一文看全数据跨境合规

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全中心 免费版,不限时长
云安全基线管理CSPM免费试用,1000次1年
简介: 于9月1日正式实施的《数据安全法》再次加码数据出境安全。基于8月27日《数据安全法》解读与阿里云三大合规方案线上直播活动,阿里云解决方案架构师锅涛分享的《数据跨境流转安全》主题内容,整理出数据出境安全的九问九答,为企业数据跨境流转送上安全锦囊。

于9月1日正式实施的《数据安全法》再次加码数据出境安全。


基于8月27日《数据安全法》解读与阿里云三大合规方案线上直播活动,阿里云解决方案架构师锅涛分享的《数据跨境流转安全》主题内容,整理出数据出境安全的九问九答,为企业数据跨境流转送上安全锦囊。



01

什么是数据出境?


数据出境是指网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。


这里需要关注两个关键词“个人信息”和“重要数据”。


个人信息:是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。


重要数据:是指相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)。



02

什么样的业务场景属于数据跨境?


  • Go-China外企入华

国外企业进驻中国,将在中国收集的用户数据传输到国外。


  • Go-Global中资出海

中国企业出海,将在中国收集的用户数据传输到国外。



03

数据出境有哪些相关法律法规要求?


主要相关法律包括:


  • 2017年6月正式施行的《网络安全法》第四章中首次提出重要数据和个人信息两大类数据的保护及跨境传输管理要求;

  • 2017年8月推出《信息安全技术 数据出境安全评估指南(征求意见稿)》;

  • 2019年网信办发布《个人信息出境安全评估办法》征求意见稿;

  • 2021年6月《数据安全法》再次提到数据出境需满足相关法律法规要求。


下图是关于数据出境监管要求历史时间轴:


image.png


可以看出,数据出境监管越来越完善和严格。



04

数据出境需要做哪些自查工作?


按照《数据安全法》第三十一条规定,如果是关键信息基础设施的运营者,重要数据出境安全管理适用《中华人民共和国网络安全法》规定;其他数据处理者收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。


《个人信息和重要数据出境安全评估办法(征求意见稿)》第八条对数据出境安全评估做了相应规定:


  • 要判断数据出境的必要性。

  • 涉及个人信息情况,包括个人信息的数量、范围、类型、敏感程度,以及个人信息主体是否同意其个人信息出境等,如果个人不同意,数据不能出境。

  • 涉及重要数据情况,包括重要数据的数量、范围、类型及其敏感程度等;不同敏感程度的数据相关的数据出境要求规定不同。

  • 数据传输给对方的时候要重点评估接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等;如果接收方有数据泄露风险,需要降低风险

  • 数据出境及再转移后被泄露、毁损、篡改、滥用等风险;



05

数据出境需要上报监管部门吗?


《个人信息和重要数据出境安全评估办法(征求意见稿)》第九条规定,出境数据存在以下情况之一的,网络运营者应报行业主管或监管部门组织进行安全评估:


1) 含有或累计含有50万人以上的个人信息;


2) 数据量超过1000GB


3) 包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;


4) 包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;


5) 关键信息基础设施运营者向境外提供个人信息和重要数据;


6) 其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。行业主管或监管部门不明确的,由国家网信部门组织评估。”



06

哪些情况不属于数据出境?


  • 非在中华人民共和国境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动加工处理的,不属于数据出境;

  • 非在中华人民共和国境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集产生的个人信息和重要数据的,不属于数据出境。


以上两种情况不需要按照数据出境相关要求开展自查工作。



07

什么样的情况属于数据出境?


属于数据出境的有三种情况:


1) 向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据;


2) 数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外);


3) 网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。



08

哪些情况下的数据是禁止出境的?


1) 个人信息出境未经个人信息主体同意,或可能侵害个人利益;


2) 数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益;


3) 其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的;


4) 网络运营者按照《信息安全技术 数据出境安全评估指南》评估方法进行安全自评估过程中,发现风险等级属于高或者极高的情况,是禁止数据出境的;如果按照对应要求进行整改后,风险等级降低为低,方可出境。



在数据跨境流转安全方面,阿里云提供什么服务?

阿里云为客户提供数据出境管理咨询服务和数据安全咨询服务,该服务由从事安全行业近20年资深专家一对一提供。


在数据出境管理咨询服务方面,可以依据数据出境的相关合规要求,梳理数据出境的合法性和正当性,出境数据的属性、类型、范围、数量、技术处理、发生安全事件的可能性,技术和管理制度的保障能力等,同时评估数据接收方的安全保护能力,法律政治环境等,配合客户完成数据出境的的合规整改工作


在数据安全咨询服务方面,为客户全面评估数据安全现状,输出《企业数据安全能力成熟度认证评估报告》,让企业全面了解数据生命周期安全过程域中的风险情况,协助企业做好数据安全治理的整改工作,满足国家监管合规。


点击“阅读原文”查看更多数据安全相关内容


 阿里云安全  


国际领先的云安全解决方案提供方,保护全国 40% 的网站,每天抵御 60 亿次攻击。


2020 年,国内唯一云厂商整体安全能力获国际三大机构(Gartner/Forrester/IDC)认可,以安全能力和市场份额的绝对优势占据领导者地位。


阿里云最早提出并定义云原生安全,持续为云上用户提供原生应用、数据、业务、网络、计算的保护能力,和基础设施深度融合推动安全服务化,支持弹性、动态、复杂的行业场景,获得包括政府、金融、互联网等各行业用户认可。


作为亚太区最早布局机密计算、最全合规资质认证和用户隐私保护的先行者,阿里云从硬件级安全可信根、硬件固件安全、系统可信链、可信执行环境和合规资质等方面落地可信计算环境,为用户提供全球最高等级的安全可信云。

相关文章
|
5月前
合规培训体系
【6月更文挑战第25天】合规培训体系
128 54
|
6月前
|
人工智能 供应链 大数据
1688跨境寻源通代采系统
1688跨境寻源通代采系统助力全球买家高效采购,2023年1月跨境注册买家增长76%,超594万。系统提供多语言支持,AI技术优化搜索,集成API接口扩展销售,支持自动化下单和支付。源头厂商合作,1亿+货盘开放,还有定制化解决方案,构建一站式智能采购平台,促进跨境贸易发展。[c0b.cc/R4rbK2](API测试账号)
|
5月前
|
监控 安全 区块链
监管合规下区块链保险数据共享如何实施
区块链在保险业的数据共享中发挥着变革作用,但合规性是关键挑战。文章探讨了六个方面:理解监管要求、制定合规策略、选择合法区块链平台、建立共享机制、强化风险管理和监控,以及持续更新适应变化。在确保安全和合规的同时,推动行业的创新与协作。
|
6月前
|
存储 监控 数据挖掘
企业出海数据合规:“躲不了”的GDPR域外管辖
GDPR通过"设立机构标准"和"目标指向标准"拓展了数据管辖范围。"设立机构标准"适用于在欧盟境内设有机构的数据控制者和处理者,要求建立真实有效的联系。"目标指向标准"则适用于在欧盟外提供商品或服务、监控欧盟内数据主体行为的数据处理者。这强化了对数据控制者和处理者的管辖,扩大了在欧盟领域外的数据活动的监管范围。案例中TikTok因GDPR违规受罚,突显了欧盟对全球企业的数据保护要求。
175 1
|
数据挖掘
深度分析:EDPB跨境数据合规指南-BCRs认证
在中国企业的出海国际化浪潮中,如何保证出海业务的数据合规性,一直是大家非常关注的问题,今天用九智汇给大家带来了在欧盟地区开展业务的情况下,可以被企业选择采用的一种有力的数据合规工具——BCRs认证。
246 0
|
存储 云安全 监控
[云架构 ]云安全和隐私:法律合规与风险管理指南,第1部分
[云架构 ]云安全和隐私:法律合规与风险管理指南,第1部分
|
存储 云安全 监控
【云架构】云安全和隐私:法律合规与风险管理指南,第2部分
【云架构】云安全和隐私:法律合规与风险管理指南,第2部分
|
域名解析 存储 安全
一键搞定“等保”和“密保”合规保障措施
“等保”、“等保测评”、“密保”、“密评”都是为了保障我国各种信息系统的安全。两个测评都要求信息系统必须采用一些高大上的技术来保障,是否可以一键搞定呢?零信技术给出了最佳答案。
1057 0
一键搞定“等保”和“密保”合规保障措施
|
存储 安全 架构师
|
数据采集 监控 数据管理
境外银行数据资产建设-数据资产质量管理
基本概念:数据资产质量:是指数仓数据资产表的质量,包含表的设计质量、开发质量、产出质量;设计质量:指资产表在业务数据链路中的定位是否合理,信息覆盖与整合是否达到要求;开发质量:指资产表在数据开发编码过程中,是否遵循约定的开发规范,数据加工逻辑是否正确;产出质量:指资产表对应任务的产出时间是否符合预期,产出结果数据是否达到要求;影响因素:信息因素:开发人员是否了解资产表的具体需求目标,是否了解具体的
272 0