数据出境这个话题,从国家网信办发布《数据出境安全评估办法》开始就一直热度不减。随着配套规则的陆续完善,数据出境的监管框架已经越来越清晰。但对于企业来说,框架清晰了,实操层面反而有更多细节需要注意。今天我们就把数据出境新规的核心要点和落地实操方法认认真真梳理一遍。
先搞清楚一个基本问题——什么是数据出境。新规出台前,很多企业对"出境"的理解就是"数据传到国外去了"。但新规把范围扩大了,不仅仅是主动传输,还包括了以下几种情形:向境外提供数据、在境内收集的数据被境外机构或者个人访问查看、境外机构在境内开展业务时收集的数据传回境外、以及境内数据处理者委托境外第三方处理数据等。简单说,只要你的数据被境外的眼睛看到了,就算出境了,而不一定是你的服务器或者网络流量真的出了国境线。
那么,哪些企业的数据出境需要走监管程序呢。新规明确了三条路径,分别适应不同的场景。第一条是安全评估路径,适用的是向境外提供重要数据和大量个人信息的情形。具体的门槛是,处理一百万人以上个人信息的企业,或者自上年一月一日起累计向境外提供十万人以上个人信息或者一万人以上敏感个人信息的企业,必须通过所在地省级网信办向国家网信办申报数据出境安全评估。这条路径门槛较高、流程最复杂,涉及的企业也最多。第二条是标准合同路径,适用的是个人信息出境的场景,处理量达不到安全评估门槛的企业,可以通过与境外接收方签订标准合同来完成合规。第三条是认证路径,适用于跨国公司内部的数据传输,通过专业机构的认证来证明数据处理活动的合规性。
三条路径怎么选,关键看两个维度——数据性质和数量规模。重要数据不管量大量小,走安全评估。个人信息的判断维度是数量,到了一定门槛就走安全评估,没到的走标准合同或者认证。企业自己做判断的时候,一定要对自己的数据"家底"有准确把握。很多企业其实不知道自己手里有没有重要数据,也不知道自己每年向境外传输了多少个人信息,这就麻烦了。
接下来是实操层面的几个关键步骤。
第一步,建立数据出境台账。这是所有后面工作的基础。企业要梳理清楚以下几类信息:哪些业务涉及数据出境,出境的数据是什么类型,数量有多大,境外接收方是谁,数据传到境外去干什么用,传输方式是什么。把这些信息全部记录下来,做成一张清晰的台账,后面是做安全评估还是签标准合同,心里就有底了。
第二步,评估出境活动的风险。这个评估不能走形式,要从数据敏感性、数据数量、传输方式、接收方的安全保护能力等几个维度来做分析。特别要重点评估境外接收方的安全保护能力——对方有没有完善的数据安全制度和技术措施,数据到了那边会不会被第三方或者当地政府调取。如果企业评估下来发现接收方的安全保护水平不够,可以选择不传输、升级合同保护条款,或者在传输前对数据进行脱敏处理。
第三步,选择合适的合规路径并启动申报或者备案。走安全评估的话,要准备的数据材料很多,包括数据出境风险评估报告、数据处理者的法律文件、境外接收方的承诺函等等。整个申报流程从材料准备到拿到评估结果,快的话也要两三个月,慢的话半年以上也正常。所以企业一定要留足时间余量。走标准合同的,合同签完之后要向所在地省级网信办备案,备案完成后才算正式完成合规程序。
第四步,建立持续合规机制。数据出境合规不是一次性的工作。即使通过了安全评估或者签了标准合同,企业在后续的经营过程中,如果数据出境活动的范围、类型、目的发生了变化,或者境外接收方的安全保护条件发生了变化,都需要重新进行安全评估或者更新合同。此外,企业还要定期对数据出境活动进行自查,确保一直在合规的状态下运行。
实操中有几个容易被忽略的坑,特别提醒一下。
第一个坑是把数据出境管理和其他合规要求割裂开来。很多企业做数据出境合规的时候只看数据出境的规则,不看网络安全法、数据安全法、个保法的整体要求。但实际上,数据出境合规不是独立的一套东西,而是要和企业整体的数据安全治理体系融合在一起。出境的合规方案要和企业内部的数据分类分级方案、安全管理制度、应急处置预案等衔接起来。
第二个坑是低估了供应链数据出境的复杂性。很多企业自己不做数据出境,但它的供应商、服务商在做。比如企业用了境外的云服务、SaaS软件,这些供应商在提供服务的时候会不会把企业的数据传输到境外去呢。企业要对供应商的数据处理行为有充分的了解和监督。
第三个坑是以为数据出境管理只是大企业的事。看起来安全评估的标准确实是以数据量来划线的,但标准合同路径的门槛并不高,中大型企业甚至一些规模较小但涉及跨境业务的企业都需要走合规程序。而且数据安全法和个保法的要求是适用于所有数据处理者的,不会因为企业规模小就不管你。
数据出境的监管逻辑很简单——不是不让数据出去,而是要有序、安全地出去。企业只要摸清楚自己的数据家底、选对合规路径、认认真真落实各项要求,数据出境合规并不是不可能完成的任务。
