立方视点 |《数据出境安全评估指南(草案)》解读(数据跨境安全评估指南)
跨境小T同学 电商综合 2023-02-19 15:10:24 · 热度999

2017 年 5 月 27 日,全国信息安全标准化技术委员会发布了《关于开展国家标准《信息安全技术 数据出境安全评估指南(草案)》征求意见工作的通知》数据跨境安全评估指南,《信息安全技术数据出境安全评估指南》(简称“评估指南”)规定了数据出境安全评估流程,评估要点,重要数据识别指南和个人信息和重要数据 出境安全风险评估办法。

一、背景介绍

2017年6月1日正式实施的《网络安全法》首次规定了数据出境的安全评估制度。以此为立法基础,国家网信办于2017年4月11日制定并公布了《个人信息和重要数据出境安全评估办法(征求意见稿)》(简称《评估办法》),《评估办法》构建了个人信息和重要数据出境安全评估的基本框架,规定了自行评估和监管机构评估两种评估方式以及安全评估的内容。本次指南又进一步明确了数据出境安全评估流程、评估要点、评估方法等内容。

二、适用范围

《评估指南》适用于网络运营者开展的个人信息和重要数据出境安全评估工作,也适用于行业主管或监管部门对网络运营者开展个人信息和重要数据出境安全评估进行的指导、监督等工作。网信部门、行业主管或监管部门依职权开展的个人信息和重要数据出境安全评估,也可参考该标准。

三、"重要数据"

《评估指南》中对于“重要数据”的概念进行了明确,重要数据是指我国政府、企业、个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据),一旦未经授权披露、丢失、滥用、篡改或销毁,或汇聚、整合、分析后,可能造成严重后果的数据。

《评估指南》列举了石油天然气、煤炭、石化、电力等27个行业(领域)以及其他相关行业(领域),指出各行业(领域)主管部门结合实际,明确本行业(领域)重要数据定义、范围或判定依据,并根据行业(领域)发展变化,及时更新或替换指南中相关内容。

四、评估流程

《评估指南》从自评估启动、制定数据出境计划、评估数据出境计划的合法正当和风险可控、评估要点及方法、评估报告、检查修正六个方面对流程进行了规范。流程图如下:

立方视点 |《数据出境安全评估指南(草案)》解读(数据跨境安全评估指南)

1、自评估启动

网络运营者应在如下情况启动自评估:

a)产品或服务涉及向境外机构、组织或个人提供数据的;

b)已完成数据出境安全评估的产品或业务所涉及的数据出境数据跨境安全评估指南,在目的、范围、类型、数量等方面发生较大变化、数据接收方变更或发生重大安全事件的。

2、制定数据出境计划

网络运营者应首先制定数据出境计划,计划的内容包括但不限于:

a) 数据出境目的、范围、类型、规模;

b) 涉及的信息系统;

c) 中转国家和地区(如存在);

d) 数据接收方及其所在的国家或地区的基本情况;

e) 安全控制措施等。

3、评估数据出境计划的合法正当和风险可控

数据出境安全评估首先评估数据出境计划的合法性和正当性;数据出境活动不具有合法性和正当性,不得出境。在此基础上再评估数据出境计划是否风险可控,有效避免数据出境及再转移后被泄露、损毁、篡改、滥用等风险。

4、评估要点及方法

《评估指南》对评估要点和评估方法单独作了详细介绍,内容见下文。

5、评估报告

网络运营者在完成对数据出境计划的评估后,应形成评估报告,评估报告应至少保存5年。

6、检查修正

如数据出境计划不满足合法正当要求,或经评估后不满足风险可控的要求,网络运营者可修正数据出境计划,或采用相关措施降低数据出境风险,并重新开展自评估。

五、评估要点

评估要点包括合法正当和风险可控两方面。

1、合法正当

数据出境计划应同时满足合法性和正当性的要求:

a) 合法性包括:

1) 不属于法律法规明令禁止的;

2) 符合我国政府与其他国家、地区签署的关于数据出境条约、协议的;

3) 个人信息主体已授权同意的,危及公民生命财产安全的紧急情况除外;

4) 不属于国家网信部门、公安部门、安全部门等有关部门依法认定不能出境的。

b) 正当性包括:

1) 网络运营者在合法的经营范围内从事正常业务活动所必需的;

2) 履行合同义务所必需的;

3) 履行我国法律义务要求的;

4) 司法协助需要的;

5) 其他维护网络空间主权和国家安全、社会公共利益、保护公民合法利益需要的。

2、风险可控

评估数据出境计划的风险可控,应综合考虑出境数据的属性和数据出境发生安全事件的可能性。

其中个人信息属性评估要点包括个人信息的类型、敏感程度、数量、范围和技术处理情况。重要数据的属性,包括数量、范围、类型和技术处理情况等。指南在个人信息和重要数据出境范围上,提出了“最小化原则”,包含:(1)出境与功能直接关联;(2)最低频率;(3)最低数量。

数据出境发生安全事件的可能性主要评估:(1)发送方数据出境的技术和管理能力(包括内部的安全管理制度、应急预案等);(2)数据接收方的安全保护能力、采取的措施(包括主体审查、人员能力等);(3)数据接收方所在国家或区域的政治法律环境(包括立法状况、司法机制等)。

六、评估方法

《个人信息和重要数据出境安全风险评估方法》(附录B)按照相关数据信息的数量、范围、类型等因素,分别将个人信息出境对个人权益产生的影响、重要数据出境对国家安全、社会公共利益产生的影响、安全事件的可能性、安全风险综合评估划分为高、中、低等影响。

综合来说,《信息安全技术 数据出境安全评估指南(草案)》的发布是在《网络安全法》正式生效背景下对其中一些规定提供了细化的指南,将为网络经营者从事相关数据出境业务明确具体的操作方法,对保护国家安全、社会公共利益、个人隐私安全具有重要意义。目前《评估办法》和《评估指南》都在征求意见阶段,还未正式出台,我们会持续关注的同时,建议相关企业尤其是网络经营者应当对自身情况进行初步判定,提前准备企业内部的相关规章制度,加强信息数据的风险防控。

文章推荐
跨境小T同学
2023-02-12
6658

逆向代购独立站如何助力商家玩转跨境市场(跨境电商代运营方案)

其实独立站并不是什么新鲜词,早在几年前,就已经有很多人在做了,但是逆向代购独立站却成为跨境电商市场的黑马。逆向代购独立站的运营主要是通过自建独立站点,自带商城系统,拥有上亿商品数据,同时也可以上传图片、添加商品链接、文字链接等,可以避免这两个方面的问题。而通过独立站进行售卖的产品,无需囤货,产品来自国内主流电商平台,产品销售到什么时候就能销售到什么时候。
电商综合
跨境小T同学
2023-01-26
7043

奇安信发布数据跨境卫士 为企业数据跨境流动提供合规保障(跨境数据流动)

2022年5月18日,奇安信对外发布数据跨境卫士,帮助企业满足数据跨境传输、流转时面临的合规和合法监管需求,并为企业开展跨境业务、管理境外分支机构、境外上市、跨境数据流动等提供专业的安全保障。2021年是数据安全相关法律密集出台的一年,也是数据跨境流动引发全民关注的一年。图:数据跨境卫士应用场景
电商综合
跨境小T同学
2023-01-24
13239

中共中央 国务院最新发布!(跨境礼遇分配规则)

国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《意见》)。积极参与数据跨境流动国际规则制定,探索加入区域性国际数据跨境流动制度安排。对各级党政机关、企事业单位依法履职或提供公共服务过程中产生的公共数据,加强汇聚共享和开放开发,强化统筹授权使用和管理,推进互联互通,打破“数据孤岛”。
电商综合
跨境小T同学
2023-01-01
5886

蓝鲸315|贝贝网被诉泄露用户信息,宝妈遭遇诈骗集体维权(贝贝网跨境电商)

然而,在这些光鲜靓丽的成绩背后,近期的事件与投诉,却让贝贝网陷入信息泄露,甚至“诈骗门”无法自拔。“我是做跨境电商的,如果这个诈骗电话打给我就不会被骗了!同时,这位贝贝网公关人员表示,电商平台存在很多泄露客户信息的环节,未必是贝贝网的责任,如果每一位受骗的消费者都向贝贝网索赔,这对贝贝网来说也不合理。
电商综合
跨境小T同学
2022-12-17
6445

敦煌网集团获DNV 三项ISO权威认证,打造跨境电商平台信息安全标杆(跨境电商人才认证解决方案)

今年7月,敦煌网完成全新品牌升级,以中心化跨境电商平台DHgate和去中心化社交电商SaaS平台MyyShop为双引擎,驱动跨境贸易和社交电商新机遇,而强大灵活的信息管理系统则是敦煌网驾驭业务创新发展和用户持续扩张的基石。ISO认证项目高度重视,历时6个月的时间,以最严格的标准对跨境电商业务系统的设计、研发、测试、和运维服务进行全方位的评估和考量,最终获得3项ISO认证和8份相关证书。
电商综合