数据出境安全评估制度落地 企业适用场景“过安检”

转自：中国经营网

本报记者 杜丽娟 北京报道

全球化背景下，中国的数据出境也呈现常态化趋势，在《个人信息保护法》实施后，数据出境安全的评估制度也正式落地。

根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规制定的《数据出境安全评估办法》（以下简称“《办法》”），在今年9月1日正式施行。

和此前的法律法规相比，《办法》系统地提出了我国数据出境“安检”的具体要求，这为我国搭建数据出境安全管理制度提供了法律保障。

按照《办法》要求，申请数据出境安全评估的企业，需要在2022年9月1日起的6个月内通过评估，并完成相关准备和评估工作。“然而，由于目前我国企业数据出境场景涉及多业务、多系统和跨部门合作，并具有高度复杂性，这对有相关业务的企业来说，未来或将面临整改压力。”安永华北区科技咨询主管合伙人兰瑜在接受《中国经营报》记者专访时表示。

三种适用场景

从风险评估角度看，我国数据出境安全评估的目的，是在防范数据出境安全风险的基础上，保障数据依法有序地自由流动。

这是上述《办法》出台的一个重要背景。2021年10月29日，国家网信办公布《数据出境安全评估办法（征求意见稿）》，面向社会征求意见。此后，网信办对“征求意见稿”进行了修改和完善。

今年7月7日，网信办公布了《数据出境安全评估办法》，并明确自9月1日起施行，对大多数企业来说，与之相关的一个重要内容是其设定的三个适用场景。

从《办法》具体内容看，企业的数据出境活动需申报出境评估的三个场景，分别是：数据处理者向境外提供重要数据；关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；以及自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息的场景。

据悉，目前已有部分互联网企业接到了相关信息通知。

“我们的主要业务是服务国内客户，但因为部分业务涉及互联网大厂的外包客单，这其中可能会涉及网络安全和数据出境等，因此未来这部分业务可能会受影响，但目前还没有明确的调整通知。”一位互联网企业网络安全部门的人士表示。

针对上述三种场景，该人士表示，据他们了解的情况，如果企业不满足场景要求，其实可以通过签订数据跨境协议的方式作为数据出境的凭证。“我感觉当前比较棘手的问题是，对于部分已经开展的数据出境行为，如果不符合《办法》规定的范围，可能要面临整改，这对公司来说并非易事。”该人士说。

按照《办法》，不符合规定的行为，应当自本办法施行之日起6个月内完成整改。

兰瑜介绍，当前我国数据出境申报工作，主要依赖于企业主动申报，但企业自身的数据安全管理现状，普遍存有较多的风险和问题，要在短期内完成合规建设和问题整改，可能会存在诸多困难。

企业自身评估

事实上，无论是出海还是专注国内业务，在全球化背景下，企业都面临着严峻的隐私及数据合规压力。以中国为例，2022年上半年全国因违反个人信息保护相关规定被监管部门通报批评、处罚的案例高达741例，处罚金额超过80.69亿元。

世界范围内，关于数据隐私和安全的处罚也层出不穷。来自欧盟的消息显示，自欧盟颁布《一般数据保护条例》后，其实施的近3年时间里，欧盟国家被处罚案例共计1195起，处罚金额超过16亿欧元。

基于此，兰瑜表示，当前企业应该对自身的数据安全管理情况进行全面风险评估，并对评估发现的问题进行及时整改，而对那些从未进行过数据合规建设、评估和整改的企业，则需尽快建立符合法律要求的数据保护和数据合规体系，及时完成相关申报工作。

根据《办法》规定，数据处理者向境外提供数据，符合规定情形的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。同时，数据处理者在申报数据出境安全评估前，应当开展数据出境风险自评估。

记者了解到，目前数据出境安全评估工作主要需要境外接收方的大量配合工作，而如何开展“境外接收方所在国家或地区数据安全保护政策法规和网络安全环境情况”评估，也对我国数据出境企业带来挑战。

安永的调查显示，互联网企业具有用户数量大、业务生态多元复杂的显著特点，海量数据在互联网企业生成、汇聚、融合、应用，在释放数据价值的同时，也带来巨大的数据安全问题。

“这些数据直接或间接反映了我国的区域人口分布、商业热力、人口流动、企业经营及货物流动等情况，巨大的用户规模和巨额的交易量背后，这些数据与国家安全、国计民生、社会公共利益紧密相关。”兰瑜说，“因此，互联网企业在开展数据安全管理时，应该坚持企业数据安全合规底线，提高数据风险管理，确保数据利用的安全。”

据悉，为贯彻中央关于网络安全的精神，目前各地相继发布了开展2022年互联网行业网络和数据安全检查的通知，并明确指出要坚持以查促建、以查促管、以查促防、以查促改，加强网络和数据安全检查，推动互联网行业网络安全主体责任，全面提升行业网络安全保障能力，共筑网络和数据安全防线。

海量资讯、精准解读，尽在新浪财经APP