《資料出境安全評估辦法》釋出：出海企業需加快對標合規

隨著數字經濟的蓬勃發展，資料跨境活動也開始日益頻繁。明確資料出境安全評估的具體規定，不僅是促進數字經濟健康發展、防範化解資料跨境安全風險的需要，也是維護國家安全和社會公共利益的需要，是保護個人資訊權益的需要。

千呼萬喚始出來。近日，國家網際網路資訊辦公室對外發布《資料出境安全評估辦法》(以下簡稱《辦法》)，自2022年9月1日起施行，《辦法》一出引起了業界的關注。

綠盟科技解決方案中心高階總監、首席解決方案專家劉弘利在接受記者採訪時表示，當前，我國出海企業在資料出境時確實面臨一定風險，如果企業事先對跨境資料法律風險準備不足，事中對風險又不善應對，就可能會導致資料出境後因觸犯境外國家法律而遭受鉅額罰款。此次《辦法》出臺明確規定了資料出境安全評估的範圍、條件和程式，為資料出境安全評估工作提供了具體指引，這也能為企業資料出境保駕護航。

為了更好結合《辦法》讓企業在資料出境更好合規，劉弘利表示，相關企業應儘快組建資料合規團隊，嚴格落實資料出境的相關規範要求，制定資料出境計劃，對資料出境情況進行檢查與問題整改，持續提升資料出境合規化能力。“如企業在資料出境前應首先判斷出境目的，如果資料出境目的不具有合法性、正當性和必要性，不得出境。在此基礎上再評估資料出境安全風險，將資料出境及再轉移後被洩露、損毀、篡改、濫用等風險有效地降至最低限度。”

建立資料分類分級制度十分關鍵。對此，劉弘利認為，可參照國家和行業領域的重要資料識別指南等檔案，結合企業自身的業務資料識別重要資料與個人敏感資訊。

而企業資料出境風險自評估則是資料處理者向境外提供資料的必經之路，對出境方式、資料數量、資料屬性進行充分綜合判斷，制定資料出境計劃，最終形成資料出境風險評估報告，是資料出境企業應有的能力。透過有效的自評估，不僅可以降低資料出境的合規風險，在向主管部門申報安全評估時，也有助於提高監管部門安全評估的效率。

因此，劉弘利建議，可由企業的資訊保安部門、法務部門和業務部門等成員組成資料出境合規委員會，對國內外資料安全法律法規進行研究，確保在採集和處理國外資料時不違反當地的地方性法規，同時，落實資料出境的安全主體責任制，建立企業資料出境管理制度，透過常態化的資料安全風險評估，及時發現企業在管理與技術上的不足，不斷完善資料跨境流動治理框架體系，以此不斷提升自我評估能力。

“總之，企業應及時響應國家的監管要求，儘快建立資料跨境的安全能力，保障資料出境安全。”劉弘利最後說。