随着数据安全法和个人信息保护法的实施,数据出境已经成为企业必须面对的现实问题。但很多企业对什么情况需要申报出境安全评估评估材料怎么准备这些问题并不清楚。
随着数据安全法和个人信息保护法的实施,数据出境已经成为企业必须面对的现实问题。但很多企业对"什么情况需要申报出境安全评估""评估材料怎么准备"这些问题并不清楚。我整理了一份实操指南,按问题来回答。
问:什么情况下企业需要做数据出境安全评估? 答:根据《数据出境安全评估办法》,以下情况需要申报:数据处理者向境外提供重要数据;关键信息基础设施运营者向境外提供个人信息;处理一百万人以上个人信息的数据处理者向境外提供个人信息;自上年一月一日起累计向境外提供十万人以上个人信息或者一万人以上敏感个人信息的数据处理者向境外提供个人信息。如果属于上述任一情况,就要申报安全评估。
问:什么是"重要数据"?怎么判断? 答:重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、经济运行、社会稳定、公共健康和安全的数据。不同行业的重要数据目录不同,工业和信息化领域、金融领域、能源领域、交通领域都有各自的行业标准。建议企业先对照自己所在行业的重要数据目录做自查,如果公司处理和存储的数据属于重要数据范畴,出境就必须申报安全评估。
问:安全评估的流程是什么? 答:整体流程分为五步:第一步,企业做自评估,评估出境数据的类型、数量、目的、接收方的保护能力、对国家安全和个人权益的影响。第二步,提交申报材料给所在地省级网信办。第三步,省级网信办在五个工作日内完成材料完备性审核。第四步,国家网信办在四十五个工作日内完成评估,情况复杂的可以延长。第五步,评估结果以书面形式通知企业,评估结果有效期为两年。
问:自评估报告的主要内容是什么? 答:自评估报告需要包括以下内容:数据处理者的基本信息、数据出境的目的和方式、出境数据的类型和规模、数据接收方的信息和安全保护能力、数据出境对国家安全和个人信息权益的影响分析、数据出境后的安全保障措施。
问:数据出境的合规要求对企业保密工作有什么影响? 答:影响很大。数据出境安全评估要求企业对出境的个人信息和重要数据做全面梳理和分类分级。这个过程实际上就是一个商业秘密资产盘点的过程,很多企业做完数据出境自评估后,才发现自己都不知道自己有多少敏感数据、存在哪里、谁可以访问。建议企业把数据出境安全评估作为商业秘密保护的起点,通过评估过程建立完整的数据资产台账和分类分级管理制度。
问:如果不申报就出境数据,会有什么后果? 答:后果非常严重。根据个人信息保护法第六十六条,情节严重的,可处五千万元以下或者上一年度营业额百分之五以下的罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可或者吊销营业执照。对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员。这不是一个可以忽视的风险。
问:数据传输过程中的加密要求是什么? 答:数据出境传输过程中需要采取加密措施。具体要求包括:使用TLS或其他加密协议保护数据传输过程中的安全性;对文件类数据使用文件加密后再传输;对数据库类数据使用传输层加密。数据接收方也需要具备对应的解密和存储保护能力,确保数据到达后不会因为对方的安全能力不足而导致泄露。
北京企密安信息安全技术有限公司 企业数据安全合规咨询:010-63711822 / jess@baomiwang.com
