网安 - 专业的网络安全产业、社区、知识平台

国家互联网信息办公室公布数据出境安全评估办法

VSole2022-08-03 19:53:10

数据在当今世界具有鲜明的时代特性,且具有天然的流动优势,在全球化时代,数据随着流动而不断增值。近年来,随着数字经济的蓬勃发展,数据跨境活动日益频繁,数据处理者的数据出境需求快速增长。但是,数据流动本身便意味着风险存在,在促进数据自由流动的同时,也应妥善应对和防范数据出境安全风险,实现数据流动与数据保护的平衡。

2022年7月7日,国家互联网信息办公室公布《数据出境安全评估办法》(以下简称《办法》),自9月1日起施行。《办法》旨在落实网络安全法、数据安全法、个人信息保护法的规定,规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,切实以安全保发展、以发展促安全。

数据跨境流动在形式上可以分为数据入境与数据出境。根据《办法》,数据出境活动主要包括:一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。实际上,数据跨境流动不仅会涉及跨境贸易等经济问题,也会涉及私权保护、国家安全、主权管辖等问题。而与数据入境相比,数据出境存在的风险可能更大。对于个人来说,数据出境后,易引发个人数据泄露和数据滥用问题;对于企业而言,数据出境可能带来技术、资产和组织管理等方面的弊端;在国家层面,则可能涉及本国的数据利益和安全。因此,对数据出境进行法律规制,是许多国家的普遍做法。

我国关于数据出境的法律规制,主要规定于网络安全法、数据安全法、个人信息保护法之中。在这三部法律出台之前,我国立法对于数据跨境流动的问题有所涉及,但仅针对特定对象,以业务数据和行业信息为主。2013年,工信部实施了《信息安全技术公共及商用服务信息系统个人信息保护指南》,其中规定,个人信息管理者向境外转移个人信息,须合乎法律,经信息主体明示同意或主管部门同意。这是对于个人信息的跨境流动的一般性规定,但是该文件的立法层级较低,所规范的范围也仅限于个人信息。此外,其他法律法规与规章中也间接涉及数据跨境流动的问题,如国家安全法和保守国家秘密法分别从档案、国家秘密的角度对该问题进行了规制。但综合而言,这一时期我国对于数据跨境流动的规制并不充分,相应的规则也比较概括,且缺乏配套制度。

2016年起,随着网络安全法、数据安全法、个人信息保护法等法律的陆续出台,我国基本构建了数据治理的法律制度。其中,根据网络安全法第37条规定,关键信息基础设施运营者在我国境内运营中收集和产生的个人信息和重要数据原则上应当遵循本地化储存原则,确需进行跨境传输时应当履行数据出境安全评估义务。数据安全法第30条和第31条规定了重要数据处理者的风险评估义务,以及关键信息基础设施运营者和其他数据处理者在我国境内运营中收集和产生的重要数据的数据出境安全评估义务。个人信息保护法第36条和第40条规定了国家机关处理的个人信息在向境外提供时,应当进行安全评估,以及关键信息基础设施运营者和处理个人信息达到规定数量的个人信息处理者,在向境外提供个人信息时,应当进行安全评估。然而,上述法律并未对数据出境评估规范进行细化规定,导致实践中对数据出境进行安全评估时缺乏具体实施规则,不利于依法规范开展数据出境安全评估,维护个人信息权益、国家安全和社会公共利益。

此次《办法》在遵循上述法律基本要求的前提下,对数据出境安全评估规范进行了细致的规定。《办法》第2条明确规定,数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息,应当按照本办法的规定进行安全评估。在适用对象上,《办法》并未采用网络安全法、数据安全法、个人信息保护法中“关键信息基础设施运营者”“重要数据处理者”“其他数据处理者”的表述,而是统一使用“数据处理者”,在适用对象上更具广泛性和包容性。

《办法》确定了事前评估和持续监督相结合、风险自评估与安全评估相结合的基本原则,明确了应当申报数据出境安全评估的具体情形,内容涵盖关键信息基础设施运营者、重要数据处理者、处理个人信息达到规定数量的个人信息处理者以及其他数据处理者等;规定了数据处理者向境外提供数据满足规定情形时的两类评估义务,即数据出境安全自评估与监管部门数据出境安全评估,同时,要求数据处理者与境外接收方订立合同时应当充分约定数据安全保护责任。上述规定,填补了过去法律规定的空白,有利于我国数据出境企业和权益受损的个人依法进行维权,也对监管部门全方位审查数据出境活动的安全风险程度提供了更加全面客观的指南,有助于灵活高效应对数据跨境流动中可能存在的治理难题,提升数据出境安全评估治理效能。

实践中,数据出境安全保护环境复杂多变,《办法》的有效落实需要相应机制的配合。在遵循网络安全法等上位法的规范,维护法律法规间的统一性与系统性的基础上,一方面,应加强数据跨境流动治理领域的国际合作,推动国际协定与国内治理的有效衔接;另一方面,应切实发挥行业协会与企业的积极性与能动性,减轻政府对数据跨境流动风险审查的压力。

网络安全大数据
本作品采用《CC 协议》,转载必须注明作者和本文链接
网络安全正在成为数据分析的目标
2021-11-24 12:33:02
新冠情让网络安全威胁态势变得更加严峻,网络钓鱼攻击在过去一年平均增长了70%,数据泄露的平均成本于今年上升至21659美元,企业组织都在想寻求更好的方法来维护网络安全数据分析因此有了用武之地。
网络安全中的数据治理
2021-08-03 16:32:00
数据是指大型复杂的结构化或非结构化数据集。数据技术使组织能够生成、收集、管理、分析和可视化数据集,并为诊断、预测或其他决策任务提供见解。处理数据的关键问题之一是采用适当的数据治理框架,这样可以:①以所需的方式管理数据,以支持有效机器学习的高质量数据访问;②确保该框架规范存储和处理在相关监管框架内以可信赖的方式收集来自供应商和用户的数据。提出了一个数据治理框架,指导组织在相关的规则框架
基于数据关联性分析的新能源网络边界协同防护技术
2022-05-12 11:24:26
随着能源互联网的发展,电力信息网络系统架构也在不断变化,使电力信息网络安全面临着新的挑战。研究基于网络流水印的多点协同追踪和多层次的网络威胁协同阻断技术,由此设计高效的水印嵌入和检测算法,通过节点的协同配合,实现对安全威胁的实时追踪,同时针对不同的安全威胁,设计多层次的连接干扰和网络阻断技术,实现网络威胁的弱化和阻断。提出了跨域协同入侵追踪架构,解决了跨域网络入侵路径的快速重构。提出了基于时隙质心
基于数据的安防体系建设研究和实践
2022-02-17 17:56:44
随着数据、人工智能和云计算等信息技术的发展,安全防护形势也越来越严峻,IT 架构和服务模式不断发生变化,传统的安防体系面临着诸多问题。在继承传统的安全防护体系的基础上,提出了将数据相关技术融入到安防体系中,并从数据接入层面、数据融合分析层面、数据服务层面出发,通过数据等技术手段构建了安全数据中台,完善了安全防护技术体系。实践证明,该体系在结构上能够有效弥补传统安全防护架构的不足。
了解数据服务
2023-12-12 10:52:30
了解数据服务
全球网络安全态势综述报告
2024-01-27 10:37:36
从全球视野来看,当前的世界并不是一个安全的世界,攻防的博弈一直都在,并且愈演愈烈。我们知道,网络空间已成为继陆、海、空、天之外的第五空间,维护网络安全成为事关国家安全的重大问题。美国等西方发达国家频繁炒作“中国网络威胁言论”,但实际上作为拥有最强大网络武器库、最先进网络基础设施的国家,美国一直依靠其强大的网络攻击能力,对包括中国在内的多个国家持续进行网络攻击,西工大事件的爆发就是一个实例佐证。发达
范渊:全面理解网络安全对国家安全的重要性
2021-09-26 10:41:44
范渊,杭州安恒信息技术股份有限公司董事长,毕业于美国加州州立大学,获得计算机科学硕士学位,曾在美国硅谷国际著名安全公司从事多年的技术研发和项目管理,对在线应用安全、数据库安全和审计有深入的研究,主编《智慧城市与信息安全》一书。
公安部:严厉打击网络违法犯罪 切实维护国家网络和数据安全
2023-07-10 11:53:30
2023年7月6日,公安部召开“公安心向党 护航新征程”系列主题新闻发布会。其中,公安部牵头建立的网络安全等级保护制度,已经成为网络安全领域的基本制度。公安部积极参与制定数据分类分级保护、数据安全风险评估、监测预警和应急处置、数据安全审查等工作制度,健全完善数据安全制度体系。
智慧电力网络安全态势感知能力建设与提升
2021-09-06 14:25:29
在智慧电力快速发展的背景下,电力行业数字化转型进入跨越式的发展,新的应用不断涌现,整体网络规模逐渐扩大。物联网、云平台和数据中台等新型数字基建平台的建设,使网络边界从物理边界向物理和虚拟边界混合的模式演变。为保障电力生产、经营管理和客户服务等重要业务的正常开展,依据国网公司信息安全管理要求,国网上海市电力公司(SMEPC)构建了综合防线,覆盖互联网大区、管理信息大区和生产控制大区。
VSole
网络安全专家