在数字经济蓬勃发展、企业数字化转型的背景下,数据已然成为国家战略资源和主要生产要素,也是企业核心竞争资产。同时,伴随着经济全球化,数据跨境活动日益频繁,数据出境场景增多,防范数据出境安全风险,保障数据依法有序自由流动成为当前需要聚焦的重点。
数据出境监管体系日趋完善
目前,我国以《网络安全法》《数据安全法》《个人信息保护法》《数据出境安全评估办法》和《个人信息出境标准合同办法》等法律法规组成的数据出境监管体系日趋完善严格,其中《数据出境安全评估办法》规定了数据出境安全评估的范围、条件和程序,《个人信息出境标准合同办法》明确了个人信息处理者通过订立标准合同的方式向境外提供个人信息应当同时符合的情形。基于此,企业应以更加安全合规的方式开展数据出境业务,在维护国家安全和社会公共利益、保护个人信息权益的前提下,促进数据自由流动,切实发挥数据要素价值,助力“数字中国”建设。
如何判断是否需要申报数据出境安全评估
《数据出境安全评估办法》(以下简称“《评估办法》”)第二条明确:“数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估适用本办法。”
依照办法适用范围定义,“数据出境”是指数据处理者将在中国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构、组织、个人。因此,如涉及将在中国境内运营中收集和产生的数据,通过网络及其他方式(如物理携带),由直接提供或开展业务、提供服务和产品等方式提供给境外组织或个人的活动场景下,都需要满足数据出境的法律法规要求。
那么企业如何判断自己是否需要开展数据出境安全评估,《评估办法》第四条给出了应当申报数据出境安全评估的具体情形:
“数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信办向国家网信办申报数据出境安全评估:
(一)数据处理者向境外提供重要数据;
(二)关键信息基础设施运营者和处理100 万人以上个人信息的数据处理者向境外提供个人信息;
(三)自上年1 月1 日起累计向境外提供10 万人个人信息或者1 万人敏感个人信息的数据处理者向境外提供个人信息;
(四)国家网信办规定的其他需要申报数据出境安全评估的情形。”
企业如何进行数据出境安全评估申报工作,《评估办法》明确了数据出境安全评估程序、监督管理制度、法律责任以及合规整改要求等,规定数据处理者在申报数据出境安全评估前应当开展数据出境风险自评估并明确了重点评估事项。
数据出境安全评估流程
由此我国已形成了阶梯式数据出境安全评估模式,即“自评估”﹢“国家安全评估”。出境风险自评估是出境安全评估的前置环节,企业在申请出境安全评估时,同时要提交数据出境风险自评估报告,并完成内部整改。另外以数据出境的国家安全审查为保障,企业应主动根据数据出境的法律法规要求,通过所在地省级网信办向国家网信办申报数据出境安全评估,以保障企业数据出境业务的安全合规运行。
数据出境安全评估申报材料(材料模板可参照国家网信办发布的《数据出境安全评估申报指南(第一版)》)
引入第三方服务,增强企业数据安全保障能力
企业在申请出境安全评估时,同时要提交数据出境风险自评估报告,根据网信办发布的《数据出境风险自评估报告(模板)》,其中对企业数据安全保障能力进行了详细的列举(《数据出境安全评估申报指南(第一版)》附件四):
(1)数据安全管理能力,包括管理组织体系和制度建设情况,全流程管理、分类分级、应急处置、风险评估、个人信息权益保护等制度及落实情况;
(2)数据安全技术能力,包括数据收集、存储、使用、加工、传输、提供、公开、删除等全流程所采取的安全技术措施等;
(3)数据安全保障措施有效性证明,例如开展的数据安全风险评估、数据安全能力认证、数据安全检查测评、数据安全合规审计、网络安全等级保护测评等情况;
(4) 遵守数据和网络安全相关法律法规的情况。
由此可见,加强企业数据安全保障能力是申报数据出境安全评估的必须条件之一,但是目前大部分企业在数据安全建设方面面临着许多问题。一方面企业内部数据安全人才匮乏、数据安全相关制度体系尚不健全、数据安全风险未排查清晰;另一方面,企业数字化转型致使外部竞争激烈,数据成为了企业未来盈利的核心竞争力,数据要素市场的快速发展倒逼企业必须增强数据安全保障能力,才能在数字经济时代以安全促发展,为企业健康发展注入强劲动力。
针对以上问题,中国金融认证中心(CFCA)打造了基于“评估+咨询整改”的数据安全服务业务,通过借鉴最新监管要求和最佳实践案例,完善企业数据安全管理体系,排查数据安全风险,以安全合规的路径开展数据出境业务,最终报备国家网信部门通过,进而保障企业数据业务稳定运行。
目前,CFCA数据安全服务业务形成了以数据安全治理综合解决方案为核心,数据安全分类分级、风险评估、安全规划、产品集成、管理制度体系建设、出境安全评估、个人金融信息安全能力认证、APP隐私检测、安全培训等多项子业务并存的格局,利用CFCA在金融行业丰富的数据安全、个人信息保护项目实施经验,为企业提供优质的数据安全服务。
未来,CFCA将持续助力金融行业企业内部数据安全保障工作,进一步促进企业自身数据安全能力成熟度建设,为企业数据安全保驾护航。
