|
|
|
|
|
|
來源: 發(fā)布日期:2022.03.09 點(diǎn)擊量:
10月29日國家互聯(lián)網(wǎng)信息辦公室(下稱“國家網(wǎng)信辦”)發(fā)布《數(shù)據(jù)出境安全評估辦法(征求意見稿)》(下稱“《意見稿》”)并公開征求意見。
《意見稿》是對數(shù)據(jù)出境安全評估問題監(jiān)管上的最新回應(yīng),其將全面監(jiān)管、從嚴(yán)監(jiān)管的理念貫徹得更為徹底,也對涉及數(shù)據(jù)出境的企業(yè)進(jìn)一步預(yù)設(shè)了相應(yīng)的合規(guī)義務(wù)。
隨著《數(shù)據(jù)安全法》、《數(shù)據(jù)安全法》和《個人信息保護(hù)法》作為數(shù)據(jù)出境評估所依據(jù)的上位法的確定,以《數(shù)據(jù)出境安全評估辦法(征求意見稿)》是作為與法律條文相配套的數(shù)據(jù)出境安全評估辦法,使得數(shù)據(jù)出境安全評估的法律體系得以明晰,以引導(dǎo)數(shù)據(jù)出境安全評估相關(guān)工作。
(1)基本概念
《辦法》中明確規(guī)定網(wǎng)絡(luò)運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù),應(yīng)當(dāng)在境內(nèi)存儲。
因業(yè)務(wù)需要,確需向境外提供的,應(yīng)當(dāng)進(jìn)行安全評估。也就是說,如果實(shí)施,交通導(dǎo)航、電子商務(wù)、社交網(wǎng)絡(luò)等各類涉及數(shù)據(jù)收集與跨境傳輸?shù)钠髽I(yè),都將受到監(jiān)管。
數(shù)據(jù)出境:是指網(wǎng)絡(luò)運(yùn)營者將在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù),提供給位于境外的機(jī)構(gòu)、組織、個人。
個人信息:是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別自然人個人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。
重要數(shù)據(jù):是指與國家安全、經(jīng)濟(jì)發(fā)展,以及社會公共利益密切相關(guān)的數(shù)據(jù),具體范圍參照國家有關(guān)標(biāo)準(zhǔn)和重要數(shù)據(jù)識別指南。
(2)立法目的
目前國際上已形成了成熟、系統(tǒng)的跨境數(shù)據(jù)流動管理制度框架,如:
—— 歐盟與美國達(dá)成的隱私盾協(xié)議(EU-U.S.Privacy Shield)
—— 世界經(jīng)合組織的《隱私保護(hù)和個人數(shù)據(jù)跨境流通的指南》
—— 亞太經(jīng)合組織的《跨境隱私規(guī)則》
隨著國際經(jīng)濟(jì)貿(mào)易的不斷加深,我國的信息服務(wù)業(yè)以及境外大型跨國公司的數(shù)據(jù)出境活動日益頻繁,其中可能涉及到我國公民個人隱私甚至涉及我國國家安全、經(jīng)濟(jì)發(fā)展和社會公共利益相關(guān)的重要數(shù)據(jù),國家迫切需要對這些企業(yè)數(shù)據(jù)出境行為進(jìn)行規(guī)范和指引。
(3)安全評估適用范圍
數(shù)據(jù)處理者向境外提供再中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)和依法應(yīng)當(dāng)進(jìn)行安全評估的個人信息,應(yīng)當(dāng)按照本辦法的規(guī)定進(jìn)行安全評估;法律、行政法規(guī)另有規(guī)定的,依照其規(guī)定。
(4)哪些出境數(shù)據(jù)需要評估
除此之外,比如以下幾個廣泛關(guān)注的情況也屬于數(shù)據(jù)出境
—— 境外鏡像、遠(yuǎn)程訪問;
—— 去標(biāo)識化(如MD5加密)和ID轉(zhuǎn)化(例如openID、jdID、VIN、各種封閉ID)后的個人信息出境;
—— 員工(含外籍員工)信息出境;
—— 用戶根據(jù)國內(nèi)公司指引(例如跳轉(zhuǎn)、通知)或基于國內(nèi)公司的信賴(例如購買國內(nèi)產(chǎn)品)向境外網(wǎng)站或系統(tǒng)直接提供(例如投遞簡歷等);
(5)數(shù)據(jù)出境安全評估應(yīng)重點(diǎn)評估哪些內(nèi)容
(6)《辦法》中的時間節(jié)點(diǎn)
—— 申報受理時常
—— 安全評估時長
—— 安全評估結(jié)果有效期
有效期為兩年,有效期屆滿,在有效期屆滿六十個工作日前重新申報評估。
(7)與境外接收方訂立合同充分約定書安全保護(hù)責(zé)任義務(wù)
(8)評估機(jī)構(gòu)人員職責(zé)與數(shù)據(jù)處理者配合義務(wù)
—— 評估機(jī)構(gòu)人員職責(zé)
—— 數(shù)據(jù)處理者配合義務(wù)
(1)企業(yè)應(yīng)按照法律要求對數(shù)據(jù)進(jìn)行分類分級管理、內(nèi)部建立和規(guī)的操作規(guī)程和制度。
(2)應(yīng)對數(shù)據(jù)跨境數(shù)據(jù)流動相關(guān)的法律規(guī)則有充分認(rèn)識。不僅包括本國的法律規(guī)則,也包括與數(shù)據(jù)業(yè)務(wù)有關(guān)的其他法域的法律規(guī)則。必要時,企業(yè)也應(yīng)當(dāng)咨詢相關(guān)領(lǐng)域的法律專業(yè)人士,對法律規(guī)則的適用給予指導(dǎo)。
(3)企業(yè)應(yīng)結(jié)合自身業(yè)務(wù),依據(jù)適用的法律法規(guī),定位自身角色,明確需要承擔(dān)的義務(wù)和需要遵守的約定。
(4)企業(yè)需要加強(qiáng)人員培訓(xùn),確保相關(guān)人員明確知曉自身的崗位職責(zé),樹立風(fēng)險意識,在遇到不確定事項時及時上報,獲取正確的處理方式。
依據(jù)《個人信息保護(hù)法》、《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》以及最新發(fā)布的《數(shù)據(jù)出境安全評估辦法(征求意見稿)》相關(guān)規(guī)定,幫助企業(yè)識別數(shù)據(jù)出境合規(guī)關(guān)鍵風(fēng)險點(diǎn);
明確現(xiàn)有監(jiān)管要求下具體場景對應(yīng)數(shù)據(jù)出境的要求;針對企業(yè)現(xiàn)狀開展合規(guī)評估;
通過對數(shù)據(jù)出境合規(guī)評估,分析客戶方整體的信息化策略能否支撐內(nèi)外部合規(guī)需求,進(jìn)一步開展數(shù)據(jù)出境安全影響評估并提出處置建議。
相關(guān)新聞:
