于9月1日正式实施的《数据安全法》再次加码数据出境安全。
基于8月27日《数据安全法》解读与阿里云三大合规方案线上直播活动,阿里云解决方案架构师锅涛分享的《数据跨境流转安全》主题内容,整理出数据出境安全的九问九答,为企业数据跨境流转送上安全锦囊。
1.什么是数据出境?
数据出境是指网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。
这里需要关注两个关键词“个人信息”和“重要数据”。
个人信息:是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
重要数据:是指相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与# 国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)。
2.什么样的业务场景属于数据跨境?
-Go-China外企入华
国外企业进驻中国,将在中国收集的用户数据传输到国外。
-Go-Global中资出海
中国企业出海,将在中国收集的用户数据传输到国外。
3.数据出境有哪些相关法律法规要求?
主要相关法律包括:
-2017年6月正式施行的《网络安全法》第四章中首次提出重要数据和个人信息两大类数据的保护及跨境传输管理要求;
-2017年8月推出《信息安全技术 数据出境安全评估指南(征求意见稿)》;
-2019年网信办发布《个人信息出境安全评估办法》征求意见稿;
-2021年6月《数据安全法》再次提到数据出境需满足相关法律法规要求。
下图是关于数据出境监管要求历史时间轴:
可以看出,数据出境监管越来越完善和严格。
4.数据出境需要做哪些自查工作?
按照《数据安全法》第三十一条规定,如果是关键信息基础设施的运营者,重要数据出境安全管理适用《中华人民共和国网络安全法》规定;其他数据处理者收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
《个人信息和重要数据出境安全评估办法(征求意见稿)》第八条对数据出境安全评估做了相应规定:
-要判断数据出境的必要性;
-涉及个人信息情况,包括个人信息的数量、范围、类型、敏感程度,以及个人信息主体是否同意其个人信息出境等,如果个人不同意,数据不能出境。
-涉及重要数据情况,包括重要数据的数量、范围、类型及其敏感程度等;不同敏感程度的数据相关的数据出境要求规定不同。
-数据传输给对方的时候要重点评估接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等;如果接收方有数据泄露风险,需要降低风险。
-数据出境及再转移后被泄露、毁损、篡改、滥用等风险;
5.数据出境需要上报监管部门吗?
《个人信息和重要数据出境安全评估办法(征求意见稿)》第九条规定,出境数据存在以下情况之一的,网络运营者应报行业主管或监管部门组织进行安全评估:
1)含有或累计含有50万人以上的个人信息;
2)数据量超过1000GB;
3)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;
4)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;
5)关键信息基础设施运营者向境外提供个人信息和重要数据;
6)其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。行业主管或监管部门不明确的,由国家网信部门组织评估。”
6.哪些情况不属于数据出境?
-非在中华人民共和国境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动或加工处理的,不属于数据出境;
-非在中华人民共和国境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据的,不属于数据出境。
以上两种情况不需要按照数据出境相关要求开展自查工作。
7.什么样的情况属于数据出境?
属于数据出境的有三种情况:
1)向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据;
2)数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外);
3)网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。
8.哪些情况下的数据是禁止出境的?
1)个人信息出境未经个人信息主体同意,或可能侵害个人利益;
2)数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益;
3)其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的
4)网络运营者按照《信息安全技术 数据出境安全评估指南》评估方法进行安全自评估过程中,发现风险等级属于高或者极高的情况,是禁止数据出境的;如果按照对应要求进行整改后,风险等级降低为低,方可出境。
9.在数据跨境流转安全方面,阿里云提供什么服务?
阿里云为客户提供数据出境管理咨询服务和数据安全咨询服务,该服务由从事安全行业近20年资深专家一对一提供。
在数据出境管理咨询服务方面,可以依据数据出境的相关合规要求,梳理数据出境的合法性和正当性,出境数据的属性、类型、范围、数量、技术处理、发生安全事件的可能性,技术和管理制度的保障能力等,同时评估数据接收方的安全保护能力,法律政治环境等,配合客户完成数据出境的的合规整改工作。
在数据安全咨询服务方面,为客户全面评估数据安全现状,输出《企业数据安全能力成熟度认证评估报告》,让企业全面了解数据生命周期安全过程域中的风险情况,协助企业做好数据安全治理的整改工作,满足国家监管合规。