《資料出境安全評估辦法》正式實施,將會給資料安全產業帶來哪些影響?
2022年9月1日,國家網際網路資訊辦公室釋出的《資料出境安全評估辦法》(以下簡稱《評估辦法》)正式實施。《評估辦法》旨在規範資料出境活動,保護個人資訊權益,促進資料跨境安全、自由流動。本文主要分析《評估辦法》的價值特點、《評估辦法》主要內容及其對促進資料安全產業發展的思考。
一、《評估辦法》價值特點分析
《評估辦法》作為部門規章,其法規價值在於落實《網路安全法》《資料安全法》《個人資訊保護法》等上位法構建的資料出境安全評估制度,其價值特點可歸納為以下三方面:
一是推進位制度閉環。《網路安全法》(第37條)、《資料安全法》(第31條)、《個人資訊保護法》(第40條)對於重要資料和個人資訊的出境安全評估做出了制度授權並預留了法規細化空間。《評估辦法》對於資料出境安全評估的內容和工作機制等做出具體規定,是對其上位法相關制度框架的細化發展,有效推進了資料出境安全評估制度的閉環。
二是實現規則劃一。此前《資料安全法》在規定“重要資料出境安全評估”時,將“關鍵基礎設施重要資料”和其他重要資料進行區分,即:關鍵資訊基礎設施運營者的重要資料出境安全管理,適用《網路安全法》,其他資料處理者的重要資料出境安全管理,由國家網信部門會同國務院有關部門制定重要資料的出境安全管理辦法。《評估辦法》的頒佈,在重要資料主體方面不再突出強調關鍵資訊基礎設施運營者和其他重要資料運營主體的區分,並將“重要資料出境的管理辦法”進一步明確為“資料出境安全評估辦法”,有利於推進規則合一併提高立法效率。
三是明確範圍界定。國家網際網路辦公室對資料出境安全評估相關管理辦法進行過三次公開徵求意見,分別是:2017版《個人資訊和重要資料出境安全評估辦法(徵求意見稿)》、2019版《個人資訊出境安全評估辦法(徵求意見稿)》及2021版《資料出境安全評估辦法(徵求意見稿)》。不難看出,此次《評估辦法》的頒佈,將個人資訊、重要資訊等統一納入資料出境評估的範疇,進一步統一和明確了需評估資訊的範圍,有助於推進資料出境評估工作的統一性。
二、《評估辦法》主要內容梳理
《評估辦法》明確了資料出境安全評估的監管主體、評估物件和實施流程等,具體內容分析如下。
01 監管主體
《評估辦法》根據不同評估階段對有關主體提出明確要求。在評估申報階段,由省級網信部門負責申報材料的完備性檢查,申報材料不齊全應當退回並告知資料處理者需要補充的材料;在評估受理階段,由國家網信部門在7個工作日內確認是否受理安全評估;在評估實施階段,由國家網信部門組織國務院有關部門、省級網信部門、專門機構等進行安全評估。
與2021版《徵求意見稿》相比,《評估辦法》刪除了行業主管部門,一是避免行業主管部門和國務院有關部門語義重複;二是確保涉及重要資料出境的情形仍由國家網信部門主導評定。
02 評估物件
從資料處理物件來說,評估物件分為重要資料處理者、個人資訊處理者和關鍵資訊基礎設施運營者三類;從資料處理內容來說,評估物件可分為提供重要資料和個人資訊兩大類,其中個人資訊提供者又可細分為關鍵資訊基礎設施運營者、處理100萬人以上個人資訊處理者、自上年1月1日起累計向境外提供10萬人個人資訊處理者和累計向境外提供1萬人敏感個人資訊處理者四種型別。
對比2021版《徵求意見稿》,《評估辦法》一方面簡化了資料處理主體,刪除單列的關鍵資訊基礎設施運營者處理資料活動;另一方面細化了評估適用物件,明確了向境外提供資料的時間節點。
03 實施流程
《評估辦法》對申報資料出境安全評估過程做出詳細規定,透過評估需經過“自評估+安全評估+重新評估”等一系列環節,具體流程如下圖所示。
圖 1 資料出境安全評估流程圖
與2021版《徵求意見稿》相比,《評估辦法》主要完善了以下三方面流程:一是明確省級網信部門的完備性查驗責任,規定省級網信部門在5個工作日內完成查驗,並有義務告知資料處理者需補充的材料;二是增加資料處理者申請複評流程,資料處理者可在收到評估結果15個工作日內申請複評,複評結果為最終結論;三是設定資料出境評估活動整改期限,不符合辦法規定的資料處理者應當於2023年2月28日前完成整改。
三、《評估辦法》促進產業發展思考
《評估辦法》在強化資料出境安全管理的同時,對於促進資料安全產業的發展同樣具有很強的導向作用。主要體現在其能夠帶動和引導以下兩類需求發展。
一是促進資料出境安全評估服務。《評估辦法》規定了資料處理者“應當開展資料出境風險自評估”的義務,這對於網路安全行業而言,無疑會推動資料出境評估相關服務的發展。一方面,促進面向資料處理者的專業化資料出境安全服務,如資料出境自評估諮詢、出境資料資產審計、資料安全風險評估、資料脫敏、以及資料出境安全評估一體化解決方案等。另一方面,促進面向資料評估專業機構的支撐服務發展,如出境重要資料識別、資料出境安全風險甄別、資料出境安全事件處置等專用工具研發等。此外,還能促進資料安全出境相關培訓服務的發展,如資料安全相關資質和技能培訓、資料風險分析與應急培訓等。
二是促進資料出境安全監管支撐服務。《評估辦法》規定了國家相關職能部門所應承擔的監管職責,這對於相關的監管支撐服務也具有積極促進作用。主要包括:資料出境風險監測、敏感資料威脅情報支援、資料出境安全協同管理平臺等。
綜上可見,《評估辦法》是我國資料安全制度體系的重要組成部分,也是全面提升我國資料安全保障能力的重要基礎一環,並且隨著資料出境安全評估制度的逐步落實推進,資料安全產業也必將伴隨得到深入促進發展。《評估辦法》的釋出,不僅是我國資料安全法治建設的里程碑,更是見證和保護資料安全產業高質量發展的新徵程。
相關文章
- 國家網信辦發個人資訊和重要資料出境安全評估辦法
- 網路安全宣傳週|法制日奉上《資料出境安全評估辦法》26個問題解答
- 《資料出境安全評估辦法》釋出:出海企業需加快對標合規
- 9月1日起施行!國家網信辦公佈《資料出境安全評估辦法》
- 資料安全法正式實施,如何構建企業資料安全能力
- 11月16日19:30|綠盟安全專家直播解讀《資料出境安全評估辦法(徵求意見稿)》
- 解讀《網路安全審查辦法》及其對網路安全產業供給的影響產業
- 資料安全出境系列——資料追溯能力
- Script:收集資料庫安全風險評估資訊資料庫
- CCIA技術沙龍 | “資料安全風險評估及安全服務實踐” 沙龍成功舉辦
- 您的資料安全嗎?如何評估和降低資料風險
- 國家網際網路資訊辦公室關於《資料出境安全評估辦法(徵求意見稿)》公開徵求意見的通知
- 《資料安全法》正式實施 動了誰的乳酪?紅了誰的櫻桃?
- 《個人資訊保護法》正式實施,企業如何保證資料安全合規?
- Q&A|聚焦《資料安全法》實施,企業資料安全建設常見問題
- 《資料安全法》實施後,企業如何依法進行資料安全加固及創新
- 綠盟科技:以智慧的方法落實資料安全風險評估
- 美創科技釋出資料安全綜合評估系統|推進安全評估高效開展
- 雲安全2.0帶來哪些產業價值產業
- 《資料安全法(草案)》出臺,對企業有何影響?
- 專家解讀 | 《資料安全管理認證實施規則》要點及其對網安產業發展的影響產業
- 《資料安全法》實施|美創開啟“資料安全建設實踐諮詢”專項行動
- 大資料的發展,給我們生活帶來了什麼影響?大資料
- 美創解讀|《資料安全法》實施,企業資料安全合規技術能力建設
- 專家解讀 |《金融資料安全 資料安全評估規範》(徵求意見稿)
- 北京金融科技產業聯盟第十期監管科技分享匯:《資料安全法》下金融資料安全風險評估研究與實踐產業
- 騰訊安全姬生利:《資料安全法》下,雲上資料安全最佳實踐
- 黑暗資料給網路安全帶來的挑戰和機遇
- 《資料安全法》實施在即,企業如何做好資料分類分級?
- 網路與安全周盤點:核心資料出境應依法進行安全評估;安冉雲與華為簽署合作協議協議
- 資料安全法下,企業如何平衡資料安全合規與業務效能?| 產業安全專家談產業
- 直擊信通院ICT深度觀察大會:騰訊安全劉海洋分享企業資料安全評估最佳實踐
- 提高資料庫安全性的辦法資料庫
- 哪些方面會影響伺服器資料庫效能伺服器資料庫
- 網路安全評估方式有哪些?為什麼要進行安全評估?
- 《全國一體化政務大資料體系建設指南》之資料安全產業影響分析和思考大資料產業
- 預告丨產業安全專家論壇之《資料安全法》下的企業資料安全建設產業
- 產業安全公開課|《資料安全法》新規要求下,企業如何做好資料安全防護?產業