在數字經濟蓬勃發展、企業數字化轉型的背景下,數據已然成為國家戰略資源和主要生產要素,也是企業核心競爭資產。同時,伴隨著經濟全球化,數據跨境活動日益頻繁,數據出境場景增多,防范數據出境安全風險,保障數據依法有序自由流動成為當前需要聚焦的重點。
數據出境監管體系日趨完善
目前,我國以《網絡安全法》《數據安全法》《個人信息保護法》《數據出境安全評估辦法》和《個人信息出境標準合同辦法》等法律法規組成的數據出境監管體系日趨完善嚴格,其中《數據出境安全評估辦法》規定了數據出境安全評估的范圍、條件和程序,《個人信息出境標準合同辦法》明確了個人信息處理者通過訂立標準合同的方式向境外提供個人信息應當同時符合的情形。基于此,企業應以更加安全合規的方式開展數據出境業務,在維護國家安全和社會公共利益、保護個人信息權益的前提下,促進數據自由流動,切實發揮數據要素價值,助力“數字中國”建設。
如何判斷是否需要申報數據出境安全評估
《數據出境安全評估辦法》(以下簡稱“《評估辦法》”)第二條明確:“數據處理者向境外提供在中華人民共和國境內運營中收集和產生的重要數據和個人信息的安全評估適用本辦法。”
依照辦法適用范圍定義,“數據出境”是指數據處理者將在中國境內運營中收集和產生的個人信息和重要數據,提供給位于境外的機構、組織、個人。因此,如涉及將在中國境內運營中收集和產生的數據,通過網絡及其他方式(如物理攜帶),由直接提供或開展業務、提供服務和產品等方式提供給境外組織或個人的活動場景下,都需要滿足數據出境的法律法規要求。
那么企業如何判斷自己是否需要開展數據出境安全評估,《評估辦法》第四條給出了應當申報數據出境安全評估的具體情形:
“數據處理者向境外提供數據,有下列情形之一的,應當通過所在地省級網信辦向國家網信辦申報數據出境安全評估:
(一)數據處理者向境外提供重要數據;
(二)關鍵信息基礎設施運營者和處理100 萬人以上個人信息的數據處理者向境外提供個人信息;
(三)自上年1 月1 日起累計向境外提供10 萬人個人信息或者1 萬人敏感個人信息的數據處理者向境外提供個人信息;
(四)國家網信辦規定的其他需要申報數據出境安全評估的情形。”
企業如何進行數據出境安全評估申報工作,《評估辦法》明確了數據出境安全評估程序、監督管理制度、法律責任以及合規整改要求等,規定數據處理者在申報數據出境安全評估前應當開展數據出境風險自評估并明確了重點評估事項。
數據出境安全評估流程
由此我國已形成了階梯式數據出境安全評估模式,即“自評估”﹢“國家安全評估”。出境風險自評估是出境安全評估的前置環節,企業在申請出境安全評估時,同時要提交數據出境風險自評估報告,并完成內部整改。另外以數據出境的國家安全審查為保障,企業應主動根據數據出境的法律法規要求,通過所在地省級網信辦向國家網信辦申報數據出境安全評估,以保障企業數據出境業務的安全合規運行。
數據出境安全評估申報材料(材料模板可參照國家網信辦發布的《數據出境安全評估申報指南(第一版)》)
引入第三方服務,增強企業數據安全保障能力
企業在申請出境安全評估時,同時要提交數據出境風險自評估報告,根據網信辦發布的《數據出境風險自評估報告(模板)》,其中對企業數據安全保障能力進行了詳細的列舉(《數據出境安全評估申報指南(第一版)》附件四):
(1)數據安全管理能力,包括管理組織體系和制度建設情況,全流程管理、分類分級、應急處置、風險評估、個人信息權益保護等制度及落實情況;
(2)數據安全技術能力,包括數據收集、存儲、使用、加工、傳輸、提供、公開、刪除等全流程所采取的安全技術措施等;
(3)數據安全保障措施有效性證明,例如開展的數據安全風險評估、數據安全能力認證、數據安全檢查測評、數據安全合規審計、網絡安全等級保護測評等情況;
(4) 遵守數據和網絡安全相關法律法規的情況。
由此可見,加強企業數據安全保障能力是申報數據出境安全評估的必須條件之一,但是目前大部分企業在數據安全建設方面面臨著許多問題。一方面企業內部數據安全人才匱乏、數據安全相關制度體系尚不健全、數據安全風險未排查清晰;另一方面,企業數字化轉型致使外部競爭激烈,數據成為了企業未來盈利的核心競爭力,數據要素市場的快速發展倒逼企業必須增強數據安全保障能力,才能在數字經濟時代以安全促發展,為企業健康發展注入強勁動力。
針對以上問題,中國金融認證中心(CFCA)打造了基于“評估+咨詢整改”的數據安全服務業務,通過借鑒最新監管要求和最佳實踐案例,完善企業數據安全管理體系,排查數據安全風險,以安全合規的路徑開展數據出境業務,最終報備國家網信部門通過,進而保障企業數據業務穩定運行。
目前,CFCA數據安全服務業務形成了以數據安全治理綜合解決方案為核心,數據安全分類分級、風險評估、安全規劃、產品集成、管理制度體系建設、出境安全評估、個人金融信息安全能力認證、APP隱私檢測、安全培訓等多項子業務并存的格局,利用CFCA在金融行業豐富的數據安全、個人信息保護項目實施經驗,為企業提供優質的數據安全服務。
未來,CFCA將持續助力金融行業企業內部數據安全保障工作,進一步促進企業自身數據安全能力成熟度建設,為企業數據安全保駕護航。
