近日,国家互联网信息办公室公布《促进和规范数据跨境流动规定》,该规定从公布之日起施行,同时公布了《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》,“数据出境申报系统”也同步上线。
其实,国家网信办对数据跨境方面的政策早在2017年就已经开始。
昂楷科技对数据出境安全评估申报指南第一版与第二版中的异同进行了整理。我们发现“变”的是管理策略,“不变”的是安全要求。
●评估结果自出具之日起有效期由2年变为3年; ●有效期届满后,若数据出境不触发重新申报情形,可在60日内申请延长评估结果有效期; ●延长申请向省网信提交,国家网信部门批准,核准后评估结果有效期延长3年。 ●未被相关部门、地区告知或者公开发布为重要数据的。 ●国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的; ●在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的; ●为订立、履行个人作为一方当事人的合同,确需向境外提供个人信息的; ●按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的; ●紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的; ●关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。 ●自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内负面清单,报省网信办批准,报国家网信办、国家数据管理部门备案; ●自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。 ●关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息。
本次出台的《规定》、配套更新的指南和上线的系统,为数据跨境安全流动提供更加良好的政策环境,然而,数据利用是目的,数据安全是保障。
在新出台的数据跨境政策中对于数据安全方面的要求没有半点松懈,严守安全底线,数据处理者在提交数据出境安全评估申请时,需提供自身在数据安全管理能力、数据安全技术能力、数据安全保障措施、数据和网络相关法律遵守情况方面的佐证材料,数据安全能力的全面建设是数据跨境流通的重要前提。
《数据出境风险自评估报告》中对数据处理者数据安全保障能力情况要求: 数据处理者数据安全保障能力情况 1、数据安全管理能力,包括管理组织体系和制度建设情况,全流程管理、分类分级、应急处置、风险评估、个人信息权益保护等制度及落实情况; (涉及个人信息出境的,需提供履行《个人信息保护法》第三十九条规定的情况说明及佐证材料,包括告知义务和取得个人的单独同意等,若属于《个人信息保护法》第十三条第一款第二项至第七项规定情形的,不需取得个人同意) 2、数据安全技术能力,包括数据收集、存储、使用、加工、传输、提供、公开、删除等全流程所采取的安全技术措施等; 3、数据安全保障措施有效性证明,例如开展的数据安全风险评估、数据安全认证、数据安全检查测评、数据安全合规审计、网络安全等级保护测评等情况; 4、遵守数据和网络安全相关法律法规的情况。 (如涉及受到行政处罚和监管整改的,可以提供证明整改完成的相关佐证材料)
在数据跨境流通场景中,昂楷科技在某省数据跨境中枢平台重点项目中参与数据安全能力建设,数据跨境流通如存在风险,数据安全平台策略中心生成相应的安全策略,下发到相应的功能组件进行处理,使跨境数据传输更加安全合规,保障数据通过中枢平台合规、安全的跨境流通。