一文看全数据跨境合规-阿里云开发者社区

开发者社区> 云安全专家> 正文

一文看全数据跨境合规

简介: 九问九答
+关注继续查看

于9月1日正式实施的《数据安全法》再次加码数据出境安全。

基于8月27日《数据安全法》解读与阿里云三大合规方案线上直播活动,阿里云解决方案架构师锅涛分享的《数据跨境流转安全》主题内容,整理出数据出境安全的九问九答,为企业数据跨境流转送上安全锦囊。

1.什么是数据出境?

数据出境是指网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。

这里需要关注两个关键词“个人信息”和“重要数据”。

个人信息:是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

重要数据:是指相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与# 国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)。

2.什么样的业务场景属于数据跨境?

-Go-China外企入华

国外企业进驻中国,将在中国收集的用户数据传输到国外。

-Go-Global中资出海

中国企业出海,将在中国收集的用户数据传输到国外。

3.数据出境有哪些相关法律法规要求?

主要相关法律包括:

-2017年6月正式施行的《网络安全法》第四章中首次提出重要数据和个人信息两大类数据的保护及跨境传输管理要求;

-2017年8月推出《信息安全技术 数据出境安全评估指南(征求意见稿)》;

-2019年网信办发布《个人信息出境安全评估办法》征求意见稿;

-2021年6月《数据安全法》再次提到数据出境需满足相关法律法规要求。

下图是关于数据出境监管要求历史时间轴:

1.png

可以看出,数据出境监管越来越完善和严格。

4.数据出境需要做哪些自查工作?

按照《数据安全法》第三十一条规定,如果是关键信息基础设施的运营者,重要数据出境安全管理适用《中华人民共和国网络安全法》规定;其他数据处理者收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。

《个人信息和重要数据出境安全评估办法(征求意见稿)》第八条对数据出境安全评估做了相应规定:

-要判断数据出境的必要性;

-涉及个人信息情况,包括个人信息的数量、范围、类型、敏感程度,以及个人信息主体是否同意其个人信息出境等,如果个人不同意,数据不能出境

-涉及重要数据情况,包括重要数据的数量、范围、类型及其敏感程度等;不同敏感程度的数据相关的数据出境要求规定不同。

-数据传输给对方的时候要重点评估接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等;如果接收方有数据泄露风险,需要降低风险

-数据出境及再转移后被泄露、毁损、篡改、滥用等风险;

5.数据出境需要上报监管部门吗?

《个人信息和重要数据出境安全评估办法(征求意见稿)》第九条规定,出境数据存在以下情况之一的,网络运营者应报行业主管或监管部门组织进行安全评估:

1)含有或累计含有50万人以上的个人信息;

2)数据量超过1000GB

3)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;

4)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;

5)关键信息基础设施运营者向境外提供个人信息和重要数据;

6)其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。行业主管或监管部门不明确的,由国家网信部门组织评估。”

6.哪些情况不属于数据出境?

-非在中华人民共和国境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动加工处理的,不属于数据出境;

-非在中华人民共和国境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集产生的个人信息和重要数据的,不属于数据出境。

以上两种情况不需要按照数据出境相关要求开展自查工作。

7.什么样的情况属于数据出境?

属于数据出境的有三种情况:

1)向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据;

2)数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外);

3)网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。

8.哪些情况下的数据是禁止出境的?

1)个人信息出境未经个人信息主体同意,或可能侵害个人利益;

2)数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益;

3)其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境

4)网络运营者按照《信息安全技术 数据出境安全评估指南》评估方法进行安全自评估过程中,发现风险等级属于高或者极高的情况,是禁止数据出境的;如果按照对应要求进行整改后,风险等级降低为低,方可出境。

9.在数据跨境流转安全方面,阿里云提供什么服务?

阿里云为客户提供数据出境管理咨询服务和数据安全咨询服务,该服务由从事安全行业近20年资深专家一对一提供。
在数据出境管理咨询服务方面,可以依据数据出境的相关合规要求,梳理数据出境的合法性和正当性,出境数据的属性、类型、范围、数量、技术处理、发生安全事件的可能性,技术和管理制度的保障能力等,同时评估数据接收方的安全保护能力,法律政治环境等,配合客户完成数据出境的的合规整改工作。

在数据安全咨询服务方面,为客户全面评估数据安全现状,输出《企业数据安全能力成熟度认证评估报告》,让企业全面了解数据生命周期安全过程域中的风险情况,协助企业做好数据安全治理的整改工作,满足国家监管合规。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
10084 0
阿里云服务器ECS远程登录用户名密码查询方法
阿里云服务器ECS远程连接登录输入用户名和密码,阿里云没有默认密码,如果购买时没设置需要先重置实例密码,Windows用户名是administrator,Linux账号是root,阿小云来详细说下阿里云服务器远程登录连接用户名和密码查询方法
11625 0
windows server 2008阿里云ECS服务器安全设置
最近我们Sinesafe安全公司在为客户使用阿里云ecs服务器做安全的过程中,发现服务器基础安全性都没有做。为了为站长们提供更加有效的安全基础解决方案,我们Sinesafe将对阿里云服务器win2008 系统进行基础安全部署实战过程! 比较重要的几部分 1.
9161 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
13890 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
7365 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,云吞铺子总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系统盘、创建快照、配置安全组等操作如何登录ECS云服务器控制台? 1、先登录到阿里云ECS服务器控制台 2、点击顶部的“控制台” 3、通过左侧栏,切换到“云服务器ECS”即可,如下图所示 通过ECS控制台的远程连接来登录到云服务器 阿里云ECS云服务器自带远程连接功能,使用该功能可以登录到云服务器,简单且方便,如下图:点击“远程连接”,第一次连接会自动生成6位数字密码,输入密码即可登录到云服务器上。
22404 0
阿里云服务器ECS登录用户名是什么?系统不同默认账号也不同
阿里云服务器Windows系统默认用户名administrator,Linux镜像服务器用户名root
4506 0
+关注
云安全专家
阿里云安全
322
文章
1
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载