2020年8月14日,商务部发布《关于印发<全面深化服务贸易创新发展试点总体方案>的通知》(商服贸发〔2020〕165号)。文件提出,要在条件相对较好的试点地区开展数据跨境传输安全管理试点,并指明北京、上海、海南、雄安新区等试点地区负责推进。与此同时,各地也逐渐布局相关基础设施,为数据跨境传输做足准备,例如上海临港新片区的打造的“信息飞鱼”,其致力于成为抢占全球数字经济、信息科技制高点的“临港鲲鹏”,而北京在9月7日也发布了《北京国际大数据交易所设立工作实施方案》,助力北京产业升级和经济高质量发展,促进数据跨境流动安全管理试点的实施。
数据跨境流动背后的服务与监管,是全球数字贸易中的一大难点。但目前我国有关数据出境现行唯一生效法律为《网络安全法》,但其内容较为笼统,可操作性较差,其余相关具体规定虽处于征求意见稿状态,但极具指导意义。本文作者通过对相关法律或规定的总结,对重点概念进行解释,直接将目前数据出境的流程简要概括,并列明企业内部管理的重点,希望对企业的数据出境工作有一定借鉴意义。
一、相关概念
数据出境作为数据合规体系的组成部分,众多概念在之前的文章中已经提及。且本文作为介绍性的文章,部分概念过于细节我们也无需掌握,故本文只针对部分重点概念做以简述。
(一)数据出境
根据《信息安全技术 数据出境安全评估指南(征求意见稿)》(以下简称《指南》)的规定,数据出境是指网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。《指南》还将三种较为复杂的认定情形列举出来,在此不做赘述。
(二)重要数据
重要数据是指相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)。
(三)个人信息
个人信息是指以电子或其他方式记录的能够单独或与其他信息结合识别自然人身份的各种信息。其中以“可识别”为关键要素,并且根据《民法典》、《信息安全技术 个人信息安全规范》(GB/T 35273—2020)等规定,个人信息还可有个人信息、个人敏感信息以及私密信息等分类。
二、数据出境流程
笔者通过对相关规定的梳理,整理出数据出境的基本流程,力求通过最直接的方式将目前数据出境的方式展示出来,供企业数据出境借鉴。
(一)原则上数据不出境
网络运营者在境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,经相关评估流程后方可出境。
(二)数据自评估制度
1.网络运营者应在数据出境前,应自行组织对数据出境进行安全评估,并对评估结果负责。
2. 数据出境安全自评估工作组审查数据出境计划,对个人信息与重要数据依照流程进行评估,并形成评估报告。
3. 数据出境评估报告后进行区分,若满足上报要求的应按照要求报送国家网信部门、行业主管部门;若需要获得相关主管部门同意,在评估报告按照要求报送相关部门后,获得同意。若被禁止出境,经修改出境计划,降低数据出境安全风险后,应重新进行评估。
(三)报请行业主管或监管部门组织安全评估
1、在数据出境主管部门评估启动之后,国家网信部门、行业主管部门确定主管部门评估范围,制定主管部门评估方案,并成立主管部门评估工作组。通过网络运营者提供的材料以及远程监测、现场检查并参考专家意见组的意见,做出是否出境的决定。
2、目前主管部门评估的启动条件规定并不统一,但归纳来看,可以概括为以下几个方面(1)涉及公共利益的,如核设施、生物化学、国防军工或影响国家安全、经济发展等;(2)涉及关键信息设施的数据;(3)个人信息出境相关;(4)其他条款作为兜底。
三、企业内部管理
通过对数据出境流程的简要梳理,我们可以针对相关细节在企业内部构建完整的数据出境合规框架,有助于企业内部数据管理工作的有效运行。
(一)企业内部建立数据分级分类制度
要在企业内部率先建立起数据分级分类制度,这是企业数据合规的基础,也是企业数据出境的必要步骤。数据分级分类后,针对不同类型的数据制定不同的数据出境策略,是高效处理数据的保证。
(二)建立企业内部自评估小组
工作组主要包含律师、政策、安全、技术、管理相关专业人员。数据出境安全自评估工作组应负责审查业务部门提交的数据出境计划,并定期对数据出境情况开展检查、抽查。
(三)针对数据出境安全评估关注重点进行精确合规
只有对数据出境评估的重点有充分认知,我们才能够有的放矢,制定合规方案,确保工作有序进行。数据出境的评估要点主要包括出境目的、安全风险两方面。出境目的主要是对出境的合法性、正当性、必要性进行审查。安全风险主要是针对个人数据、重要数据、数据发送方的安全保护能力、数据接收方的安全保护能力、数据接收方所在国家或区域的政治法律环境等方面进行审查。
(四)涉及个人信息出境的特别规定
2019年6月13日,国家互联网信息办公室发布了关于《个人信息出境安全评估办法(征求意见稿)》公开征求意见的通知,其中关于个人信息安全出境有了更具体的要求,企业必须予以关注。
其重点包括网络运营者应当建立个人信息出境记录并且至少保存5年、网络运营者应当每年12月31日前将本年度个人信息出境情况、合同履行情况等报所在地省级网信部门、合同应当明确接收者将接收到的个人信息传输给第三方的条件等。
四、总结与展望
数据跨境流通意义深远,是一个国家想要发展开放且具竞争力数字经济环境的重要基石。我国目前开启的数据跨境传输安全管理试点是我国战略转型的重要举措。鉴于目前我国数据跨境流通监管的立法不完善、管理机制不全面,各试点地区提出的地方政策以及试点成果将具有重要意义。未来我国也可与其他国家通过签订相应的双边协议或多边协议逐渐摸索数据流通国际化的前进方向,为我国在数字新时代的发展保驾护航。
来源:freebuf.com 2020-09-09 11:49:01 by: 数字新基建产业金融
请登录后发表评论
注册