近日,國家互聯網信息辦公室公布《促進和規范數據跨境流動規定》,該規定從公布之日起施行,同時公布了《數據出境安全評估申報指南(第二版)》和《個人信息出境標準合同備案指南(第二版)》,“數據出境申報系統”也同步上線。
其實,國家網信辦對數據跨境方面的政策早在2017年就已經開始。
昂楷科技對數據出境安全評估申報指南第一版與第二版中的異同進行了整理。我們發現“變”的是管理策略,“不變”的是安全要求。
●評估結果自出具之日起有效期由2年變為3年;
●有效期屆滿后,若數據出境不觸發重新申報情形,可在60日內申請延長評估結果有效期;
●延長申請向省網信提交,國家網信部門批準,核準后評估結果有效期延長3年。
●未被相關部門、地區告知或者公開發布為重要數據的。
●國際貿易、跨境運輸、學術合作、跨國生產制造和市場營銷等活動中收集和產生的數據向境外提供,不包含個人信息或者重要數據的;
●在境外收集和產生的個人信息傳輸至境內處理后向境外提供,處理過程中沒有引入境內個人信息或者重要數據的;
●為訂立、履行個人作為一方當事人的合同,確需向境外提供個人信息的;
●按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理,確需向境外提供員工個人信息的;
●緊急情況下為保護自然人的生命健康和財產安全,確需向境外提供個人信息的;
●關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供不滿10萬人個人信息(不含敏感個人信息)的。
●自由貿易試驗區在國家數據分類分級保護制度框架下,可以自行制定區內負面清單,報省網信辦批準,報國家網信辦、國家數據管理部門備案;
●自由貿易試驗區內數據處理者向境外提供負面清單外的數據,可以免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。
●關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息(不含敏感個人信息)或者不滿1萬人敏感個人信息。
本次出臺的《規定》、配套更新的指南和上線的系統,為數據跨境安全流動提供更加良好的政策環境,然而,數據利用是目的,數據安全是保障。
在新出臺的數據跨境政策中對于數據安全方面的要求沒有半點松懈,嚴守安全底線,數據處理者在提交數據出境安全評估申請時,需提供自身在數據安全管理能力、數據安全技術能力、數據安全保障措施、數據和網絡相關法律遵守情況方面的佐證材料,數據安全能力的全面建設是數據跨境流通的重要前提。
《數據出境風險自評估報告》中對數據處理者數據安全保障能力情況要求:
數據處理者數據安全保障能力情況
1、數據安全管理能力,包括管理組織體系和制度建設情況,全流程管理、分類分級、應急處置、風險評估、個人信息權益保護等制度及落實情況;
(涉及個人信息出境的,需提供履行《個人信息保護法》第三十九條規定的情況說明及佐證材料,包括告知義務和取得個人的單獨同意等,若屬于《個人信息保護法》第十三條第一款第二項至第七項規定情形的,不需取得個人同意)
2、數據安全技術能力,包括數據收集、存儲、使用、加工、傳輸、提供、公開、刪除等全流程所采取的安全技術措施等;
3、數據安全保障措施有效性證明,例如開展的數據安全風險評估、數據安全認證、數據安全檢查測評、數據安全合規審計、網絡安全等級保護測評等情況;
4、遵守數據和網絡安全相關法律法規的情況。
(如涉及受到行政處罰和監管整改的,可以提供證明整改完成的相關佐證材料)
在數據跨境流通場景中,昂楷科技在某省數據跨境中樞平臺重點項目中參與數據安全能力建設,數據跨境流通如存在風險,數據安全平臺策略中心生成相應的安全策略,下發到相應的功能組件進行處理,使跨境數據傳輸更加安全合規,保障數據通過中樞平臺合規、安全的跨境流通。
