第07版:财经周刊

国人数据要出境,先过几道安全阀!

——《数据出境安全评估办法》定稿,业界人士这样解读

《 人民政协报 》 ( 2022年07月12日   第 07 版)

本报记者 崔吕萍

国家互联网信息办公室7月7日公布《数据出境安全评估办法》(以下简称《办法》),自2022年9月1日起施行。较之征求意见稿,我们发现,《办法》表述更到位细腻,细则诠释也更为清楚。那么,《办法》为我们的数据出境设置了几道安全阀?数据出境有哪些需要注意的问题?

作为个人信息安全规范、数据出境安全评估指南等国家标准的起草组成员,同盾科技总法律顾问兼安全负责人赵冉冉在接受本报记者采访时表示,5年来,安全评估的主旨和根本思路一脉相承,突出强调了国内国际规则的普遍兼容。

对比征求意见稿,赵冉冉表示,“自上年1月1日”这一“最后时刻”的变化,为申报安全评估的个人信息出境规模积累设定了非常明确的时间节点。“个人信息数量的计算一直以来都是难题。有些此类计算是以个人信息的条数作为单位的,但什么才算作‘一条个人信息’本身就存在很大争议,导致计算结果存在很大的不确定性。《办法》使用个人信息主体数量作为单位,这个单位定义清晰,计算结果统一;与此同时,《办法》还进一步明确了累计周期,这样企业就可以精确识别出哪一时段的数据需要申报安全评估。例如很多跨国企业服务器设在境外的办公、人力、邮件等系统,只要在连续两个公历年期间内所传输出境的数据相关个人信息主体数量在新规所规定的门槛之下,就可以确定为不必进行安全评估申报。”赵冉冉这样说。

与此同时,《办法》特别强调了“自2022年9月1日起施行。本办法施行前已经开展的数据出境活动,不符合本办法规定的,应当自本办法施行之日起6个月内完成整改”。对此赵冉冉表示,6个月的整改期保障了已有业务的连续性,也给予企业充分时间进行业务调整,防止不必要的重要数据和过量个人信息出境。

另外,《办法》新增条款中包括,“安全评估过程中,发现数据处理者提交的申报材料不符合要求的,国家网信部门可以要求其补充或者更正。数据处理者无正当理由不补充或者更正的,国家网信部门可以终止安全评估。数据处理者对所提交材料的真实性负责,故意提交虚假材料的,按照评估不通过处理,并依法追究相应法律责任”。

“从实际操作角度说这项工作完成起来并不容易,因为如果是境内业务与境外业务的关联比较单一的企业,我们尚可以通过问卷的方式,根据场景、目的逐项梳理数据出境情况;如是业务场景较为复杂的全球化企业,则更应借助技术手段识别数据的跨境传输,以避免遗漏。”对此,赵冉冉这样说。

谈及在数据出境有限放开背景下,居民个人、企业或者其他产生数据的机构如何维护自身信息安全,赵冉冉建议,企业机构应建立起覆盖全生命周期的数据安全治理体系,明确分级管控的安全防护手段,提升企业数据安全评估能力,通过隐私计算、加密算法等技术实现“数据可用不可见”,满足当前国家、行业对数据安全的建设要求;个人用户在享受数字技术便利的同时,也要不断提升防范意识,提升自身的数字素养与技能水平。

2022-07-12 崔吕萍 ——《数据出境安全评估办法》定稿,业界人士这样解读 1 1 人民政协报 content_27435.html 1 国人数据要出境,先过几道安全阀! 27,435 /enpproperty-->