近年來,隨著數(shù)字經(jīng)濟(jì)的蓬勃發(fā)展,數(shù)據(jù)跨境活動(dòng)日益頻繁,數(shù)據(jù)處理者的數(shù)據(jù)出境需求快速增長(zhǎng)。同時(shí),由于不同國(guó)家和地區(qū)法律制度、保護(hù)水平等的差異,數(shù)據(jù)出境安全風(fēng)險(xiǎn)也相應(yīng)凸顯。數(shù)據(jù)跨境活動(dòng)既影響個(gè)人信息權(quán)益,又關(guān)系國(guó)家安全和社會(huì)公共利益,是國(guó)家數(shù)據(jù)安全的重要關(guān)注點(diǎn)。
在此背景下,國(guó)家互聯(lián)網(wǎng)信息辦公室出臺(tái)《數(shù)據(jù)出境安全評(píng)估辦法》(以下簡(jiǎn)稱《辦法》)并于本月起正式施行,將進(jìn)一步規(guī)范數(shù)據(jù)出境活動(dòng),保護(hù)個(gè)人信息權(quán)益,維護(hù)國(guó)家安全和社會(huì)公共利益,促進(jìn)數(shù)據(jù)跨境安全、自由流動(dòng)。
《辦法》出臺(tái)意義 作為第三個(gè)出臺(tái)的辦法,《數(shù)據(jù)出境安全評(píng)估辦法》的施行宣告17年版《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法(征求意見稿)》和19年版《個(gè)人信息出境安全評(píng)估辦法(征求意見稿)》均已廢止。 《辦法》的出臺(tái)一是落實(shí)《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等上位法的數(shù)據(jù)出境管理規(guī)定和要求,標(biāo)志著《網(wǎng)絡(luò)安全法》首次確立的數(shù)據(jù)出境安全評(píng)估制度正式落地;二是保障數(shù)字經(jīng)濟(jì)健康有序發(fā)展;三是應(yīng)對(duì)數(shù)據(jù)跨境傳輸?shù)陌踩L(fēng)險(xiǎn)。 《辦法》適用范圍 《辦法》明確“數(shù)據(jù)出境”定義為“向境外提供”。一是數(shù)據(jù)并未轉(zhuǎn)移至境外,而依舊存儲(chǔ)在境內(nèi),不過數(shù)據(jù)處理者將境內(nèi)數(shù)據(jù)庫的訪問登錄信息或接口提供給境外主體,以便后者可以在境外遠(yuǎn)程訪問查看;二是數(shù)據(jù)雖然轉(zhuǎn)移至境外,但是數(shù)據(jù)處理者未將存儲(chǔ)在境外數(shù)據(jù)的訪問權(quán)交付給任何一個(gè)境外接收方。 《辦法》明確所有數(shù)據(jù)處理者在出境數(shù)據(jù)涉及重要數(shù)據(jù)(指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用、可能危害國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康和安全等的數(shù)據(jù))的情況下,安全評(píng)估是強(qiáng)制性的。 《辦法》明確個(gè)人信息處理者在滿足如下四種情形條件下就要進(jìn)行安全評(píng)估:(1)關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者,(2)處理個(gè)人信息達(dá)到一百萬人,(3)自上年1月1日起累計(jì)向境外提供10萬人個(gè)人信息,(4)自上年1月1日起累計(jì)向境外提供1萬人敏感個(gè)人信息。 相關(guān)業(yè)務(wù)場(chǎng)景 數(shù)據(jù)主動(dòng)出境: >>> 境外公司A在境內(nèi)的子公司B定期通過郵件等方式向A公司報(bào)送業(yè)務(wù)經(jīng)營(yíng)情況總結(jié),以供境外公司A進(jìn)行經(jīng)營(yíng)情況的總體統(tǒng)計(jì)、分析。 >>> 境外公司A使用第三方服務(wù)商采購(gòu)的OA系統(tǒng)實(shí)現(xiàn)日常業(yè)務(wù)流轉(zhuǎn)和人事數(shù)據(jù)管理,該OA系統(tǒng)的相關(guān)數(shù)據(jù)均通過第三方在境外架設(shè)的云服務(wù)器進(jìn)行存儲(chǔ)和備份。在境內(nèi)子公司B向OA系統(tǒng)提交境內(nèi)員工個(gè)人信息時(shí)即為數(shù)據(jù)主動(dòng)出境。 數(shù)據(jù)被動(dòng)出境: >>> 境內(nèi)子公司B將其在境內(nèi)收集和產(chǎn)生的數(shù)據(jù)存儲(chǔ)于境內(nèi)的服務(wù)器或數(shù)據(jù)庫,但向境外的母公司A開放遠(yuǎn)程訪問權(quán)限。 >>> 境內(nèi)B公司使用的OA系統(tǒng)是境外技術(shù)服務(wù)商C協(xié)助在中國(guó)境內(nèi)本地化部署的,但C公司會(huì)遠(yuǎn)程訪問該系統(tǒng)進(jìn)行日常運(yùn)維。 >>> 境內(nèi)B公司駐外工作的員工登陸公司的OA系統(tǒng)、HR管理系統(tǒng)和其他信息系統(tǒng),下載、拷貝、泄露內(nèi)部數(shù)據(jù)信息。 特殊數(shù)據(jù)出境: >>> 境內(nèi)數(shù)據(jù)服務(wù)商D為境外公司A提供數(shù)據(jù)加工和處理服務(wù),將A公司在境外產(chǎn)生的業(yè)務(wù)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析后,再傳輸給A公司。 在此次施行的《辦法》中,無論是對(duì)數(shù)據(jù)主體單位還是數(shù)據(jù)加工處理單位均進(jìn)行了細(xì)致的數(shù)據(jù)安全責(zé)任劃分與監(jiān)管要求。在我國(guó)數(shù)據(jù)合規(guī)領(lǐng)域的立法日趨完善、執(zhí)法愈發(fā)常態(tài)與嚴(yán)格的監(jiān)管趨勢(shì)下,相關(guān)業(yè)務(wù)企業(yè)應(yīng)不斷加強(qiáng)數(shù)據(jù)合規(guī)意識(shí),結(jié)合自身實(shí)際情況,充分梳理和識(shí)別涉及數(shù)據(jù)出境的業(yè)務(wù)場(chǎng)景,借助專業(yè)的數(shù)據(jù)安全防護(hù)產(chǎn)品及方案,合理規(guī)劃自身數(shù)據(jù)安全防護(hù)體系,切實(shí)履行數(shù)據(jù)出境方面的合規(guī)保障義務(wù)。