數(shù)據(jù)跨境流動是近年來全球各法域的監(jiān)管熱點(diǎn)問題，近年來，我國陸續(xù)出臺《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》《數(shù)據(jù)出境安全評估辦法》等法律法規(guī)，以及《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個人信息跨境處理活動安全認(rèn)證規(guī)范》《數(shù)據(jù)出境安全評估申報(bào)指南（第一版）》《個人信息出境標(biāo)準(zhǔn)合同規(guī)定（征求意見稿）》等規(guī)范性文件，逐步搭建成型我國的數(shù)據(jù)出境監(jiān)管機(jī)制。

　　數(shù)據(jù)出境合規(guī)正式成為許多企業(yè)必須面對的課題，部分企業(yè)由此面臨不小的壓力，法規(guī)條款眾多，擔(dān)心實(shí)施細(xì)則中信息不夠明朗不好把握，在合規(guī)實(shí)施層面存在障礙。安全419關(guān)注到，中國信息通信研究院安全研究所相關(guān)專家在近期的公開演講中，從專業(yè)角度分析梳理了我國數(shù)據(jù)出境的規(guī)則體系，以及個人信息出境和重要數(shù)據(jù)出境的合規(guī)路徑，具有較強(qiáng)的指引和操作性，我們在此總結(jié)重點(diǎn)內(nèi)容供相關(guān)企業(yè)參考。

　　重要數(shù)據(jù)出境合規(guī)唯一路徑：數(shù)據(jù)出境安全評估

　　國家對重要數(shù)據(jù)出境的管理十分嚴(yán)格，《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》共同規(guī)定了重要數(shù)據(jù)出境的唯一合規(guī)路徑，即通過國家網(wǎng)信部門組織的數(shù)據(jù)出境安全評估，無例外情形。一旦違反，機(jī)構(gòu)、組織將承擔(dān)最高1000萬的罰款，直接負(fù)責(zé)人將承擔(dān)最高100萬的罰款，罰金之外還面臨警告、停業(yè)、吊銷營業(yè)執(zhí)照等處罰。

　　重要數(shù)據(jù)的數(shù)據(jù)出境安全評估更側(cè)重于數(shù)據(jù)出境活動對國家安全、公共利益帶來的風(fēng)險。在操作上，2022年9月1日由國家網(wǎng)信辦公布實(shí)施的《數(shù)據(jù)出境安全評估辦法》對評估的范圍、條件和程序進(jìn)行了統(tǒng)一規(guī)定。

　　重要數(shù)據(jù)識別

　　重要數(shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國家安全、經(jīng)濟(jì)運(yùn)行、社會穩(wěn)定、公共健康和安全等的數(shù)據(jù)。可參見2022年3月16日發(fā)布的國家標(biāo)準(zhǔn)《信息安全技術(shù) 重要數(shù)據(jù)識別規(guī)則（征求意見稿）》進(jìn)行梳理。對于部分特殊行業(yè)，主管部門制定的法規(guī)可成為識別本行業(yè)重要數(shù)據(jù)的有益參考。這一步最終需要輸出重要數(shù)據(jù)清單。

　　出境活動識別

　　從具體業(yè)務(wù)入手，梳理業(yè)務(wù)場景，進(jìn)而梳理數(shù)據(jù)處理活動，再對每個數(shù)據(jù)處理活動形成數(shù)據(jù)映射關(guān)系，最終輸出重要數(shù)據(jù)出境活動（業(yè)務(wù)場景）清單。

　　風(fēng)險自評估

　　數(shù)據(jù)處理者申報(bào)數(shù)據(jù)出境安全評估前，應(yīng)當(dāng)開展數(shù)據(jù)出境風(fēng)險自評估，輸出對應(yīng)報(bào)告。

　　申報(bào)安全評估

　　數(shù)據(jù)處理者應(yīng)當(dāng)通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門申報(bào)數(shù)據(jù)出境安全評估，申報(bào)材料包括申報(bào)書、數(shù)據(jù)出境風(fēng)險自評估報(bào)告、數(shù)據(jù)處理者與境外接收方擬訂立的法律文件及其他相關(guān)材料。

　　個人信息出境合規(guī)路徑：認(rèn)證、合同、評估

　　對于個人信息出境，合規(guī)必要條件是個人信息處理者需履行告知義務(wù)，告知個人信息主體出境相關(guān)事項(xiàng)，并取得單獨(dú)同意?！秱€人信息保護(hù)法》區(qū)分不同責(zé)任主體類型規(guī)定了個人信息出境的合規(guī)路徑。

　　路徑一：個人信息保護(hù)認(rèn)證

　　2022年6月24日，信安標(biāo)委發(fā)布《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南-個人信息跨境處理活動安全認(rèn)證規(guī)范》，適用于跨國公司或者同一經(jīng)濟(jì)、事業(yè)實(shí)體下屬子公司或關(guān)聯(lián)公司之間的個人信息跨境處理活動，由境內(nèi)一方申請認(rèn)證并承擔(dān)法律責(zé)任；以及《個人信息保護(hù)法》第三條第二款適用的個人信息處理活動（見下圖），由其在境內(nèi)設(shè)置的專門機(jī)構(gòu)或指定代表申請認(rèn)證并承擔(dān)法律責(zé)任。

　　境內(nèi)外雙方均應(yīng)設(shè)立個人信息保護(hù)機(jī)構(gòu)，依法制定并實(shí)施個人信息跨境處理活動計(jì)劃，組織開展個人信息保護(hù)影響評估，監(jiān)督本組織按照約定規(guī)則處理跨境個人信息，接受和處理個人信息主體的請求和投訴。同時，境內(nèi)外雙方均應(yīng)指定個人信息保護(hù)責(zé)任人，由決策層成員承擔(dān)，明確目標(biāo)、要求、任務(wù)、保護(hù)措施，提供人、財(cái)、物力保障，指導(dǎo)、支持以確保達(dá)到預(yù)期目標(biāo)，向組織匯報(bào)工作并推動持續(xù)改進(jìn)。

　　其中，個人信息保護(hù)影響評估可參考國家標(biāo)準(zhǔn)《信息安全技術(shù) 個人信息安全影響評估指南》（GB/T 39335-2020）進(jìn)行。個人信息保護(hù)影響評估是個人信息出境的合規(guī)前置程序，在后面其他合規(guī)路徑中亦會涉及。

　　合規(guī)路徑二：個人信息出境標(biāo)準(zhǔn)合同

　　2022年6月30日，國家網(wǎng)信辦發(fā)布《個人信息出境標(biāo)準(zhǔn)合同規(guī)定（征求意見稿）》，個人信息處理者同時符合下圖情形的，可以通過簽訂標(biāo)準(zhǔn)合同的方式向境外提供個人信息。

　　首先需要事前開展個人信息保護(hù)影響評估；根據(jù)出境個人信息具體情況，適用于該情形的簽署標(biāo)準(zhǔn)合同，生效后即可開展個人信息出境活動，并在10個工作日內(nèi)進(jìn)行備案；當(dāng)出境情況發(fā)生變化時，應(yīng)重新簽署標(biāo)準(zhǔn)合同并備案；出現(xiàn)違規(guī)行為時，終止出境。

　　備案材料即為個人信息保護(hù)影響評估報(bào)告和標(biāo)準(zhǔn)合同?！兑?guī)定》第六條明確了標(biāo)準(zhǔn)合同包括的內(nèi)容，同時給出了合同文本。

　　合規(guī)路徑三：數(shù)據(jù)出境安全評估

　　與重要數(shù)據(jù)出境的安全評估一樣，《數(shù)據(jù)出境安全評估辦法》同時也為個人信息出境提供了具體指引。有下圖情形之一的，適用安全評估：

　　從適用范圍來看，「安全評估」和「標(biāo)準(zhǔn)合同」兩條路徑在一定程度上互為補(bǔ)充，選取上年1月1日作為累計(jì)起始日期，以個人信息主體人數(shù)作為計(jì)量單位，“大量/高風(fēng)險（關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者）”進(jìn)行安全評估，“少量/低風(fēng)險（非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者）”選擇簽署標(biāo)準(zhǔn)合同。

　　數(shù)據(jù)安全評估堅(jiān)持事前評估和持續(xù)監(jiān)督相結(jié)合，風(fēng)險自評估與安全評估相結(jié)合的總體原則，由國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)，省級網(wǎng)信部門進(jìn)行材料完備性查驗(yàn)并上報(bào)，國務(wù)院有關(guān)部門、省級網(wǎng)信部門、專門機(jī)構(gòu)各司其職相互配合參與具體評估。2022年8月31日，國家網(wǎng)信辦編制了《數(shù)據(jù)出境安全評估指南（第一版）》，對數(shù)據(jù)出境安全評估申報(bào)方式、申報(bào)流程、申報(bào)材料等具體要求作出了說明，企業(yè)可依照操作。

　　數(shù)據(jù)出境合規(guī)工作建議

　　在國家數(shù)據(jù)安全和個人信息保護(hù)工作逐步完善、監(jiān)督逐步加強(qiáng)的大背景下，數(shù)據(jù)出境安全合規(guī)是一項(xiàng)重要工作，但不是孤立的工作。在數(shù)據(jù)安全合規(guī)體系建設(shè)整體思路指引下，做好數(shù)據(jù)出境合規(guī)工作，可以考慮以下方面：

　　● 重視基礎(chǔ)性工作，包括數(shù)據(jù)資產(chǎn)梳理、數(shù)據(jù)分類分級、重要數(shù)據(jù)識別等（具體實(shí)施可參考安全419《數(shù)據(jù)分類分級解決方案》系列訪談 ；

　　● 重視合規(guī)工作之間的聯(lián)動與協(xié)同，如個人信息保護(hù)影響評估與數(shù)據(jù)出境安全評估，重要數(shù)據(jù)風(fēng)險評估與數(shù)據(jù)出境安全評估；

　　● 重視持續(xù)監(jiān)督與改進(jìn)，如個人信息出境累計(jì)數(shù)量變化，數(shù)據(jù)出境目的、方式、范圍、種類變化，境外接收方的相關(guān)變化；

　　● 重視業(yè)務(wù)優(yōu)化與改造，重要數(shù)據(jù)能不提供就不提供，個人信息盡量少提供，降低合規(guī)成本。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<