一文全解《数据出境安全评估办法》出境安全规范数据出境安全评估办法评估办法

1、通过数据资产梳理与分类分级,建立企业内部数据监管制度

数据梳理与分类分级是企业建立流动的数据监管制度的基础,以企业现行或拟进行的业务为依托,对其中涉及的数据进行梳理,根据数据类型等对数据进行分类分级,并按照分类分级结果,建立企业内部控制制度,具体包括数据访问权限设计,内部安全管理制度,安全事件应急预案等制度。

2、做好业务拆分工作

3、做好企业与其他主体的各项合规工作

数据出境,除了要对境外接收方的法律环境与数据安全环境进行尽职调查,还要为涉及国内各数据处理第三方设计各项制度。包括准备签订各项法律文件,对各方管理措施和技术措施进行调查和确认,同时要对结果、来往记录留存,如有需要,配合监管机构核查。

(四)数据出境安全评估要点解读

(一)“数据出境”的定义

根据《评估办法》答记者问,数据出境活动主要包括:一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。

通过对上述内容进行归纳,《评估办法》中数据出境共有两个特点:第一,数据由境内收集和产生;第二,境外可通过物理层面上的传输和存储接触到数据,或者通过线上的方式进行访问或调取。这种不仅限于物理上的数据出境,在《信息安全技术数据出境安全评估指南(征求意见稿)》(以下简称“《评估指南》”)也有提及(如下图)。

笔者建议,即使在其他规定中对“数据出境“也有规定,但在数据出境安全评估工作中,应严格按照《评估办法》中的两个特点进行理解。

(二)《评估办法》的适用范围

首先必须明确,判断《评估办法》适用范围的第一步,要确定数据类型是否仅限于重要数据和个人信息,第二部再判断数据处理者是否属于规定中要求的特殊条件。这种判断方法不仅与数据合规实务中先行数据梳理有联系,而且如发现涉及国家秘密或一般经营数据等其他数据类型,可做区别处理。

(1)重要数据的认定

《评估办法》中第十九条规定,重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。

虽然有上述定义,但重要数据认定在实务中一直是困扰企业的难题,主要是目前《数据安全法》将确定重要数据目录的任务交给了各地区和各部门。但目前为止,只有《汽车数据安全管理若干规定(试行)》做出了回应,汽车领域的重要数据包括①军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;②车辆流量、物流等反映经济运行情况的数据;③汽车充电网的运行数据;④包含人脸信息、车牌信息等的车外视频、图像数据;⑤涉及个人信息主体超过10万人的个人信息;⑥国家部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。

虽然目前为止其他领域暂未列明重要数据目录,但企业(尤其是涉及能源、金融等重要行业的企业)不可忽视其重要数据识别的必要性。一方面,应积极与主管本地区,本行业的单位组织沟通,确认企业是否涉及重要数据。其次,通过汽车行业重要数据目录,根据本行业性质,归纳出定性与定量结合的方式进行认定。例如涉及军事管理区的数据、反映经济运行状况的数据均可认定为重要数据。

(2)关键基础设施者(以下简称“CIIO”)的认定

CIIO的认定与重要数据存在同样的困境。《关键信息基础设施安全保护条例》将关键基础设施者的认定交给了本行业、本领域的保护工作部门。我们一般可使用“敲门原则”帮助企业判断自身是否属于CIIO,即企业如收到保护工作部门通知,则属于CIIO。

(3)敏感个人信息的处理

笔者认为,敏感个人信息的认定应根据不同场景具体分析。例如个人的姓名,在涉及疫情流调的场景中,有可能被认定为敏感个人信息。

其次,通过改变信息颗粒度,确认必要性,尽可能减少出境敏感个人信息数量,降低企业合规成本。例如,国外母公司如果需要国内子公司或分公司员工的体检结果,是否可以用正常/异常代替详细的体检结果。

(4)100万,10万,1万的认定

本次《评估办法》确认了关于人数的计算方式,即以人数为计算方式,而并非以个人信息条数计算。同时,10万人个人信息和1万人个人信息无需累计,可在一个周期内清零,这减轻了部分中小企业的合规负担。

(三)个人信息保护影响评估(PIA)与数据出境风险自评估的关系

个人信息出境作为《个保法》下明确规定应该进行PIA的情形,如遇到也需要进行数据风险自评估的情形,二者是否应出具同一份报告。目前有观点认为两者为同一份报告,笔者对此持保守态度。通过二者在各自规定中的内容即可了解。(如下图)

造成以上原因主要是两个法律文件保护法益的倾向性不同。但在实践中,由于数据出境安全自评估与PIA的部分工作内容重合,二者可同步进行,在保证两份报告均可出具的同时,避免企业或外部第三方机构重复工作,以提高企业合规工作的效率。

(四)数据安全评估要求的企业动态监管体系

通过数据出境安全评估的结果有效期为2年,自评估结果出具之日起计算。有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申报评估。

这是根据《评估办法》中根据自评估和国家机关评估重点进行归纳得出的。

1、数据出境的合法性、正当性,必要性

2、境外接收方数据保护情况

3、通过对数据本身进行分析,确认数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险。

4、数据安全和个人信息权益是否能够得到充分有效保障

5、双方签订有约束力的法律文件

6、规定或认为需要评估的其他事项。

结语

数据出境安全评估制度的确定,使我国数据出境的格局发生变化。在国家要求数据安全有序流动的大背景下,安全评估为企业数据出境带来了确定性。加之近期发布的《标准合同(征求意见稿)》、《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》,我国的数据出境的路径将逐渐明悉。

THE END
1.出入境记录对申请签证有帮助,在哪查询下载?多种方法教程!(1)用微信打开移民局小程序 (2)注册登录 (3)首页点击出入境记录查询 (4)选择查询的时间(最长可查询10年内的出入境记录) (5)发送邮箱 (6)下载打印 流程图: 无论你通过以上哪种方式下载出入境记录流程基本都差不多,而使用微信小程序查询的较多,如下图:...https://www.125visa.com/wenti/22582.html
2.中国公民出入境证件办理流程图本省户籍人员在本省内流动,暂住或居住,可就近向当地县级以上公安机关出入境管理机构申请办理普通护照、往来港澳通行证及团队旅游签注、大陆居民往来台湾通行证及签注(个人旅游签注除外)。 已持有效往来港澳通行证,在原往来港澳通行证或者原签注申请受理部门申请签注的,可以委托他人代为申请。申请往来港澳旅游再次签注的...http://hgz.tongbai.gov.cn/portals/bs/gaj/webinfo/2017/06/1508211553091930.htm
3.出入境边防检查办理边检手续流程图式样.doc出入境边防检查机关办理边检手续流程图式样目 录办理预检和正式检查手续的程序和方法登轮办理入境手续的程序和方法登轮办理出境手续的程序和方法办理船员换班手续的程序和方法《船员登陆证》、《台湾船员登陆证》申办流程图第 PAGE 1 页 共 5 页办理预检和正式检查手续的程序和方法站业务值班人员接到船舶入境预报后(...https://m.book118.com/html/2022/0627/5044202143004300.shtm
1.外国人出入境证审批流程图.doc外国人出入境证签发运行流程图应当提交的书面材料:(一)填写《应当提交的书面材料:(一)填写《外国人签证证件申请表》。(二)提交一张符合规定要求的照片。(三)提交护照报失证明或者所属国驻华使领馆照会或者出示被损毁、失效证件。(四)提交代替护照使用的临时身份证明。申请申请受理根据《受理根据《关于印发<外国人签证...https://m.renrendoc.com/paper/293153333.html
2.《个人信息出境标准合同备案指南(第一版)》解读专业文章三、个人信息出境标准合同的备案流程 (一)备案流程图 根据《备案指南》的规定,个人信息出境标准合同的备案流程具体如下: (二)补充或者重新备案 在标准合同有效期内出现下列情形之一的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续: ...https://www.allbrightlaw.com/SH/CN/10475/5cb60f840e4d1276.aspx
3.美国大学申请流程图12篇(全文)美国大学申请流程图 第1篇 一般来说,安排住宿和接机留学成行开始学术课程有些学校要求申请者提供口语成绩,一般就是TSE考试,考试和TOEFL 起报名。 美国研究生入学考试,几乎所有的美国学校都要求申请研究生学历的申请人提供该考试成绩,并且,该考试成绩和入学录取和获得奖学金直接相关。每年考试一般 2 次,上半年一次,下...https://www.99xueshu.com/w/file3ip8cmd5.html
4.北京市出入境管理局(精选9篇)篇6:南京市出入境人员体检管理流程图 供稿单位:管理员 时间:2012-09-18 14:59:27 被点击: 健康检查及预防接种流程 一楼 1、咨询——咨询台;如需要,自行进行相关咨询。 2、填表——大厅填表处;表格在填表处,根据需要自取; 1)《健康检查申请表》 ——(各类体检者均适用); 2)《疫苗接种或预防接种申请书》...https://www.360wenmi.com/f/filew9894aop.html
5.出入境免签体检流程图:2024年体检项目顺序指南血液检测需要抽取两管血;尿检会提供脏兮兮的纸杯和试管,要求“中尿”,即排尿一段时间后接取;外科检查相对简单,测血压、听心脏、询问基本身体状况;心电图检查可以在三楼进行,人较少;胸透则与高考流程相似。建议的体检顺序为血液、胸透、心电图、外科、尿检,因为尿检需要喝水等待一段时间。https://www.tijian8.com/post/f89CaE5bE177.html
6.中国出境流程中国出境流程的思维导图,分别有团队集合、办票手续、海关申报、移民局边防、安检、候机,可以参考。 亿图脑图MindMaster原创思维导图社区提供海量优质的思维导图模板资源,一个各类脑图创意思维绘制,整理知识学习与交流的平台 - 用思维导图来表述中国出境流程https://mm.edrawsoft.cn/template/374764
7.这七类人员因私出国(境)要报审!科级干部因私事出国(境)审批工作流程图 1 提出申请 申请人须向县委组织部并所在单位党委(党组)提出因私事出国(境)的申请,由单位党委(党组)主要负责人签署意见,并呈报分管县级领导签署意见。 2 审核批准 将《保靖县国家工作人员因私事出国(境)审批表》、签署同意意见的个人申请报告、国境外邀请信函或其他有效证明...https://visa.liuxue86.com/v/3501770.html