数据出境安全 评估制度落地 企业适用场景“过安检”

作者: 日期:2022-09-20 浏览次数:0
全球化背景下,中国的数据出境也呈现常态化趋势,在《个人信息保护法》实施后,数据出境安全的评估制度也正式落地。根据《中华人民共和国网
全球化背景下,中国的数据出境也呈现常态化趋势,在《个人信息保护法》实施后,数据出境安全的评估制度也正式落地。
   
根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规制定的《数据出境安全评估办法》(以下简称“《办法》”),在今年9月1日正式施行。
   
和此前的法律法规相比,《办法》系统地提出了我国数据出境“安检”的具体要求,这为我国搭建数据出境安全管理制度提供了法律保障。
   
按照《办法》要求,申请数据出境安全评估的企业,需要在2022年9月1日起的6个月内通过评估,并完成相关准备和评估工作。“然而,由于目前我国企业数据出境场景涉及多业务、多系统和跨部门合作,并具有高度复杂性,这对有相关业务的企业来说,未来或将面临整改压力。”安永华北区科技咨询主管合伙人兰瑜在接受《中国经营报》记者专访时表示。
 
三种适用场景
   
“我感觉当前比较棘手的问题是,对于部分已经开展的数据出境行为,如果不符合《办法》规定的范围,可能要面临整改,这对公司来说并非易事。”
   
从风险评估角度看,我国数据出境安全评估的目的,是在防范数据出境安全风险的基础上,保障数据依法有序地自由流动。
   
这是上述《办法》出台的一个重要背景。2021年10月29日,国家网信办公布《数据出境安全评估办法(征求意见稿)》,面向社会征求意见。此后,网信办对“征求意见稿”进行了修改和完善。
   
今年7月7日,网信办公布了《数据出境安全评估办法》,并明确自9月1日起施行,对大多数企业来说,与之相关的一个重要内容是其设定的三个适用场景。
   
从《办法》具体内容看,企业的数据出境活动需申报出境评估的三个场景,分别是:数据处理者向境外提供重要数据;关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;以及自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息的场景。
   
据悉,目前已有部分互联网企业接到了相关信息通知。
   
“我们的主要业务是服务国内客户,但因为部分业务涉及互联网大厂的外包客单,这其中可能会涉及网络安全和数据出境等,因此未来这部分业务可能会受影响,但目前还没有明确的调整通知。”一位互联网企业网络安全部门的人士表示。
   
针对上述三种场景,该人士表示,据他们了解的情况,如果企业不满足场景要求,其实可以通过签订数据跨境协议的方式作为数据出境的凭证。“我感觉当前比较棘手的问题是,对于部分已经开展的数据出境行为,如果不符合《办法》规定的范围,可能要面临整改,这对公司来说并非易事。”该人士说。
   
按照《办法》,不符合规定的行为,应当自本办法施行之日起6个月内完成整改。
   
兰瑜介绍,当前我国数据出境申报工作,主要依赖于企业主动申报,但企业自身的数据安全管理现状,普遍存有较多的风险和问题,要在短期内完成合规建设和问题整改,可能会存在诸多困难。
 
企业自身评估
   
互联网企业具有用户数量大、业务生态多元复杂的显著特点,海量数据在互联网企业生成、汇聚、融合、应用,在释放数据价值的同时,也带来巨大的数据安全问题。
   
事实上,无论是出海还是专注国内业务,在全球化背景下,企业都面临着严峻的隐私及数据合规压力。以中国为例,2022年上半年全国因违反个人信息保护相关规定被监管部门通报批评、处罚的案例高达741例,处罚金额超过80.69亿元。
   
世界范围内,关于数据隐私和安全的处罚也层出不穷。来自欧盟的消息显示,自欧盟颁布《一般数据保护条例》后,其实施的近3年时间里,欧盟国家被处罚案例共计1195起,处罚金额超过16亿欧元。
   
基于此,兰瑜表示,当前企业应该对自身的数据安全管理情况进行全面风险评估,并对评估发现的问题进行及时整改,而对那些从未进行过数据合规建设、评估和整改的企业,则需尽快建立符合法律要求的数据保护和数据合规体系,及时完成相关申报工作。
   
根据《办法》规定,数据处理者向境外提供数据,符合规定情形的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。同时,数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估。
   
记者了解到,目前数据出境安全评估工作主要需要境外接收方的大量配合工作,而如何开展“境外接收方所在国家或地区数据安全保护政策法规和网络安全环境情况”评估,也对我国数据出境企业带来挑战。
   
安永的调查显示,互联网企业具有用户数量大、业务生态多元复杂的显著特点,海量数据在互联网企业生成、汇聚、融合、应用,在释放数据价值的同时,也带来巨大的数据安全问题。
   
“这些数据直接或间接反映了我国的区域人口分布、商业热力、人口流动、企业经营及货物流动等情况,巨大的用户规模和巨额的交易量背后,这些数据与国家安全、国计民生、社会公共利益紧密相关。”兰瑜说,“因此,互联网企业在开展数据安全管理时,应该坚持企业数据安全合规底线,提高数据风险管理,确保数据利用的安全。”
   
据悉,为贯彻中央关于网络安全的精神,目前各地相继发布了开展2022年互联网行业网络和数据安全检查的通知,并明确指出要坚持以查促建、以查促管、以查促防、以查促改,加强网络和数据安全检查,推动互联网行业网络安全主体责任,全面提升行业网络安全保障能力,共筑网络和数据安全防线。
 
本文源自《中国经营报》2022年9月19日第05版

除中经传媒智库署名文章外,其他文章为作者独立观点不代表中经传媒智库立场,本站文章未经允许不得转载。

关于智库

  • 在中国社会科学院的智慧支持和战略指导下,《中国经营报》社有限公司发起成立了中经传媒智库。智库汇聚了中国社会科学院及顶级机构专家资源,是集专家、机构、平台、媒体资源于一体的媒体融合型智库。中经传媒智库整合旗下《中国经营报》《商学院》《家族企业》、中国经营网及两微一端等平台,具有5000万+的全媒体传播影响力。智库利用自身媒体平台开拓整合资源能力和广泛平台优势,为企业家和经营管理者提供全方位的信息服务和智慧支持。

    中经传媒智库公众号
    中经传媒智库微博

  • 创建于1985年的《中国经营报》,由中国社会科学院工业经济研究所主办,报社始终秉承“终身学习、智慧经营、达善社会”的理念,洞察商业现象,解读商业规律,助推商业文明。经过37年的发展,已经成为拥有一报两刊、网站、新媒体的大型传媒集团,是国内领先的综合财经媒体服务商。

    + 订阅

    《商学院》杂志创刊于2004年,中国社会科学院工业经济研究所主办,《中国经营报》社有限公司出版的一本高端管理类杂志。秉承终身学习、智慧经营、达善社会的理念,以传播商业新知为己任,以“国际视野+中国功夫”为办刊宗旨。为读者提供一切对管理有益的方法、工具和理念,是管理他人和企业的一本实战、实用的杂志。

    + 订阅

    《家族企业》杂志由中国社会科学院工业经济研究所主办,《中国经营报》社有限公司出版。是中国率先关注家族企业实际控制权传递过程中风险与危机管控以及企业可持续发展能力的媒体。

    + 订阅