保護資料安全與隱私,讓企業資料跨境安全合規
1、背景
當今世界已經進入資料經濟時代,資料逐漸成為驅動全球經濟社會發展的核心資源。在全球化和數字化背景下,資料經濟的發展離不開資料的跨境流動,其有利於促進技術的革新、經濟的發展以及縮小各國的經濟文化差異,甚至有利於打擊跨國犯罪和恐怖主義。隨著網際網路服務的擴充套件,跨境資料無限制流動的快速發展導致許多國家對侵犯個人資料和國家安全議題感到擔憂。尤其是在斯諾登事件的警示下,各國都開始加強對本國資料跨境流動的監管。因此,完善資料立法、加強監管等法治保障對於跨境資料流動的規範和風險防範具有至關重要的作用。
2、國際資料跨境立法形勢
據不完全統計,在全球總計231個國家中,已經有超過135個國家出臺資料保護法,其中大多數有跨境資料流動法律或政策。國際上通常不允許個人資料流向保護標準較低的國家。為了減少此類控制措施對企業部門的影響,許多國家結成聯盟就採用統一資料保護標準達成協議,以使資料在聯盟內部自由流動,減少開展跨境業務的限制。
歐盟立法的特點是統一規則實施歐盟數字化單一市場戰略,以資料保護高標準引導全球重建資料保護規則體系,其更多關注個人資料保護,強調在規則、個人隱私保護方面注重價值發揮。2018年5月正式生效的《通用資料保護條例》(GDPR)中,有關資料跨境的制度主要集中在第五章(個人轉移給第三國或國際組織)。對於歐盟成員國而言,個人資料可以自由流動。對於歐盟國之外的第三國,歐盟資料保護委員會需要透過“充分性認定”,確保第三國對相關資料有適當的保護水平,評估內容包括第三國法制和人權保障及基本自由、公共當局獲得資料轉移的情況、資料保護當局的存在和有效職能等。
美國的立法特點有區別於歐盟,藉助在資訊通訊產業和數字經濟全球領先優勢,主張“資料跨境自由流動”,希望更多的資料流通在美國境內,以破除許多國家利用跨境資料流動設定的市場準入壁壘,同時限制重要技術資料出口和特定資料領域的外國投資,遏制戰略競爭對手發展,確保美國在科技領域的全球領導地位。透過“長臂域外管轄”擴大國內法域外適用的範圍,以滿足新環境下美國政府跨境調取資料的執法需要。2018年3月28日,美國議會透過《澄清境外資料的合法使用法案》,該法擴大了美國執法機關調取海外資料的權力,使美國的資料主權擴充套件至美國企業所在的全球市場。
其他國家也紛紛出臺了跨境資料流動規則。例如,日本同時是歐盟充分性認定的成員和APEC構建跨境隱私規則體系成員,其希望扮演橋樑連線美、日、歐及其他經濟體之間的資料流通;新加坡確保被傳輸到他國的資料得到與本國同等的資料保護,同時又設立了豁免條件,以建設亞太地區資料中心為導向,積極參與跨境資料流動區域合作;印度區分敏感資料和非敏感資料,採取資料主體同意轉移,以及資料控制人和資料主體之間達成合法契約等方式,在融入全球化和促進本國數字經濟發展之間尋求本地化中間路線。
3、國內政策合規分析
在全球各國資料跨境流動的背景下,我國更加註重國家層面的安全,特別是政治安全、意識形態安全或國家在主權層面的安全,強調重要資料與個人資訊資料出境要經過國家相關部門的嚴格審批。
近年來,我國逐漸加速資料跨境流動的立法工作。以《網路安全法》《資料安全法》《個人資訊保護法》三部法律為基礎,在各自側重的網路安全領域、資料安全領域、個人資訊保安領域分別對資料跨境問題有具體條例解釋。同時還發布了幾部關於資料出境管理與評估辦法,雖然目前還在向社會公開徵求意見階段,但對未來資料出境的管控措施具有極大的參考價值。
3.1 資料出境法律
從《網路安全法》《資料安全法》《個人資訊保護法》三部法律中我們可以發現,如果是關鍵資訊基礎設施的運營者或者是達到特定資訊數量的個人資訊處理者,原則上要將在我國境內運營收集的個人資訊和重要資料儲存在中國境內,如果因業務發展需要出境的,必須經過網信部門對涉及關鍵資訊基礎設施的資料進行安全評估及批准。
法律名稱 | 資料出境內容 |
《網路安全法》 | 第三十七條“關鍵資訊基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人資訊和重要資料應當在境記憶體儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估”。 |
《資料安全法》 | 第三十一條“關鍵資訊基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要資料的出境安全管理,適用《中華人民共和國網路安全法》的規定;其他資料處理者在中華人民共和國境內運營中收集和產生的重要資料的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。” |
《個人資訊保護法》 | 第三章“個人資訊跨境提供的規則”第三十八條:向境外提供個人資訊的個人資訊處理者、第三十九條:告知+單獨同意、第四十條:個人資訊儲存本地化+安全評估+例外、第四十一條:域外司法或執法、第四十二條:列入限制或禁止清單及措施、第四十三條:對等措施、第五十三條:指定代表、第五十五條:事前進行風險評估內容 |
3.2 資料出境行政法規
國家網際網路資訊辦公室(簡稱“國家網信辦”)共釋出了3份關於資料出境的評估辦法,分別是《個人資訊和重要資料出境安全評估辦法(徵求意見稿)》《個人資訊出境安全評估辦法(徵求意見稿)》《資料出境安全評估辦法(徵求意見稿)》,業內人士普遍認為2021年10月29日釋出的《資料出境安全評估辦法(徵求意見稿)》,是綜合考慮了《網路安全法》《資料安全法》《個人資訊保護法》對資料出境的要求,同時結合了當前國際形勢與各方意見後較成熟的版本。我們一起先來看看三個檔案的差異。
時間 | 名稱 | 資料出境觸發條件 | 有效期 |
2017年4月11日 | 個人資訊和重要資料出境安全評估辦法(徵求意見稿) | l CIIO l 特殊行業 l 50萬人 l 1000G | 1年 |
2019年6月13日 | 個人資訊出境安全評估辦法(徵求意見稿) | 無門檻 | 2年 |
2021年10月29日 | 資料出境安全評估辦法 (徵求意見稿) | l CIIO的個人資訊和重要資料 l 重要資料 l 處理個人資訊達到100萬 l 累計出境超過10萬人以上個人資訊或1萬人以上敏感個人資訊 | 2年 |
《資料出境安全評估辦法(徵求意見稿)》要求:資料處理者向境外提供在中華人民共和國境內運營中收集和產生的重要資料和依法應當進行安全評估的個人資訊,應當按照本辦法的規定進行安全評估。資料出境安全評估堅持事前評估和持續監督相結合、風險自評估與安全評估相結合,防範資料出境安全風險,保障資料依法有序自由流動。
3.3 資料出境行業規範
2021年8月16日,國家網信辦聯合四部委釋出了《汽車資料安全管理若干規定(試行)》,自2021年10月1日起施行。第12條要求:汽車資料處理者向境外提供重要資料,不得超出出境安全評估時明確的目的、範圍、方式和資料種類、規模等。國家網信部門會同國務院有關部門以抽查等方式核驗前款規定事項,汽車資料處理者應當予以配合,並以可讀等便利方式予以展示。
定義 | |
重要資料 | 指一旦遭到篡改、破壞、洩露或者非法獲取、非法利用,可能危害國家安全、公共利益或者個人、組織合法權益的資料,包括: (一)軍事管理區、國防科工單位以及縣級以上黨政機關等重要敏感區域的地理資訊、人員流量、車輛流量等資料; (二)車輛流量、物流等反映經濟執行情況的資料; (三)汽車充電網的執行資料; (四)包含人臉資訊、車牌資訊等的車外影片、影像資料; (五)涉及個人資訊主體超過10萬人的個人資訊; (六)國家網信部門和國務院發展改革、工業和資訊化、公安、交通運輸等有關部門確定的其他可能危害國家安全、公共利益或者個人、組織合法權益的資料。 |
2021年9月30日,工信部公開徵求對《工業和資訊化領域資料安全管理辦法(試行)(徵求意見稿)》的意見。第24條要求:工業和電信資料處理者在我國境內收集和產生的重要資料,應當在境記憶體儲,確需向境外提供的,應當依法進行資料出境安全評估,在確保安全的前提下進行資料出境,並加強對資料出境後的跟蹤掌握。核心資料不得出境。
定義 | |
重要資料 | (一)對政治、國土、軍事、經濟、文化、社會、科技、網路、生態、資源、核安全等構成威脅,影響海外利益、生物、太空、極地、深海、人工智慧等重點領域國家安全相關資料的安全; (二)對工業、電信行業發展、生產、執行和經濟利益等造成影響; (三)造成重大資料安全事件或生產安全事故,對公共利益或者個人、組織合法權益造成嚴重影響,社會負面影響大; (四)引發的級聯效應明顯,影響範圍涉及多個行業、區域或者行業內多個企業,或者影響持續時間長,對行業發展、技術進步和產業生態等造成嚴重影響; (五)恢復資料或消除負面影響所需付出的代價大; (六)經行業監管部門評估確定的其他重要資料 |
核心資料 | (一)對政治、國土、軍事、經濟、文化、社會、科技、 網路、生態、資源、核安全等構成嚴重威脅,嚴重影響海外 利益、生物、太空、極地、深海、人工智慧等重點領域國家安全相關資料的安全; (二)對工業、電信行業及其重要骨幹企業、關鍵資訊 基礎設施、重要資源等造成嚴重影響; (三)對工業生產運營、電信和網際網路執行和服務等造 成重大損害,導致大範圍停工停產、大面積網路與服務癱瘓、 大量業務處理能力喪失等; (四)經工業和資訊化部評估確定的其他核心資料。 |
4、國內企業資料出境建議
當前,我國企業在資料出境面臨得風險是巨大的,如果企業事先對跨境資料法律風險準備不足,事中對風險又不善應對,就可能會導致資料出境後因觸犯境外國家法律而遭受鉅額罰款。所以企業應當組建資料合規團隊,嚴重落實資料出境的相關規範要求,制定資料出境計劃,對資料出境情況進行檢查與問題整改,持續提升資料出境合規化能力。
第一步:企業在資料出境前應首先判斷出境目的,如果資料出境目的不具有合法性、正當性和必要性,不得出境。在此基礎上再評估資料出境安全風險,將資料出境及再轉移後被洩露、損毀、篡改、濫用等風險有效地降至最低限度。
第二步:建立資料分類分級制度,參照國家和行業領域的重要資料識別指南等檔案,結合企業自身的業務資料識別重要資料與個人敏感資訊。
第三步:由企業的資訊保安部門、法務部門和業務部門等成員組成資料出境合規委員會。資料出境合規委員會定期對國內外資料安全法律法規進行研究,確保在採集和處理國外資料時不違反當地法律;在本國資料出境時,接入方有嚴格的安全保護措施來保證資料安全。同時,落實資料出境的安全主體責任制,建立企業資料出境管理制度,加強資料出境安全監測與防護。
第四步:企業資料出境的過程中須保留相關記錄,比如出境審批記錄、出境資料日誌等。企業資料出境合規委員會由專人不定期抽查,及時發現違規現象並通知相關責任人處理。
第五步:企業資料出境風險自評估是資料處理者向境外提供資料的必經之路,對出境方式、資料數量、資料屬性進行充分綜合判斷,制定資料出境計劃,最終形成資料出境風險評估報告。透過有效的自評估,不僅可以降低資料出境的合規風險,在向主管部門申報安全評估時,也有助於提高監管部門安全評估的效率。
第六步:建立企業資料出境合同,約定雙方的資料安全保護權責,最佳化隱私政策和使用者協議中跨境條款。
第七步:企業建立完善的資料洩露應急預案,在緊急事件發生後,第一時間通知相關責任人,同時在法律規定的時間內上報資料監管機構,避免因違反法規程式而擴大不良影響及懲罰金額。
第八步:透過常態化的資料安全風險評估,及時發現企業在管理與技術上的不足,不斷完善資料跨境流動治理框架體系。
5、資料出境安全展望
面對美歐等大國藉助數字戰略強化規則主導權的新態勢,我國應服務於建設“數字經濟強國”的戰略目標,全面加強資料安全監管和推進我國資料出境相關制度建設,探索適合中國國情與發展道路的跨境資料流動治理框架體系,最大化地保障本國企業的資料安全。
相關文章
- 大資料安全與隱私保護大資料
- 如何全面保護AI資料隱私和資料安全?AI
- 騰訊安全李濱:騰訊雲資料安全與隱私保護探索與實踐
- 個人資訊保護法生效,企業資料安全合規正當時
- CRM如何保護企業資料安全?
- 《個人資訊保護法》正式實施,企業如何保證資料安全合規?
- 使用CRM保護資料隱私
- 企業及個人如何有效保護資料安全?
- Zoho CRM系統保護使用者隱私和資料安全
- 工信部再治資料安全,網易易盾“隱私合規”守住企業經營底線
- 隱私計算:保護資料隱私的利器
- 寫在2024年國際資料保護日之際:如何保護資料安全和隱私?
- 資料安全與PostgreSQL:保護策略SQL
- 資料安全法下,企業如何平衡資料安全合規與業務效能?| 產業安全專家談產業
- 華為雲資料災備,為企業資料安全保駕護航
- 為資料安全保駕護航,華為雲助力企業快速安全過“等保”
- 大資料時代,區塊鏈在保護“資料隱私安全”中起到了什麼作用大資料區塊鏈
- 企業資料安全防護要注意五大安全隱患
- 區塊鏈資料隱私保護分析區塊鏈
- 資料“吃”人 隱私保護盼重拳
- 等保2.0時代,資料安全如何合規
- 長江大資料交易中心以資料安全標準護航安全和隱私大資料
- 企業是時候重新審視資料安全與合規了
- 產業安全公開課|《資料安全法》新規要求下,企業如何做好資料安全防護?產業
- 如何用 AI 技術保護隱私安全?AI
- 雲資料安全:SQL Azure資料保護RVSQL
- 華為雲網站安全方案為企業資料保駕護航網站
- 構建全方位資料安全保護體系,中安威士讓資料更安全
- 保護資料庫的安全(二)資料庫
- 保護資料庫的安全(一)資料庫
- 保護Oracle資料庫的安全Oracle資料庫
- 大資料醫療時代的人工智慧與隱私保護大資料人工智慧
- Power BI 與企業資料安全
- 數棧技術分享:數棧如何保障企業資料安全和隱私?
- 資料跨域交換成剛需 志翔科技助力企業資料安全合規跨域
- 隱私計算助力資料的安全流通與共享
- 新規施行,企業如何跟上車聯網資料安全合規時代?
- 合規之資料安全治理