全,统筹发展和安全”是总体国家安全观的重要论述,也是数据出境安全治理工作的重要指导思想。监管部门和企业各方均在积极探索数据出境安全合规路径,相互了解、加强沟通是工作开展的有效途径。在数据出境风险自评估的过程中,企业积极对接监管、开放核心问题探讨将有助于提升数据出境安全工作的成效。
大鹏一日同风起,扶摇直上九万里。数字经济全球化的趋势不可阻挡,中国扩大高水平对外开放、同世界分享发展机遇的决心不会改变。相信在国家数据出境安全有关法律法规的指引和保障下,通过积极探索高质量合规发展之路,企业将更有竞争力和创造力地融入经济全球化进程,实现更大地发展。
原文来源:网络安全应急技术国家工程研究中心
![企业数据出境风险自评估服务的探索实践]( "企业数据出境风险自评估服务的探索实践")
原文始发于微信公众号(关键基础设施安全应急响应中心):企业数据出境风险自评估服务的探索实践
评论