以安全促发展——《数据出境安全评估办法》解读

news2024/12/29 6:05:42

各国关于数据出境的监管要求一直是各国数据监管的风向标,不仅体现国家对于数据安全的重视程度,也能意会出国家对于数据竞争的态度以及数字经济发展的思路。例如欧盟《通用数据保护条例》(GDPR)设定的个人数据出境的限制,规定在第三国具备充分保护水平的前提下可将个人数据向第三国传输,而如第三国不具备充分保护水平的,控制者或处理者只有在提供了适当的保障措施,并为数据主体提供了可执行的权利和有效的法律救济措施的条件下,才可将个人数据传输至第三国。上述内容是对于个人数据出境的特殊监管要求,也是解决欧盟单一数字经济发展面临制度障碍的尝试。

数据出境的监管对于数字经济蓬勃发展的中国也尤为重要。一方面需要树立数据监管的价值观,另一方面数据出境监管的制度设计将直接影响跨国企业以及出海企业的日常运营,更深刻的影响数字经济的发展进程。随着《网络安全法》《数据安全法》以及《个人信息保护法》三大法律的确立,以及相关法律法规征求意见稿的出台,我国数据跨境制度法律框架已经完成了基础性搭建。其中,数据出境安全评估制度在我国的数据跨境制度中占据相当重要的地位。2022年7月7日,《数据出境安全评估办法》正式颁布,这意味着,我国数据出境安全评估制度在效力上,从概念的制度向实践的制度迈出了重要的一步。本文在回顾我国数据跨境制度的历史沿革基础上,对《数据出境安全评估办法》的自评估方法进行操作化的解读,为企业等各数据处理者提供自评估合规指引。

01

数据跨境制度的规则导向

而就国内而言,《网络安全法》的生效,初步确立了以安全评估制度为核心的数据跨境的基本规则;随着《数据安全法》《个人信息保护法》等法律法规的出台,数据跨境制度的法律框架逐渐完善,安全评估制度在数据跨境制度中的定位也逐渐清晰。在此期间,为有效落地法律层面的制度规范,国家网信办等有关部门、标准制定单位等陆续发布了不同层级的数据跨境细则、标准指南等草案文件,明晰了数据跨境合规的监管和实践方向。

在这里插入图片描述
02

我国数据跨境安全评估制度的历史沿革

在国内数据跨境制度的发展过程中,数据出境安全评估作为数据跨境的合规途径贯穿始终,并随着规则草案的颁布而逐渐细化。以下我们就数据跨境安全评估制度的历史演总结如下:

  1. 数据跨境安全评估制度的开端——以《网络安全法》作为标志
    (1)《网络安全法》奠定数据跨境安全评估制度基础

从时间上看,最开始对数据跨境提出安全评估要求的是2017年的《网络安全法》(“《网安法》”)。《网安法》第37条对关键信息基础设施运营者(“CIIO”)提出了在境内收集和产生的个人信息和重要数据的本地化要求,确需出境的应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。不过,对于上述条文中对“关键信息基础设施运营者”“重要数据”“个人信息”三个核心概念均未进行界定,同时并没有相应的国家层面的安全评估规定,这使得《网安法》的规定与数据跨境安全评估制度实际落地仍有较大距离。因此于同年,国家网信办就《个人信息和重要数据出境安全评估办法(征求意见稿)》公开征求意见,国家标准委随后也就《信息安全技术 数据出境安全评估指南(征求意见稿)》(“《数据出境安全评估指南(征求意见稿)》”)公开征求意见。两文件均不同程度地对《网安法》所奠定的数据跨境安全评估框架进行了进一步的深入和细化。

(2)阶段性征求意见稿明确方向

《个人信息和重要数据出境安全评估办法(征求意见稿)》的贡献在于确立了数据跨境制度之下的安全评估程序的基本流程。该《办法》对需要进行安全评估的情形、安全评估需要重点评估的内容、负责安全评估的主管部门等方面进行了具体的规定,并确立了以自评估为前置流程,申请评估为正式环节,重新评估为可持续性支持的安全评估流程。其中,还值得注意的是安全评估适用范围的拓展。它将适用主体拓展适用于任何符合第9条条件的网络运营者,同时将数据类型拓展至具有一定体量的数据。而《数据出境安全评估指南(征求意见稿)》则是对数据跨境、重要数据、核心数据等基本概念进行了界定和列举,同时提供了极具可操作性的,以影响程度等级和安全事件可能性等级为判断维度的安全评估落实方案。

随后经过大约两年时间,《数据安全管理办法(征求意见稿)》以及《个人信息出境安全评估办法(征求意见稿)》相继公开征求意见。《数据安全管理办法(征求意见稿)》纳入个人信息的有关内容,将包括个人信息在内的数据的收集、处理使用、安全监督管理进行了规定。《数据安全管理办法(征求意见稿)》区分重要数据和个人信息,涉及重要数据跨境的,网络运营者应进行评估,并报经同意或批准;个人信息则按照其他规定执行。

随之而来的《个人信息出境安全评估办法(征求意见稿)》中,个人信息的出境限制比数据出境更为严格,根据第3条的规定,凡涉及个人信息跨境,均需要进行个人信息出境安全评估申报。《个人信息出境安全评估办法(征求意见稿)》可以视为先前《个人信息和重要数据出境安全评估办法(征求意见稿)》的细化版本,其对申报材料、安全评估期限、救济渠道等内容进行细化规定,并强调网络运营者与个人信息接收者签订的合同或者其他有法律效力的文件(统称合同)中所应规定的,保障个人信息权利以及网络运营者、个人信息接收者责任义务的要求。在该文件中,合同审核成为了安全评估的重点内容。

这一阶段,数据跨境安全评估制度得到了较高程度的讨论与细化,奠定了该制度在数据跨境制度中的重要地位。

  1. 数据跨境安全评估制度的重要更新——以《数据安全法》《个人信息保护法》为标志

(1)数据跨境安全评估制度的适用日益多元化和具体化

随着《数据安全法》(“《数安法》”)以及《个人信息保护法》(“《个信法》”)相继出台并生效,我国的数据跨境制度的基本法律框架得以进一步厘清。《数安法》第31条在CIIO向境外提供重要数据时延续了《网安法》的规定,还为非CIIO的数据处理者在向境外提供重要数据提供了制度留白。《个信法》则是在数据处理者的基础上,进一步界定了个人信息处理者,并规定了“个人信息跨境提供的规则”专章来专门针对个人信息跨境构建规则框架。在《个信法》下,个人信息跨境场景下的安全评估制度有了更多的细化规定。

适用主体上,《个信法》继承了《网安法》和《数安法》的规定,将属于CIIO的个人信息处理者纳入需要安全评估的责任主体范围。在此基础上,《个信法》第36条和第40条还加入两个需要进行安全评估的责任主体,分别是国家机关和处理个人信息达到国家网信部门规定人数的个人信息处理者(下称“大型个人信息处理者”)。《个信法》对上述三者提出了个人信息本地化要求,因需要确需出境的,则需要进行安全评估。其中,CIIO作为长期存在的概念,其概念界定、认定标准以及认定程序在《关键信息基础设施保护条例》中有了相对明确的规定。各主体可以根据该条例的要求,对自身是否可能会被认定为CIIO进行自评估,可能会被认定为CIIO的,宜以CIIO的标准开展数据跨境合规工作。可以看出,在整个数据出境制度体系中,数据出境安全评估占据十分重要的位置。因为对于特定主体而言,安全评估并不是《个信法》第38条第1款所规定的“选择性义务”,而是第36条、第40条所规定的“强制性义务”;不是《网络数据安全管理条例(征求意见稿)》第35条中数据出境的“选择性义务”;而是第37条所规定的“强制性义务”。而同时,“处理个人信息达到国家网信部门规定数量的个人信息处理者”尚需进一步界定。

(2)后续规则草案尝试制度落地

《网安法》《数安法》以及《个信法》三驾马车的形成,为后来的《网络数据安全管理条例(征求意见稿)》的制定提供了上位法基础。《网络数据安全管理条例(征求意见稿)》将数据跨境统一处理,将个人信息跨境制度框架扩展成为数据跨境制度的一般框架,其基本上遵循了《个信法》的制度架构,但同时对三大法律的规定进行了细化,形成制度补充。在延续性地将数据出境安全评估作为数据出境的一种条件的基础上,《网络数据安全管理条例(征求意见稿)》尝试就数据出境安全评估的触发条件做进一步明确,除CIIO情形外,还包括了出境数据中包含重要数据、处理一百万人以上个人信息的数据处理者向境外提供个人信息。

现今生效的办法在统一处理数据出境的基础上,对统一的安全评估制度做了进一步更新。其第4条对《个信法》“处理个人信息达到国家网信部门规定数量的个人信息处理者”进行了补充界定,在“处理个人信息达到一百万人的个人信息处理者向境外提供个人信息”的基础上,补充了“自上年1月1日起累计向境外提供超过十万人个人信息或者一万人敏感个人信息”的数据处理者的情形,较为显著地扩大了数据出境安全评估制度的适用范围。

在具体的评估流程上,《数据出境安全评估办法》明确了自评估——申请评估——重新申报评估的评估流程框架,并对部分细节进行了更新。例如,在有效期上,《数据出境安全评估办法》规定了2年的固定有效期,2年有效期届满均需要进行安全评估,并且规定有效期内需要重新评估的情形。在评估时限上,《数据出境安全评估办法》充分考虑到了安全评估工作的复杂性,例如根据第10条的要求,国家网信部门受理申报后,需要根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估,因而整个过程需要多部门协同以及具有较高的专业性。

在该办法中,数据跨境合同等法律文件仍然是重要的评估内容,与《个人信息出境安全评估办法》相比,《数据出境安全评估办法》综合了的个人信息处理情况、个人信息权利保障以及网络运营者和接收者的责任义务于一体,并补充再跨境条款和争议解决条款的要求,因而更为简洁,同时也更强调标准合同的可行性、周全性以及可执行性。

以上可以看出,《数据安全法》《个人信息保护法》生效之后这一时期的跨境制度,立法者逐渐梳理清楚了数据和个人信息之间的关系,搭建了基本统一的数据跨境法律制度框架。这一时期的个人信息跨境制度的构建拓展了多种允许数据跨境的路径。在众多路径中,安全评估仍然是数据合法跨境的最为重要的路径,也是特定数据处理者的强制性义务。同时,安全评估作为我国特色的数据跨境制度,其具体的落实应给予足够的关注和重视。而《数据出境安全评估办法》的最终生效,象征着我国数据出境安全评估制度的进一步落地,为数据处理者在开展数据安全评估工作提供了确定可操作的法律依据,因而具有里程碑式的意义。

03

《数据出境安全评估办法》内容解读

1.数据出境评估情形与流程

在这里插入图片描述
从整体体例来看,《数据出境安全评估办法》对安全评估的程序性规则和实体评估内容均进行了规定。办法中所规定的自评估—申请评估—重新评估,以及评估材料、评估时间、评估通知、评估材料补充更正、评估结果撤销均属于程序性的规定。这些规定能够帮助数据处理者定位自己在开展数据出境安全评估工作中所处的时间点位。

在这里插入图片描述
2.数据出境评估内容

上述环节中,数据处理者的自评估与网信部门等有关部门安全评估构成整个评估流程中相对关键和重要的内容。《数据出境安全评估办法》第5条、第8条及对自评估及安全评估的重点事项进行了列举说明。

值得注意的是,对于数据出境安全自评估是否为企业的强制性法律义务,在《数据出境安全评估办法》中也给出了相应的倾向性回答。我们注意到,《数据出境安全评估办法》正式稿第5条改变了企业需履行“自评估”的法定条件,将原先征求意见稿中“数据处理者在向境外提供数据前”改为“数据处理者在申报数据出境安全评估前”,因此我们理解,对于明显不符合或者不属于需向网信部门等相关部门申报数据出境安全评估的情形,数据出境安全风险自评估可能并非强制性法律义务,但这并不代表企业在向境外提供数据前无需进行任何内部自主判断,因此企业依然可以通过自评估的方式,对于是否满足数据出境安全评估的要求进行自证。此外,《个人信息保护法》第55条仍然对企业向境外提供个人信息的行为,需履行个人信息保护影响评估的法定义务。

在这里插入图片描述
除上述之外,《数据出境安全评估办法》第9条对数据跨境法律文件(合同)应当包含的内容也进行了说明;法律文件条款的设置也将构成自评估和安全评估的重要组成部分。

数据出境法律文件评估

数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;

数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;

对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;

境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施;

违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;

出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。

以上可以看出,自评估与安全评估的重点事项在内容上有一定重叠,安全评估将重点关注数据出境活动对国家安全、公共利益、个人或组织合法权益带来的风险,并将基于此额外考虑境外接收方所在国家或地区的政策、法律、网络安全环境对出境数据安全的影响,以及数据出境活动及所涉相关方遵守中国法律、行政法规、部门规章情况。

3.企业开展自评估的维度及要求

正如前文所述,本文认为数据处理者在正式开展评估工作时,应充分将申请评估阶段和合同等法律文件条款评估纳入到自评估的内容中。但鉴于这些评估内容在表述上仍较为宽泛,本文在对《数据出境安全评估办法》评估内容进行总结的基础上,进一步细化其颗粒度,争取为自评估工作提供一个更为清晰的指引。根据《数据出境安全评估办法》第5条、第8条和第9条的内容,本文认为可以从以下几个维度分别开展自评估工作:数据处理者维度、数据接收方维度、数据出境风险维度,以及合同约束维度。分别整理如下:

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/887774.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

conda常用命令及国内镜像源

conda命令使用介绍 启动conda source ~/.bashrc帮助目录 conda create -h检查conda版本 conda --version升级当前版本的conda conda update conda环境管理 列出所有的环境 conda info -e conda env list安装一个不同版本的python新环境 conda create --name py27 pytho…

有一种新型病毒在 3Ds Max 环境中传播,如何避免?

3ds Max渲染慢,可以使用渲云渲染农场: 渲云渲染农场解决本地渲染慢、电脑配置不足、紧急项目渲染等问题,可批量渲染,批量出结果,速度快,效率高。 此外3dmax支持的CG MAGIC插件专业版正式上线,…

网络通信原理数据链路层数制转换(第四十一课)

数制概述 数制是表示和计算数值的一种方式,不同的数制使用不同的数字和规则来表示数值。最常见的数制是十进制(也称为阿拉伯数字),使用0-9个数字来表示数值。其他常见的数制包括二进制**(使用0和1表示数值)、八进制(使用0-7表示数值)和十六进制(使用0-9和A-F表示数值…

Linux_10_进程、系统性能和计划任务

目录 1 进程和内存管理1.1 什么是进程1.2 进程结构1.3 进程相关概念1.3.1 物理地址空间和虚拟地址空间1.3.2 用户和内核空间1.3.3 C代码和内存布局之间的对应关系1.3.4 进程使用内存问题1.3.4.1 内存泄漏: Memory Leak1.3.4.2 内存溢出: Memory Overflow1.3.4.3 内存不足: OOM …

docker tomcat时间少8小时问题解决

docker容器与系统时间一致并且正确,但是java程序在运行中通过log日志发现发了8小时 解决方法 修改docker容器中tomcat/bin/catalina.sh文件,添加一下内容 JAVA_OPTS"$JAVA_OPTS -Dfile.encodingUTF8 -Duser.timezoneGMT08" 附 操作命令 一…

ue5读取外部文件

准备环境 我的环境是win10,ue5.1.1,cpux86。 创建工程时,需要选择C模式 这样在Content Browser中会出现C Classes文件夹,下面有一个本项目命名的文件夹,鼠标右键可以看到New C Class选项。 新建类的时候选择父类Blue…

7-5 出租车计价

分数 15 全屏浏览题目 切换布局 作者 沈睿 单位 浙江大学 本题要求根据某城市普通出租车收费标准编写程序进行车费计算。具体标准如下: 起步里程为3公里,起步费10元;超起步里程后10公里内,每公里2元;超过10公里以上…

epoll监听多路IO(多路传感器数据高效处理)

知识点: epoll模型(使用成员ptr携带信息), udp(#pragma pack结构体对齐), socketcan(帧过滤), Linux多路uart232tousb列表获取, 正则匹配, ASCII乱码检测, C线程(lambda), 非阻塞读。 一、代码 #include <iostream> #include <stdlib.h> #include <string>…

jmeter errstr :“unsupported field type for multipart.FileHeader“

在使用jmeter测试接口的时候&#xff0c;提示errstr :"unsupported field type for multipart.FileHeader"如图所示 这是因为我们 在HTTP信息头管理加content-type参数有问题 直接在HTTP请求中&#xff0c;勾选&#xff1a; use multipart/form-data for POST【中文…

uniapp条形码实现

条形码在实际应用场景是经常可见的。 这里教大家如何集成uniapp条形码。条形码依赖类库JsBarcode. 下载JsBarcode源码&#xff0c;对CanvasRenderer进行了改进兼容uniapp。 import merge from "../help/merge.js"; import {calculateEncodingAttributes, getTotal…

POSTGRESQL 关于2023-08-14 数据库自动启动文章中使用KILL 来进行配置RELOAD的问题解释...

开头还是介绍一下群&#xff0c;如果感兴趣Polardb ,mongodb ,MySQL ,Postgresql ,redis &#xff0c;SQL SERVER ,ORACLE,Oceanbase 等有问题&#xff0c;有需求都可以加群群内有各大数据库行业大咖&#xff0c;CTO&#xff0c;可以解决你的问题。加群请加 liuaustin3微信号 &…

Text-to-SQL小白入门(二)——Transformer学习

摘要 本文主要针对NLP任务中经典的Transformer模型的来源、用途、网络结构进行了详细描述&#xff0c;对后续NLP研究、注意力机制理解、大模型研究有一定帮助。 1. 引言 在上一篇《Text-to-SQL小白入门&#xff08;一&#xff09;》中&#xff0c;我们介绍了Text-to-SQL研究…

Java版电子招投标管理系统源码-电子招投标认证服务平台-权威认证 tbms

​ 功能描述 1、门户管理&#xff1a;所有用户可在门户页面查看所有的公告信息及相关的通知信息。主要板块包含&#xff1a;招标公告、非招标公告、系统通知、政策法规。 2、立项管理&#xff1a;企业用户可对需要采购的项目进行立项申请&#xff0c;并提交审批&#xff0c;…

【mysql】—— 表的增删改查

目录 序言 &#xff08;一&#xff09;Create操作 1、单行数据 全列插入 2、多行数据 指定列插入 3、插入否则更新 4、直接替换 &#xff08;二&#xff09;Retrieve操作 1、SELECT 列 1️⃣全列查询 2️⃣指定列查询 3️⃣查询字段为表达式 4️⃣为查询结果指定…

无涯教程-Perl - sprintf函数

描述 此函数使用FORMAT基于LIST中的值返回格式化的字符串。本质上与printf相同,但是返回格式化的字符串而不是将其打印。 语法 以下是此函数的简单语法- sprintf FORMAT, LIST返回值 此函数返回SCALAR(格式化的文本字符串)。 例 以下是显示其基本用法的示例代码- #!/us…

SQL Injection

SQL Injection 就是通过把恶意的sql命令插入web表单递交给服务器&#xff0c;或者输入域名或页面请求的查询字符串递交到服务器&#xff0c;达到欺骗服务器&#xff0c;让服务器执行这些恶意的sql命令&#xff0c;从而让攻击者&#xff0c;可以绕过一些机制&#xff0c;达到直…

【Android Studio】 win11 安装配置 jdk17 超详细

概述 一个好的安装教程能够帮助开发者完成更便捷、更快速的开发。书山有路勤为径&#xff0c;学海无涯苦作舟。我是秋知叶i、期望每一个阅读了我的文章的开发者都能够有所成长。 一、下载JDK JDK官网 这里下载 JDK17 windows x64 installer 二、安装JDK 双击打开下载的 j…

计算机毕设项目之基于django+mysql的疫情实时监控大屏系统(前后全分离)

系统阐述的是一款新冠肺炎疫情实时监控系统的设计与实现&#xff0c;对于Python、B/S结构、MySql进行了较为深入的学习与应用。主要针对系统的设计&#xff0c;描述&#xff0c;实现和分析与测试方面来表明开发的过程。开发中使用了 django框架和MySql数据库技术搭建系统的整体…

AutoSAR配置与实践(基础篇)3.1 BSW架构和主要功能概要

传送门 点击返回 ->AUTOSAR配置与实践总目录 AutoSAR配置与实践(基础篇)3.1 BSW架构和主要功能概要 一、什么叫BSW二、分层介绍BSW主要功能2.1 微处理器抽象层MCAL2.2 ECU抽象层2.3 服务层2.4 复杂驱动CDD三、总结BSW各层主要功能一、什么叫BSW BSW是Basic Software的缩…

LeetCode150道面试经典题-- 合并两个有序链表(简单)

1.题目 将两个升序链表合并为一个新的 升序 链表并返回。新链表是通过拼接给定的两个链表的所有节点组成的。 2.示例 示例 1&#xff1a; 输入&#xff1a;l1 [1,2,4], l2 [1,3,4] 输出&#xff1a;[1,1,2,3,4,4] 示例 2&#xff1a; 输入&#xff1a;l1 [], l2 [] 输…