随着互联网的蓬勃发展,“互联网+” 正在渗透到各行各业。与此同时,互联网的高速发展也带来了数据高度的集中,其中数据范围涵盖个人数据、重要数据以及国家核心数据等,因此越来越关系到个人信息权益,国家安全和社会公共利益,数据在使用过程中安全风险不断凸显,也因此受到社会各界的持续广泛关注。

伴随全球一体化发展进程,大量国外企业在华开展业务以及国内企业赴境外上市,企业在经营过程中涉及大量的个人信息、重要数据以及国家核心数据跨境传输。在此背景下,国家互联网信息办公室发出了关于《数据出境安全评估办法(征求意见稿)》(以下简称:《办法》)公开征求意见的通知。

《办法》的征求意见稿主要是基于两方面的考虑,(1)数据出境遭泄露、利用,违规出境个人信息和重要数据等危害个人信息权益,国家安全和社会公共利益的现象日益突出;(2)促进数据跨境安全、自由流动。

01 国内外跨境数据安全管理现状

欧盟2016年4月颁布了《 通用数据保护条例》(General Data Protection Regulation,简称GDPR), 前身是欧盟在1995年制定的《计算机数据保护法》。GDPR对数据保护提出了高标准要求(增加惩罚机制),旨在保障欧洲同盟国之间的数据流动行为可以顺利进行。

欧盟数据出境规定针对数据出境情况,欧盟的数据控制者可以通过以下3种方式实施数据跨境活动:

1.数据传输至“ 充分性认定” 地区;

2.充分保障措施;

3.例外场景( 包括用户同意或者执行合同需要等)。

国家标准化组织(ISO) 针对跨境数据流通,定义了一个隐私参考体系结构框架,针对数据跨境实体,利用匿名和身份认证技术,实现跨境数据的隐私保护.同时,针对跨境数据分散存储问题,利用分布式存储技术,拓展云存储能力,从而挖掘海量数据信息。此外,利用机器学习模型,建立了完善的隐私风险评估体系。

我国陆续颁布了《网络安全法》、《数据安全法》、《个人信息保护法》和《关键信息基础设施安全保护条例》,相关法律法规已对个人信息、重要数据以及国家核心数据作出了基本规定,现阶段有必要针对出境数据出台有针对性的管理制度,明确数据处理者的责任和义务,规范数据出境活动,促进数据跨境安全、自由流动。

02 跨境数据安全管理若干规定重点解读

《办法》共十八条,旨在维护国家安全、公共利益、个人或者组织合法权益,针对跨境数据安全风险,明确了数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息的权利和义务,包括以下三个方面重点内容。

一、《办法》明确了跨境数据评估情形范围。《办法》给出了数据处理者向境外提供数据的五种情形需申报数据出境安全评估。特别是今年《关键信息基础设施安全保护条例》颁布之后关键信息基础设施涉及的重要数据出境以及《办法》将“累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息”明确为评估情形,为数据处理者数据出境评估提供了具体执行情形。

二、《办法》对数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,数据出境的目的、范围、方式等的合法性、正当性、必要性。对于跨境数据的流通过程中保障措施是否到位,是否达到中华人民共和国法律、行政法规规定和强制性国家标准的要求。

三、《办法》中规定数据处理者在申报数据跨境时,应与境外接收方订立的合同充分约定数据安全保护责任义务。申报前要进行数据风险自评估与申报跨境数据安全评估相结合,其中数据出境安全评估坚持事前评估和持续监督相结合。

03 关于落实好《办法》的几点思考

数字经济全球化发展愈演愈烈,在融入数字经济全球化的过程中,保护好在我国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息就尤为关键,相关数据涉及个人信息权益,维护国家安全和社会公共利益。跨境数据安全问题已经成为产业发展中的焦点问题、难点问题。《办法》的落地实施为构建安全有序的跨境数据流通,推动数字经济全球化良性发展提供了保障。

围绕《办法》更好的落地实施,笔者提出以下三点建议。

一是提升数据处理者风险自评估能力

《办法》着重提出“风险自评估与安全评估相结合”,也即除网信部门的评估外,还要求数据处理者在向境外提供数据前,应事先开展数据出境风险自评估。企业对数据安全风险的来源、预防与处理的判断更为熟悉与清晰。

数据出境前的自评估可以在数据安全风险评估工作中,可适当借助第三方专业安全机构介入提供辅助工作,尽可能综合考量多方的安全因素。同时,为提高安全评估的工作效率,需逐渐探索出一套数据跨境安全评估的线上操作流程,以便于数据处理者高效落实数据跨境安全的风险自评估工作。

二是加强跨境数据安全评估与持续监督能力

加快开展跨境数据安全评估与持续监督平台建设,不断加大技术研发投入,加快研制自动化安全评估工具和持续监督平台,充分利用前沿技术提升跨境数据安全评估和持续监督能力。

三是做好宣贯培训,推动数据处理者合规意识提升

大力推进普法力度,推进《网络安全》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》、《办法》和《信息安全技术 个人信息安全规范》等相关法律法规标准的宣贯工作,提升数据处理者数据安全意识。加快推进国家标准《数据出境安全评估指南》研究制定工作,推动形成数据出境管理新局面。

(本文作者:启明星辰信息技术集团股份有限公司 周瑞群 )

声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。