如何申请数据“护照”?|企业数据出境评估指南

2023-09-11 10:08

在去年7月份,某互联网平台巨头被国家政府以数据泄漏为由曾开出80.26亿人民币的创纪录罚单,本次事件是中国企业数据出境合规的历史性标志事件,极大地推动了国内数据出境的立法进程。而随着全球化数字经济快速发展,国内企业数据的跨境流动日益频繁,企业应当警惕数据违法违规出境涉及的经营风险,须从国家安全、公共利益、个人信息主体权益保护等多重角度来监督和管理数据出境,密切关注数据出境的合规之道。

你的企业需要给数据申请“护照”吗?

是否要给企业的数据申请“护照”,首先就需要判别是否涉及数据出境,我们要搞清楚数据出境中 “境”的概念,这里的“境”不是物理上的边境,可以理解成是司法管辖的边境。从中国向其他国家传输数据属于数据出境,这种数据跨境行为比较容易理解;那么中国大陆向港澳台传输数据这种行为属于数据出境吗?其实我们对“境”的概念有更准确的理解时,那么问题就非常明朗了,港澳台和中国大陆分别属于不同的司法管辖区域,所以中国大陆企业向港澳台地区传输数据同样属于数据出境行为。

搞清楚了“境”的概念,就需要明确企业哪些行为属于数据出境,多数企业对于数据出境可能存在一个误区,比如认为只有类似通过邮件等向境外发送数据才属于数据出境,其实这只是数据出境行为的一小部分内容。数据出境主要有以下三大情形:

(1)数据处理者将中国大陆境内收集和产生的数据转移至境外存储;

(2)数据处理者将中国大陆境内收集和产生的数据查询、调取、下载等权限提供给境外主体;

(3)国家网信办规定的其他数据出境的行为。

对于(1)的行为,除了用邮件等向境外发送数据之外,通过U盘、硬盘等载体将数据携带出境、使用供应商通过境外系统提供的数据处理服务等都构成数据出境。

对于(2),即使境外主体不实际对数据进行查询、调取、下载、导出,对于其有权限进行前述行为的,也会被视为数据出境。例如,境外关联公司等对中国境内子公司的服务器、中国子公司邮箱系统等有较高权限,有能力自行查询、调取相应数据,即使其没有实际进行查询调取,该权限范围所覆盖的数据(有权限查询1万人敏感个人信息,或重要技术资料等)也会被认为是数据出境的对象。以上三种情况只要符合其中一种企业就需要考虑给数据申请“护照”了。

01.png


数据出境安全法规制度有哪些?

《网络安全法》、《数据安全法》、《个人信息保护法》被并称为数据出境安全管理的“三驾马车”。2016年11月7日发布的《网络安全法》首次提出了“数据本地化,出境数据安全评估”的概念,同时第三十七条明确了关键信息基础设施运营者向境外提供个人信息和重要数据出境的要求;2021年发布的《数据安全法》第三十一条明确了其他数据处理者(非关键信息基础设施运营者)向境外提供重要数据出境的要求;同年8月发布的《个人信息保护法》第四十条增加了个人信息处理者向境外提供个人信息的要求。

为指导各单位更好地开展数据出境安全评估工作,国家网信部门逐步完善数据出境安全评估办法,从2017年的《个人信息和重要数据出境安全评估办法(征求意见稿)》到2019年《个人信息出境安全评估办法(征求意见稿)》,再到2021年《数据出境安全评估办法(征求意见稿)》和2022年《数据出境安全评估办法》(下文简称《评估办法》)正式稿发布,《数据出境安全评估办法》所建立的管理体系逐渐成熟和完备,无论是在概念还是在制度建设方面都与上位法及其他相关数据跨境流动安全管理规定形成良好的衔接。


02.png


为指导和帮助数据处理者规范有序的申报数据出境安全评估,国家互联网信息办公室编制了《数据出境安全评估申报指南(第一版)》,对数据出境安全评估申报方式、申报流程、申报材料等具体要求做出了说明。同时为了规范个人信息出境活动,指导和帮助个人信息处理者规范、有序备案个人信息出境标准合同,国家互联网信息办公室于2023年2月发布了《个人信息出境标准合同办法》(下文简称《标准合同办法》),并于当年5月发布配套的《个人信息出境标准合同备案指南(第一版)》,至此,数据出境评估制度体系已经成形,数据出境安全评估场景得到了全覆盖。

企业数据出境的情形和申报要求

《评估办法》和《标准合同办法》对数据出境情形有明确的解释,同时针对不同的情形也提出了具体申办方式和流程。

《评估办法》第四条明确提出有以下四种情形之一的,应当向网信部门申报数据出境安全评估:

(1) 数据处理者向境外提供重要数据;

(2) 关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;

(3)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;

(4) 国家网信部门规定的其他需要申报数据出境安全评估的情形。


03.png


数据处理者达到安全评估情形,首先应完成数据出境风险自评估,然后向省级网信部门提交申报材料,省级网信部门完成完备性查验后交国家网信部门评估。正常情况下数据处理者申报之后57个工作日内下发评估结果,情况复杂或需要补充、更正材料的可以适当延长。


04.png


《标准合同办法》第四条明确提出同时满足以下四种情形的,应当在规定时间内向省级网信部门备案:

(1)非关键信息基础设施运营者;

(2)处理个人信息不满100万人的;

(3)自上年1月1日起累计向境外提供个人信息不满10万人的;

(4)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。 


05.png


个人信息处理者在与境外个人信息接受者签订标准合同前,应开展个人信息保护影响评估(PIA),并在标准合同生效之日起10个工作日内向省级网信部门备案,正常情况下个人信息处理者备案后15个工作日内下发备案结果,情况复杂或需要补充、更正材料的可以适当延长。

 

06.png


涉及数据出境的企业需开展哪些工作?

触发数据安全评估的企业

07.png

   

触发标准合同备案的企业

08.png


闪捷数据出境安全服务能力


  • 专注性——围绕数据出境业务,成立北京数据安全联合实验室,主体业务为数据出境合规、金融个人信息保护、车联网数据安全等业务方向做重点研究。

  • 全面性——具备数据出境安全自评估和个人信息出境影响评估服务能力,可以帮助企业完成数据出境安全自评估和个人信息出境影响评估;同时有数据安全管理和技术能力建设丰富经验,可帮助企业提升数据安全管理和技能能力。

  • 创新性——拥有智能化的数据流转监测平台,可为出境数据资产盘点、个人敏感数据识别、数据流转监测提供有力技术支撑,提升数据出境安全自评估和个人信息出境影响评估服务效率。

为你的企业获取数据“护照”,做好数据出境评估是维护企业数据安全和合规性的关键步骤。企业需要了解何时需要进行数据出境评估,遵守相关的法规制度,并开展必要的工作来确保合规性。闪捷数据出境安全服务可以提供专业的支持,助力企业顺利完成数据出境评估过程。维护数据的安全和合规性是企业成功的关键之一,务必认真对待。