来啦!数据出境通关指南
《数据出境安全评估办法》已经2022年5月19日国家互联网信息办公室2022年第10次室务会议审议通过,现予公布,自2022年9月1日起施行。 国家互联网信息办公室主任 庄荣文 2022年7月7日
01 数据出境制度发展历程
《网络安全法》2016.11.7发布,2017.6.1实施 首次在法律中确立了对关键信息基础设施运营者个人信息及重要数据出境的安全评估制度。授权国家网信部门会同其他监管部门制定详细的安全评估实施办法。 《个人信息和重要数据出境安全评估办法(征求意见稿)》2017.4.11 将数据安全评估的责任主体扩大至网络运营者,确立了安全评估的适用范围、评估程序、监管机构、评估内容等基本规则,构建了个人信息和重要数据出境安全评估的基本框架。 《信息安全技术 数据出境安全评估指南(草案)》第一稿 2017.5.7 对数据出境安全评估流程、评估要点、评估方法、重要数据识别指南等内容进行了具体规定。 《信息安全技术 数据出境安全评估指南(征求意见稿)》第二稿 2017.8.25 相对草案,对境内运营、数据出境等概念进行了明确,对安全评估的流程进行了进一步细化。 《个人信息出境安全评估办法(征求意见稿)》2019.6.13 细化个人信息出境方面的评估流程,保障个人信息安全,维护网络空间主权,国家安全、社会公共利益、保护公民、法人的合法权益。 《数据出境安全评估办法(征求意见稿)》2021.11.1 指出数据出境安全评估应坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。 《数据出境安全评估办法》2022.7.7公布,自2022年9月1日起施行 规定了数据出境安全评估的范围,条件和程序,为数据出境安全评估工作提供了具体的指引。
02 什么情况下需要开展数据出境评估
因上述法律法规要求,需要对数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息进行安全评估。 其中数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
关键信息基础设施运营者(CIIO)和处理100万以上个人信息和数据处理者向境外提供个人信息; 数据处理者向境外提供重要数据; 上年1月1日起累计出境个人信息10万人或者1万人敏感个人信息的数据处理者向境外提供个人信息; 国家网信部门规定的其他需要申报数据出境安全评估的情形; 受监管数据:国家秘密/国家情报;重要数据/核心数据;个人信息;特定行业的受监管(人遗资源数据、人口健康信息、汽车重要数据、自然资源(石油开采))等数据; 同时数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全,保障数据依法有序自由流动。
03 数据出境申报流程
数据出境申报流程: 准备: 企业需要准备自评估报告、申报书、拟定法律文件的申报材料进行自评估。 递交: 然后递交申报材料给省级网信部门,由省级网信部门在5个工作日内审核其完备性。 审核: 审核通过后交由国家级网信办部门在申报材料之日起7个工作日确认受理,不予受理则安全评估终止; 评估: 受理后,组织评估组进行评估,一般评估周期为45个工作日。 补充及复评: 不符合则需要通知企业补充更正材料,拒不补充则安全评估终止。如果对评估结果通知有异议,则可以申请复评,最终以复评结果为最终结论,一般申请复审的时间为15个工作日内。 有限期: 评估有限期为2年。如果有效期两年届满,需要继续开展数据出境,或者数据出境环境发生变化,则需要重新申报评估。
04 数据出境建议
企业如涉及跨境业务的开展,应尽快开展自查与梳理,分析是否存在可触发数据出境安全评估的情形,并尽快组织或聘请第三方开展风险自评估,及早发现数据出境安全风险并进行整改,为通过国家网信办安全评估做好准备。 具体步骤包括: 围绕受监管主体和受监管数据等要素,研判企业是否涉及数据出境。 选择适当的数据出境途径,目前个人信息出境包括网信办评估、个人信息出境标准合同,个人信息跨境处理活动安全认证等三种途径,重要数据主要采用网信办评估的方式出境。 自行或聘请第三方开展数据出境安全自评估,重点关注重要数据及个人信息的出境风险。 自评估结束后,对评估风险问题进行整改。建立完善数据出境安全机制,建立出境安全制度体系、出境安全组织架构、出境安全技术保障和出境安全应急响应等。 对于申报数据出境安全评估阶段,企业准备自评估报告、自评估过程材料、数据出境合同、申报书并向省级网信部门提交资料,需关注申报材料准备、申报材料补充、申请复评和重新评估等关键节点,切忌因材料问题影响评估结果。
05 关于数据出境的工作规划 第一阶段 建议相关企业在2022年9月之前完成以下工作: 1、识别“高风险”出境活动:识别需要申报和评估的出境活动; 2、落实快速整改工作:完成个人信息保护影响评估,完成标准合同签署等; 3、制定“plan B”:制定并准备业务连续性计划,以应对潜在“高风险”出境活动被暂停或终止的风险。
第二阶段 建议相关企业在2023年2月前完成以下工作: 1、完成风险自评估(试点):完成风险自评估和必要整改; 2、完成安全评估申报:完成申报提交和安全评估。 第三阶段 建议相关企业在2023年2月以后完成以下工作: 1、建立健全数据出境管理流程和工具,考虑与现行资产管理、数据分类分级和个人信息报告影响评估等流程集成; 2、继续完成适用范围内出境活动的自评估和安全评估申报工作。 需持续关注有待监管明确事项:个人信息出境标准合同、法律文件要求;重要数据目录;风险自评估和安全评估指南和模版;安全评估申报和沟通的执行流程和方式;个人信息保护认证的流程和方式。
06 乾冠安全可以做什么
数据作为数字经济的核心要素,不仅是企业的核心竞争力,也成为国家之间争夺的重要战略资源。面对复杂的国际形势,企业应在合理利用“数据红利”的基础上,尽快推进落实数据出境合规化建设,加大资金与人力的投入,开展数据出境自评估与合规调整。有鉴于此,乾冠安全可以为相关企业做到: 数据出境前的数据安全治理体系建设 为企业提供数据安全治理体系,包括但不限于开展数据分类分级,数据安全风险评估,个人信息安全影响评估、数据安全管理制度等工作。 出境活动梳理和规划 识别和梳理个人信息/重要数据出境活动,制动合规计划和建议。 风险自评估和整改 协助开展风险自评估,提供整改建议,并协助落实整改措施。 安全申报支持 协助开展安全评估申报工作。 数据出境管理框架建设 建立数据出境活动管理和评估框架,制定相关制度、流程和工具。
关于乾冠安全 场景驱动安全时代的引领者 
上一篇:方案升级|勒索病毒肆虐,何为有
下一篇:双项授牌|入选盐城市网络安全技
