分享 | 數據出境,中企怎樣做才安全?

中國貿易新聞2018-11-20 08:15:25

今年5月,歐盟隱私保護法GDPR正式生效後,美國《數據泄露預防和賠償法案》《小型企業促進網絡安全增強法案》等一系列有關規定也相繼被提上議程。在可預見的將來,各國對數據流動的監管訴求日益上升,出境將成為我國出海企業的必修課。



在日前舉辦的數據保護解讀會上,中倫律師事務所合夥人陳際紅表示,在境內運營中收集和產生的個人信息和重要數據,應當在境內存儲。因業務需要,確需向境外提供的,應當按照《個人信息和重要數據岀境安全評估辦法(徵求意見稿)》(下稱《評估辦法》)和《信息安全技術 安全評估指南(徵求意見稿)》(下稱《評估指南》)進行安全評估。


根據《評估指南》,數據出境是指網絡運營者通過網絡等方式,將其在中華人民共和國境內運營中收集和產生的個人信息和重要數據,通過直接提供或開展業務、提供服務、產品等方式提供給境外機構、組織或個人的一次性活動或連續性活動。


中倫律師事務所合夥人高俊指出,企業需要注意,以下三種情況同樣屬於數據出境:


一是向本國境內,但不屬於本國司法管轄或為在境內註冊的主體提供個人信息和重要數據(有疑問,但又不能給出確定性修改意見);


二是數據未轉移存儲至本國以外的地方,但被境外的機構、組織、個人訪問查看的(公開信息,網頁訪問除外);


三是網絡運營者集團內部數據由境內轉移至境外,涉及其在境內運營中收集和產生的個人信息和重要數據的。


而非在境內運營中收集和產生的個人信息和重要數據經由本國出境,未經任何變動或加工處理的,以及非在境內運營中收集和產生的個人信息和重要數據在境內存儲、加工處理後出境,不涉及境內運營中收集和產生的個人信息和重要數據的,不屬於數據出境。


數據出境安全評估應首先評估數據、判斷出境目的,如果數據出境目的不具有合法性、正當性和必要性,不得出境。在此基礎上再評估數據出境安全風險,將數據出境及再轉移後被泄露、損毀、篡改、濫用等風險有效地降至最低限度。


據陳際紅介紹,數據出境目的評估要點包括合法性、正當性和必要性。合法性是指數據不屬於法律法規明令禁止的,不屬於國家網信部門、公安部門、安全部門等有關部門認定不能出境的。正當性是指數據經個人信息主體同意的、不違反相關主管部門規定的。必要性是指履行合同義務,同一機構、組織內部開展業務,我國政府部門履行公務,政府與其他國家和地區、國際組織簽署的條約、協議所必需的數據,或其他維護網絡空間主權和國家安全、經濟發展、社會公共利益和保護公民合法利益需要的數據。


評估數據出境的安全風險,應綜合考慮出境數據的屬性和數據出境發生安全事件的可能性及影響程度。陳際紅表示,從數據屬性來看,個人信息數據應從數據類型、數量、範圍、敏感程度和技術處理等角度進行評估。重要數據應從數據類型、數量、範圍和技術處理等角度進行評估。從數據出境安全事件的可能來看,應從發送方數據出境的技術和管理能力、數據接收方的安全保護能力、採取的措施,以及數據接收方所在國家或區域的政治法律環境等角度進行評估。關於數據出境評估中個人信息、重要數據、數據出境的技術和管理能力、數據接收方的安全保護能力、採取的措施,以及數據接收方所在國家或區域的政治法律環境等內容的具體評估要求及細節,企業可以參考其他相關法律法規、國家標準的規定。


“跨國在數據合規方面,應逐漸籌劃與組建屬於自己的數據合規團隊。合規團隊應該根據國內外相關法律法規及要求,結合企業自身技術條件、業務需求等內容,系統化、全面化地對企業數據及數據資源進行管理。對數據合規的輕視,不但會使企業陷入合規的泥潭,更可能導致企業錯失數據時代的發展機遇。”高俊説。



來源:中國貿易報記者 錢顏

投稿/建議:[email protected]


往期精彩回顧
聚焦 | 這個35億人口的“朋友圈”要來了!
關注 | 好消息!更大規模減税降費正在路上
分享丨企業如何走出去?這六位中外企業大咖有心得!
閲讀原文

TAGS: