筑牢数据出境安全防线,《数据出境安全评估办法》正式实施

202291日,由国家互联网信息办公室公布的《数据出境安全评估办法》(以下简称《办法》)正式实施,将指导全国各企事业单位规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,为数据出境提供可操作、可落实的法律依据,我国数据出境配套规范版图日渐清晰。

什么是数据出境

数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估,适用本办法。法律、行政法规另有规定的,依照其规定。  ——《数据出境安全评估办法》第二条

国家网信办表示《办法》所称数据出境活动主要包括:一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。

 

什么是《数据出境安全评估办法》

随着数字经济的蓬勃发展,数据资源已逐渐成为核心战略资源。数据跨境活动日益频繁,数据处理者的数据出境需求快速增长。同时,由于不同国家和地区法律制度、保护水平等的差异,数据出境安全风险也相应凸显。

制定出台《办法》是落实《网络安全法》、《数据安全法》、《个人信息保护法》有关数据出境规定的重要举措,《办法》明确了数据出境安全评估的目的、原则、范围、程序和监督机制等具体规定,对保护我国国家安全、公共利益、个人合法利益和促进数字经济发展具有重要的里程碑意义。《办法》具体内容包括:

数据出境安全评估原则

坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。

申报数据出境安全评估的触发条件

· 数据处理者向境外提供重要数据;

· 关键信息基础设施运营者向境外提供个人信息;

· 处理100万人以上个人信息的数据处理者向境外提供个人信息;

· 自上年11日起累计向境外提供10万人个人信息的数据处理者向境外提供个人信息;

· 自上年11日起累计向境外提供1万人敏感个人信息的数据处理者向境外提供个人信息;

· 国家网信部门规定的其他需要申报数据出境安全评估的情形。

数据出境安全评估流程

数据出境安全评估流程,主要包括安全评估申报和安全评估两个阶段,并根据不同评估阶段对有关主体提出了明确要求。在取得有效的关于数据出境安全评估通过的书面通知前,数据处理者不得开展数据出境活动。

作为数据处理者 如何保障数据出境安全?

数字经济高速发展、全球化进程加速背景下,我国数据出境日益普遍,涉及数据出境活动的企业、组织日益增多。如何洞悉数字安全的先机和挑战,积极建设和提升数据处理能力,在保障数据跨境流通安全、有序的前提下,充分利用数据资源使数据价值最大化,已然成为每一个数据处理者关注的重点。

1.建立数据安全风险评估与审计机制

风险是动态的,既会受数据处理者自身经营变化的影响,也会被外部合作方、市场形势、国际政策等多方面因素影响。因此,数据处理者要制定有效的数据安全风险评估和审计机制,全面掌握数据安全态势,及时看见安全风险,将数据安全监督工作常态化。

2.不断提升自身数据安全防护能力

通过开展数据安全能力成熟度测评,数据处理者可以充分了解自身数据安全防护能力,及时对问题项、潜在风险项进行完善与提升。通过寻找合适的、创新的数据安全技术,进而辅助数据安全管理,提高数据安全运营效率,履行数据安全保护责任,有效保障出境数据的安全。

3.及时梳理数据出境相关业务

数据出境安全评估需要事前进行,数据处理者要及时盘点自身涉及数据出境的业务及相关数据情况,全面掌握数据安全态势,根据《办法》规定及自身业务要求,对数据进行分类分级,以便因地制宜的制定各种防护措施。

基于多年实战经验积累,360围绕全网数字安全大脑建立了一套以看见为核心的安全运营服务体系。依托这套体系,基于云计算、大数据、人工智能等数字技术,推出360数据安全态势感知能力框架。这套框架以数据安全态势感知为核心,通过数据安全态势感知平台与全网数字安全大脑双向赋能,治理、管理、安全融合推进,实现数据全过程安全管控,帮助数据处理者看见跨境数据资产态势、跨境数据流转情况、跨境数据终端使用及跨境数据安全风险等,提升感知风险,看见威胁,抵御攻击的能力,保障数据安全、有序流通。

数据是数字经济时代最核心、最具价值的生产要素,数据跨境活动既影响个人信息权益,又关系国家安全和社会公共利益。作为数字安全的领导者,360数字安全集团愿与安全生态伙伴一同努力,赋能更多数据处理者感知风险、看见威胁、抵御攻击,守护数据合规底线,筑牢数据出境安全防线,护航数字经济发展。

(完)