数据安全沙龙 ∣《个人信息出境安全评估办法(征求意见稿)》的思考与建议

本文涉及的产品
数据安全中心,免费版
简介: 6月28日,阿里巴巴数据安全研究中心联合数据保护官(DPO)社群在北京举办沙龙,围绕国家互联网信息办公室近期公开征求意见的《个人信息出境安全评估办法(征求意见稿)》的重点条款展开集中讨论,并提出了创新性的意见和建议。

image.png

6月28日,阿里巴巴数据安全研究中心联合数据保护官(DPO)社群在北京举办沙龙,围绕国家互联网信息办公室近期公开征求意见的《个人信息出境安全评估办法(征求意见稿)》的重点条款展开集中讨论,并提出了创新性的意见和建议。

龙现场讨论的部分共识:

《个人信息出境安全评估办法(征求意见稿)》(以下简称“征求意见稿”)针对网络运营者提出了个人信息出境安全评估要求。“征求意见稿”具体内容按照安全评估的全流程逐步展开,如下图。

image.png

“征求意见稿”的制度设计,无论是对合同、个人信息出境安全风险及安全保障措施分析报告,还是省级网信部门开展评估的重点等,均强调了个人信息流出国境后持续对个人合法合法权益的保护。

DPO社群认为,国家动用公权力来保护不同类型数据,其核心诉求肯定有所不同。

image.png

DPO社群认为,个人信息出境安全,主要是避免出于“经济目的”为导向的数据泄露和滥用事件;重要数据出境,主要是避免出于“政治和安全目的”为导向的数据泄露和滥用事件。

既然个人信息和重要数据出境安全评估所要防范的风险事件有着本质上的不同,出境安全评估的设计也应体现不同的理念、重点。防范性质不同的数据安全事件,采取的手段自然也就不同。对个人信息出境监管来说,制度核心应当是通过安全评估,反向激励企业在个人信息出境时,真正地承担起责任(accountability)原则,管控数据出境链条中各合作方的行为。而对重要数据出境来说,因为面对的是以“政治和安全目的”的攻击,就算企业承担了责任,也经常无济于事。

目前的“征求意见稿”作出了“网络运营者申报”、“省级网信部门评估合格后批准”的设计,在实践中很可能无法起到上述激励作用。相反,企业中负责数据安全和合规的部门,事实上可以将“锅”甩给省级网信部门:原本面对业务部门开展经营的诉求,企业中的数据安全和合规部门本来是站在他们“对立面”,时常要踩刹车;但现在的申报批准制,相当于政府部门承担了原本企业中数据安全和合规的部门“踩刹车”的责任,原本企业中不同部门之间的“制衡”就不复存在。在这样的制度设计中,企业中数据安全和合规的部门的最佳策略肯定是和业务部门站在一起,对业务诉求一律开绿灯,事事申报。申请不过,是监管的责任;申请过了,如果最终出了任何数据安全问题,也是监管的责任。

DPO社群认为,企业天然就具有开展业务获得经济利益的诉求。当下,在全球都开始重视数据安全保护的情况下,正规运营的企业无论高层到一线,均认识到企业加强数据安全和个人信息保护工作,已经是不可逆转的趋势。因此,政府开展包括出境安全评估在内的数据安全保护制度设计,最重要的是让企业意识到:“没有这个金刚钻,就别揽这个瓷器活”。

建立符合“权责一致原则”的个人信息出境安全评估制度建议

image.png

首先,综合实际情况,存在以下几种无需备案的情形:

  1. 出于维护个人信息主体或其他个人的生命、财产等重大合法权益所必需;
  2. 履行境内法律法规规定的义务相关的;
  3. 由个人主动发起,且境外数据接收方为数据实际出境过程中唯一或主要的数据控制者的;

[重点说明1:此种情形主要包括个人直接登录境外网站或应用以购买商品或服务,例如买机票、订酒店等;但不包括以下情形:境内网络运营者平台作为中介,个人通过该中介服务购买了境外的商品或服务。在此情形中,境内网络运营者平台和境外数据接收方同为数据控制者。因此,境内平台与境外数据接收方的商业合作模式和数据流动模式应进行备案。

重点说明2:同样起到上述目的的另外一种可能的表述是:由个人主动发起的数据出境活动的必需的,无需备案;但在数据出境过程中为提供该数据出境提供技术支持和协助的第三方平台,应就数据出境技术支持和协助的安全性进行自评估并备案。]

  1. 个人主动拨打电话,以及发送短信、传真、电子邮件等;
  2. 涉及已经合法公开的个人信息或个人自行公开的个人信息。

其次,境内的数据发送方在其自行决定的具体数据跨境业务启动日期,提前二十日向省级网信部门提交材料,进行备案。提交的材料包括:

  1. 备案表;
  2. 数据出境相关的合同条款,或专门的数据出境合同[重点说明:业务合作合同中涉及企业大量的商业秘密。建议向仅仅备案与数据出境相关的具体合同条款;或者作为业务合作合同附件的专门就数据出境作出约定的协议文本。业务合作中会对数据出境安全造成影响的因素,企业会在“个人信息出境安全风险及安全保障措施分析报告”作出披露并开展风险分析];
  3. 个人信息出境安全风险及安全保障措施分析报告。

随后,数据发送方备案后二十日内未接到省级网信部门的通知,可自行启动数据跨境业务。如果省级网信部门收到备案材料二十日内,发现特定企业所开展的数据出境业务有可能存在以下情形的,省级网信部门通知该数据发送方,并组织专家或技术力量进行安全评估。安全评估启动情形如下:

  1. 存在个人合法权益无法保障的风险;
  2. 存在损害国家安全、社会公共利益的风险;
  3. 国家有关部门认定的其他风险。

建立“权责一致原则”的个人信息出境安全评估制度的益处

1.从企业的角度来看

如此制度设计的好处在于给了企业非常强的数据安全和合规激励。即,如果企业在选择境外业务合作伙伴、设计相关合同或条款等方面做出足够的努力,提供了足够的安全水平,并且就准备了一目了然、令人信服的个人信息出境安全风险及安全保障措施分析报告,那业务开展就能有比较大的确定性和可控性,特别是业务部门不用等待政府部门的“绿灯”,才能开展业务——只要在具体业务启动提前二十日提交备案材料,随后就能如期开展与境外的合作。相反如果某个企业对数据出境的安全“漫不经心”,随意选择合作伙伴,且准备的材料不充分,自然政府部门将启动评估,合作将不得不作出显著调整,甚至于中止。

2.从省级网信部门的角度来看

如此的制度设计,避免了省级网信部门可能需要承担原本由企业内部数据安全和合规部门所应该承担的职责。企业有非常强的动力去选择合作伙伴以及进行相关的条款设计。并且,企业在提供“个人信息出境安全风险及安全保障措施分析报告”时,有动力做到详细、周全,免去了省级网信部门开展调查、问询等大量的获取信息的成本。更重要的是,这样的制度设计给了省级网信部门“能进能退”的自主空间。且根据外部形势变化和风险的演进,省级网信部门能够灵活地“拧紧”或者“放松”数据出境的“闸口”。

3.对于备案系统的设计

对于备案系统及在备案系统中提交的文件,可进一步参考《具有舆论属性或社会动员能力的互联网信息服务的安全评估报告(模板)》,主要包含以下事项:

(1) 开展数据出境评估的情形[例如:新数据出境安全评估、两年后的再评估、重大变更后的重新评估等];

(2) 数据发送方和接收方安全负责人及安全管理机构设立情况;

(3) 数据出境安全风险分析及采取的控制措施情况分析;

(4) 数据出境评估合同的情况[例如,使用的是标准合同,或者使用的是其他类型合同。DPO社群期待:全国性网络安全标准化组织或者行业协会能够制定符合本办法要求的“数据出境示范合同”,并获得国家网信部门的同意];

(5) 数据出境自评估记录保存情况。

相关文章
|
1月前
|
监控 数据可视化 数据管理
实物量法到底是什么?让项目管理更精准的秘密
在现代项目管理中,精准规划、分配资源和监控项目进展是核心任务。本文介绍了一种高效的项目管理方法——实物量法,它基于项目实际产出进行进度和成本管理。文章详细解析了实物量法的核心概念、应用场景、优缺点,并提供了应用步骤和推荐的项目管理工具,帮助项目经理实现更精准的项目控制和优化。
42 2
|
存储 安全 算法
深度解读-《个人信息保护合规审计管理办法(征求意见稿)》
2023年8月3日,国家互联网信息办公室(国家网信办)发布了《个人信息保护合规审计管理办法》(征求意见稿)下称(“《管理办法》”),并同时发布了《个人信息保护合规审计参考要点》(下称“《参考要点》”),拟对《个保法》五十四条、六十四条的进一步落地提供更为详细的指导措施。
236 0
|
7月前
|
运维 安全 容灾
亿格名片 | 小红书:「红线数据不外泄」准则下的数据安全“种草”攻略
小红书的安全是紧贴业务类型与发展阶段演进开展的,从内容安全再到技术安全、网络安全等方面不断迈进。区别于传统围绕防止黑客入侵的安全建设思路,保障数据安全以及管理访问控制是小红书高度关注的要点,防止红线数据外泄是终态目标。当下,随着数据安全等政策法规的落地,数据安全成了备受关注的领域,在实现我们防护红线数据不外泄的核心目标,且保障员工工作效率及体验,我们选择性地舍去了传统云桌面、沙箱之类比较“重”的工具。基于此,共创落地零信任数据安全体系,集成至内部安全办公系统中,替代3、4个安全软件,实现最小权限访问以及数据分类分级、流转、分发等全方位管控,这样既有效保护红线数据、又不影响员工效率与体验。
亿格名片 | 小红书:「红线数据不外泄」准则下的数据安全“种草”攻略
|
算法 数据挖掘 BI
新高考增值评价系统业务简单介绍(超详细,图文并茂)
新高考增值评价系统业务简单介绍(超详细,图文并茂)
716 0
新高考增值评价系统业务简单介绍(超详细,图文并茂)
|
安全 网络安全
金融安全资讯精选 2017年第十六期:逐条解读现金贷整顿对P2P影响,工信部宣布1亿以上用户信息泄露为特大网络安全事件,太平保险集团信息安全主管的企业安全方法论
逐条解读现金贷整顿对P2P影响,工信部宣布1亿以上用户信息泄露为特大网络安全事件,太平保险集团信息安全主管的企业安全方法论
2390 0
|
区块链
【调查问卷】区块链合约调查问卷~帮助企业更好,更快上链!
蚂蚁区块链开放联盟链提供给企业的,不但是低门槛低成本的上链方案,让上链之路变得轻巧简单,而是是一个链上链外广阔的生态协作机会。
1454 0
|
安全 数据安全/隐私保护
社交网站存在七大安全风险 可能成为用户隐私泄露重灾区
3月30日,瑞星公司发布《网民隐私与社交网站(SNS)安全报告(2009)》,针对目前非常热门社交网站用户发出安全警告。报告指出,网民在社交网站注册个人资料之后,很容易遭遇手机号泄露、MSN和邮箱帐号密码被盗用等七大安全风险,而利用各种方式骗取网民个人资料用以牟利,已经成为社交网站利润的重要来源。
2309 0
|
安全 数据安全/隐私保护
政府安全资讯精选 2017年第十三期 网信办发布《互联网新闻信息服务新技术新应用安全评估管理规定》;Facebook颁布新广告政策,加强内容安全
网信办发布《互联网新闻信息服务新技术新应用安全评估管理规定》;Facebook颁布新广告政策,加强内容安全;英国新《数据保护法案》允许遭黑客攻击者索要“精神赔偿”;存有英国女王行程相关信息的U 盘遗失,数据未做任何加密
1813 0