全力构建数据出境的“安全屏障”

网络安全的核心是数据安全,在数据对各领域的重要性与日俱增的同时,数据风险与数据安全问题也越发突出,给社会带来了前所未有的挑战。

【安防在线 www.anfang.cn】9月1日起,《数据出境安全评估办法》(以下简称《办法》)正式施行。

网络安全的核心是数据安全,在数据对各领域的重要性与日俱增的同时,数据风险与数据安全问题也越发突出,给社会带来了前所未有的挑战。在此背景下,数据出境的安全问题不仅关乎数据本身作为重要生产要素的开发利用与安全,尤其是与国家主权、国家安全、个人信息权益、社会公共利益等休戚相关。因此,按照总体国家安全观的要求,在《网络安全法》《数据安全法》《个人信息保护法》等有关数据和个人信息出境法律规则的框架下,制定一部专门的数据出境安全评估规定十分必要和迫切。

数据出境的主要类型

全力构建数据出境的“安全屏障”

数据出境,主要指在中国境内的数据处理者通过网络及其他方式(如物理携带),将其在中国境内运营中收集和产生的数据,通过直接提供或开展业务、提供服务和产品等方式提供给境外的组织或个人的一次性活动或连续性活动。

《办法》第二条规定,数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估,适用本办法。法律、行政法规另有规定的,依照其规定。根据上述规定,《办法》主要针对在中国境内运营中收集和产生的重要数据和个人信息进行安全评估,这里有三个关键词:一是中国境内;二是运营中收集和产生;三是重要数据和一定数量的个人信息。

这里需要明确运营中收集和产生的数据之间的区别,根据《数据安全法》第三条第一款和第二款规定,数据,是指任何以电子或者其他方式对信息的记录。数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。《办法》中涉及的数据,包括中国境内数据处理者通过网络及其他方式收集和产生的数据,但主要是网络数据,其中收集数据无论是采取自动化方式还是非自动化方式,是一种具有目的性的积极主动行为,属于《数据安全法》数据处理中的七种处理行为之一。

数据的产生则不同,其没有具体的目的,主要是网络和信息系统生成的社会数据,数据生成的模式大致有三种情形:一是用户主动提供的数据,比如以博客、微博、微信为代表的新型数字社交平台,以及以电子商务为代表的数字交易平台,使得用户主动向数字平台提供海量的数据;二是数字城市(城市大脑)的建设将大量的智能终端设备和传感器接入物联网,遍布在城市各个角落的摄像头和传感器等数据采集设备源源不断地自动生成并产生海量的数据;三是企业在研发设计、生产制造、经营管理、运维服务、平台运营、应用服务等过程中产生的海量数据。

数据出境主要有以下三类情形:一是向本国境内机构提供数据,但该机构不属于本国司法管辖,如外国大使馆就属于使馆所在国的国家领土,不属于派遣国的国家领土;二是数据未转移存储至本国以外的地方,但可以被境外的组织、个人访问查看,不包括公开的数据和通过网页访问的数据;三是数据处理者集团内部数据由境内转移至境外,其中涉及其在境内运营中收集和产生的数据。但是具有以下两种情形,不属于数据出境:一是非在境内运营中收集和产生的数据经由本国出境,且数据未经任何加工处理;二是非在境内运营中收集和产生的数据,但在境内存储、加工处理后出境,不涉及境内运营中收集和产生的数据。

基本原则和需要申报的情形

我国数据出境安全评估的目的,是在确保防范数据出境安全风险的基础上,保障数据依法有序自由流动。为了达到上述目的,《办法》提出了数据出境安全评估应遵循两项基本原则:一是坚持事前评估和持续监督相结合原则;二是坚持风险自评估与国家安全评估相结合原则。

第一项原则表明,重要数据和依法应当进行安全评估的个人信息,必须在出境前进行数据安全出境评估,但是保障数据出境安全不仅仅是一次性评估,还要对出境后的数据进行持续性安全监督,重点监督与境外接收方订立法律文件中约定的数据安全保护责任义务的履行情况;第二项原则提出了重要数据和依法应当进行安全评估的个人信息实施阶梯式评估模式,即“自评估”“国家安全评估”,以企业数据出境自评估为基础,以国家安全评估为保障,这是一个合二为一的整体性安全评估模式。

《办法》第四条明确了有以下四种情形之一的,应当申报数据出境安全评估:数据处理者向境外提供重要数据;关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;国家网信部门规定的其他需要申报数据出境安全评估的情形。申请者申报数据出境安全评估,应当通过所在地省级网信部门向国家网信部门提出。

开展数据出境风险自评估的重点

依据《办法》第五条的规定,数据处理者在申报数据出境安全评估前,应当对以下六项重点内容开展数据出境风险自评估:一是数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;二是出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;三是境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;四是数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;五是与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等是否充分约定了数据安全保护责任义务;六是其他可能影响数据出境安全的事项。

以上自评估的内容有四大特征:一是数据出境的合规性评估,重点评估数据出境的目的、范围和方式是否符合我国数据处理的法定原则――合法、正当、必要;二是数据出境的风险性评估,重点从出境数据的规模、范围、种类、敏感度四个维度分析和评估,出境的数据是否会给国家安全、公共利益、个人或者组织合法权益带来风险;三是数据出境的安全保障能力评估,重点评估境外接收方是否具备保障所出境数据的安全,尤其是评估境外接收方能否依据诚实信用原则,全面履行合同所约定的安全保障义务;四是数据出境中和出境后的救济渠道评估,重点评估在数据出境期间和出境后,一旦遭到数据的篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险,个人信息权益维护和救济的渠道是否畅通。

全面履行数据出境标准合同

数据出境安全评估是对数据出境风险的事先防范,保证数据出境的全过程安全,事先安全评估是非常关键和重要的环节,但是在安全评估后的数据处在境外接收方实际控制时,特别是境外接收方国家或地区的数据安全与个人信息保护法律与我国法律法规存在差异的情况下,如何保障数据在安全可控的范围,关键在于与境外接收方签订切实可行的合同等法律文件,并使得该合同法律文件得到全面履行。

根据我国法律法规的要求,数据处理者因业务等需要,确需向我国境外提供数据的,应当按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同,约定双方权利和义务,尤其要突出“数据安全优先”的义务。事实上,国家依法要求双方签订数据出境标准合同,是实现国家数据出境安全监管的重要措施。

我国数据出境安全评估制度不仅要保护个人信息,更重要的是保障重要数据出境活动的安全。个人信息的出境安全评估申报有一定数量的限制,即“处理100万人以上个人信息”或“自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息”;重要数据的出境必须全部申报安全评估,没有任何数量的限制。因为重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等风险,可能危害国家安全、公共利益的数据。

该文观点仅代表作者,本站仅提供信息存储空间服务,转载请注明出处。若需了解详细的安防行业方案,或有其它建议反馈,欢迎联系我们

(0)
小安小安

相关推荐

  • 烟台市电子眼一个半小时识破5辆假牌套牌车

    烟台市公安局交警支队结合烟台市“迅雷2013”专项行动,于3日下午2点半到4点组织开展第二次市区布控查缉假牌套牌机动车统一行动。烟台市主要交通干道分布有141个电子眼,一个半小时的查处活动中,四个直属大队在市区查获假牌套牌车5辆。

    2024年6月15日
  • 中国人工智能产业发展联盟正式发布《2024具身智能全景图1.0》

    具身智能正在成为人工智能领域的重要研究方向,它强调智能行为是通过身体与环境的直接交互产生的。当前,以身体性和环境互动为核心的具身智能范式,正在为AI和机器人的研究带来新的思路,该领…

    2024年6月23日
  • 《北京市数字经济促进条例》发布 定期发布应用场景 引导市场主体参与智慧城市建设

    公共机构应当通过多种形式的场景开放,引导各类市场主体参与智慧城市建设,并为新技术、新产品、新服务提供测试验证、应用试点和产业孵化的条件。市科技部门应当会同有关部门定期发布应用场景开放清单。鼓励事业单位、国有企业开放应用场景,采用市场化方式,提升自身数字化治理能力和应用水平。

    2024年2月20日
  • H3C iVS IP智能监控解决方案亮相深圳安防展

    杭州华三通信技术有限公司(简称:H3C)携IToIP理念及iVS(IP Video Surveillance)全系列IP智能监控解决方案亮相本次展会,使得众多参会代表对H3C推出的“让监控变得简单”理念有了更为直观的认识。而H3C携手各领域领先厂商共同打造的众多行业解决方案,既让H3C与合作伙伴赢得了更多市场,更推动了安防监控应用加速向智能化和集成化方向发展,也使得H3C成为展会中众人关注的焦点。

    2024年1月29日
  • 成都城管执法需视频监控全程记录

    。《条例》提出,城市管理综合行政执法部门应当运用执法记录仪、视频监控等方式,实现执法活动全过程记录。城市管理综合行政执法工作应当自觉接受社会监督,在不影响正常执法的情况下,市民有权对执法活动录音录像。

    2024年9月15日
  • 扬州分公司为奥运火炬传递提供视频监控服务

    5月23日下午,奥林匹克圣火“祥云”将来到扬州。各行各业、各界人士均对火炬的到来充满了憧憬。作为综合信息服务提供商,如何为火炬传递提供安全的通信保障和最佳的视觉效果,是近期中国电信扬州分公司从领导到员工关注的重点工作目标之一。

    2024年2月7日