保障数据依法有序流动，护航企业数据出境合规

在数字经济全球化浪潮背景下, 催生了企业数据跨境流动的客观需要, 成为了企业在空间维度延伸数据价值的必然要求。数据跨境流动是数据利用在境外的延伸, 能够为企业带来商业价值, 但是也存在风险, 主要在数据出境之后的泄漏问题。

《数据出境安全评估办法》于 2022 年 9 月 1 日起开始施行。这标志这我国关于跨境数据流动的法律制度逐渐完善, 为数据出境的双向流动提供明确的行为准则, 对国外企业在国内开展的违规数据活动形成约束, 对企业数据跨境合规应对和治理能力提出新的要求。

与此同时, 国家网信办发布了《数据出境安全评估申报指南 (第一版)》, 指导和帮助数据处理者规范、有序申报数据出境安全评估。申报指南中包含了 4 个附件, 包括评估材料要求, 经办人授权委托书模版, 数据出境安全评估申报书模版, 数据出境风险自评估模版等, 企业可以参考模版提交申报材料。

一、数据出境政策要求

国家互联网信息办公室制定《数据出境安全评估办法》, 明确了数据出境安全评估的目的、原则、范围、程序和监督机制等具体规定, 对保护国家安全、公共利益、个人合法利益和促进数字经济发展具有重要的里程碑意义。

《数据出境安全评估办法》, 以近年来我国发布的多个网络安全和数据安全法律为基础。《网络安全法》《数据安全法》《个人信息保护法》三部法律, 在各自侧重的网络安全领域、数据安全领域、个人信息安全领域分别对数据跨境问题有具体条例解释。《网络安全法》首次在法律层面从国家安全角度对数据出境安全提出具体要求, 强调关键信息基础设施运营者在境内收集和产生的个人信息和重要数据应当在境内存储, 因业务需要确需向境外提供的, 应按照国家网信部门会同国务院有关部门制定的办法进行安全评估。《数据安全法》进一步完善了对数据出境的规定。《个人信息保护法》则具体明确了个人信息出境的管理规则。这三部上位法对数据出境安全管理的基本原则是重要数据境内存储和数据出境安全评估。

在上述三部法律基础上,《数据出境安全评估办法》在落地实施环节对数据跨境流动所涉及的数据处理者、数据对象、评估方法等方面给予明确指导。同时, 对于赴境外上市引起数据流动的情况, 还应遵守《网络安全审查办法》的要求申报并通过网络安全审查。

二、《数据出境安全评估办法》要点解读

要点 1: 什么情景下需要开展数据出境评估?

要点 2: 数据出境评估流程

要点 3: 企业自评估及材料申请

要点 4: 监管部门评估要点

要点 5: 安全评估组织构成

三、国内企业数据出境建议

随着《数据出境安全评估办法》9 月 1 日的施行, 对于需要开展数据出境业务的企业, 如果不能通过监管部门的安全评估检查, 则可能因此影响数据出境、甚至业务的连续运营。建议企业在《数据出境安全评估办法》施行前即开展准备工作, 如需申报, 在《评估办法》于今年 9 月 1 日实施后尽早申报较为稳妥。

企业如涉及跨境业务的开展, 应尽快开展自查与梳理, 分析是否存在可触发数据出境安全评估的情形, 并尽快组织或聘请第三方开展风险自评估, 及早发现数据出境安全风险并进行整改, 为通过国家网信办安全评估做好准备。具体步骤包括:

▪围绕受监管主体和受监管数据等要素研判企业是否涉及数据出境。

▪选择适当的数据出境途径, 目前个人信息出境包括网信办评估、个人信息出境标准合同, 个人信息跨境处理活动安全认证等三种途径, 重要数据主要采用网信办评估的方式出境。

▪自行或聘请第三方开展数据出境安全自评估, 自评估工作可与个人信息安全影响评估同步进行, 并重点关注重要数据及个人信息的出境风险。

▪自评估结束后, 对评估风险问题进行整改。如果企业从零开始的话, 建议企业要建立数据安全治理体系, 包括但不限于开展数据分类分级, 数据安全风险评估, 个人信息安全影响评估、数据安全管理制度、数据安全防护措施建设等工作; 同时, 结合《评估办法》要求, 建立完善数据出境安全机制, 建立出境安全制度体系、出境安全组织架构、出境安全技术保障和出境安全应急响应等。

▪对于申报数据出境安全评估阶段, 企业准备自评估报告、自评估过程材料、数据出境合同、申报书并向省级网信部门提交资料, 需关注申报材料准备、申报材料补充、申请复评和重新评估等关键节点, 切忌因材料问题影响评估结果。

四、国内某车企数据出境实践参考

近年来, 随着我国政府在新能源汽车的提前布局与政策利好, 中国车企在全球新能源汽车领域的竞争中赢得了市场先机, 并加速抢滩海外市场, 数据出境的需求日益增多。然而, 汽车行业数据出境安全风险事件频发, 引起了国家有关部门高度重视, 陆续出台了一系列的政策文件, 旨在加强跨境流动监管与治理工作, 保障汽车重要数据与个人信息数据的安全。

在此背景下, 国内某车企对出境数据内容进行盘点, 发现涉及大量个人信息、车辆数据及营销数据, 如驾驶人身份证号、行驶证号、驾驶证档案编号, 发动机编号、工况数据、车辆应用数据, 销售、仓储、物流数据等。绿盟科技配合该车企开展了一系列数据出境安全合规的建设内容:

建立数据出境合规团队

由企业的信息安全部门、法务部门和业务部门等成员组成数据出境合规委员会。数据出境合规委员会定期对国内外数据安全法律法规进行研究, 确保在采集和处理国外数据时不违反当地法律; 在本国数据出境时, 接入方有严格的安全保护措施来保证数据安全。同时, 落实数据出境的安全主体责任制, 建立企业数据出境管理制度, 加强数据出境安全监测与防护。

跨境数据识别梳理

参照国家和行业领域的重要数据识别指南等文件, 结合企业自身的业务数据识别重要数据与个人敏感信息, 开展数据分类分级工作。

数据出境风险自评估

数据出境风险自评估是数据处理者向境外提供数据的必经之路, 对出境方式、数据数量、数据属性进行充分综合判断, 制定数据出境计划, 最终形成数据出境风险评估报告。通过有效的自评估, 不仅可以降低数据出境的合规风险, 在向主管部门申报安全评估时, 也有助于提高监管部门安全评估的效率。

完善数据出境管理体系

健全数据出境管理制度, 落实数据安全保护义务。如企业数据出境合同, 约定双方的数据安全保护权责, 优化隐私政策和用户协议中跨境条款; 企业数据泄露应急预案, 在紧急事件发生后, 第一时间通知相关责任人, 同时在法律规定的时间内上报数据监管机构, 避免因违反法规程序而扩大不良影响及惩罚金额。

加强数据安全防护措施

通过关键技术创新, 构建起全场景、可信任、实战化的数据安全纵深防御预警体系, 贴合客户实际需求, 形成场景化的数据出境安全解决方案。包括数据梳理、数据监测、数据库审计、数据匿名化、数据溯源及数据可视化等能力, 有效保护数据在出境生命周期过程中的安全, 达到合法采集、合理利用、静态可知、动态可控的防护目标。

五、数据出境安全展望

数据作为数字经济的核心要素, 不仅是企业的核心竞争力, 也成为国家之间争夺的重要战略资源。面对复杂的国际形势, 我国出于维护国家数据安全的需要, 对数据出境的监管是极其必要的。企业应在合理利用"数据红利"的基础上, 尽快推进落实数据出境合规化建设, 加大资金与人力的投入, 开展数据出境自评估与合规调整。绿盟数据出境安全解决方案, 全面落地"智慧安全 3.0"的理念, 将事前评估、事中监测、事后溯源与持续监督相结合, 有效防范数据出境安全风险, 保障数据依法有序自由流动。