全文共2466字,阅读大约需6分钟。
随着《数据出境安全评估办法》施行满6个月,未开展申报评估工作的组织将面临监管处罚风险。对此,我们建议出境组织尽快响应,务实准备,主动申报。本文围绕数据出境合规,从为什么要做、有哪些要求、找谁做、怎么做等方面展开介绍,为读者提供数据出境合规指引。
一
强法律合规义务推动企业加快评估步伐
2022年9月1日,《数据出境安全评估办法》(以下简称《办法》)正式实施,开展数据出境活动的组织应当对照《办法》具体规定及时依法申报数据出境安全评估。截至2月22日,全国各省网信办通报的数据出境申报情况如下表:
针对《办法》发布前已开展的数据出境活动,2022年9月至2023年2月为整改缓冲期。自2023年3月1日起,不符合《办法》规定的数据出境活动可能受到监管处罚。当前我国法律法规中涉及数据出境处罚条款如下:
未来监管处罚暂未可知,参考既往数据出境违规案例,涉事企业被要求停止出境活动、销毁相关违规出境数据、巨额罚款、APP全线下架、停止新用户注册、责令整改等。
总的来说,数据出境最强监管时代已经到来。涉及数据出境组织要想降低监管处罚风险、避免出境业务中断或甚至停业整改、巨额罚款等影响,就要赶快行动起来!采取数据出境合规应对行动,刻不容缓!
二
数据出境合规的具体要求有哪些
《网络安全法》和《数据安全法》明确了关基产生的重要数据和个人信息出境需开展安全评估的要求;《个人信息保护法》在此基础上,明确了个人信息出境的三条路径:通过国家网信部门组织的安全评估、个人信息保护认证、签署个人信息跨境标准合同。其中,安全评估这一路径依据《数据出境安全评估办法》开展。其余两条路就目前实践案例较少,但其作为申报评估外实现合法出境的唯二方法,值得关注。
此外,汽车、医疗、工业、金融等行业均出台行业数据出境管控要求。组织应先确保满足本行业数据出境监管要求,在此基础上,其申报材料才能顺利交到国家网信部门手中。
三
数据出境合规的分岔路口,该怎么选
组织可通过下方流程图及判定规则,代入自身情况,判断适合自身的数据出境路径。
这三条出境路径各自合规实施要点如下:
申报评估合规应对要点
数据处理者向境外提供数据时,如触发国家网信部门评估条件,则须通过国家网信部门组织的安全评估后方可出境。应当开展安全评估的出境活动如不评估就想心存侥幸出境的话,就是违法违规出境行为,存在极大的监管处罚风险!
安全认证合规应对要点
组织应当开展个人信息保护影响评估,签订法律文件明确个人信息主体权益保障要求,向中国网络安全审查技术与认证中心申请个人信息跨境保护认证。通过认证后,方可开展出境活动。
标准合同合规应对要点
组织应开展个人信息安全影响评估,依据《个人信息出境标准合同规定》及《个人信息出境标准合同》与境外接收方签订标准合同条款,标准合同生效后即可出境。此外,组织应在合同签署十个工作日内向省级网信部门备案。
四
数据出境申报流程介绍
01
数据出境流程
数据出境申报评估应该找谁?多久可以办结?为此,我们梳理了下方申报流程图:
02
申报材料
组织应按网信部门要求准备材料,尤其在出具自评估报告时,不能删减、曲解自评估报告模板内容。申报材料清单如下:
1、数据出境安全评估申报书,包括:承诺书、 数据出境安全评估申报表
2、数据出境风险自评估报告
3、与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件影印件
4、统一社会信用代码证件影印件
5、法定代表人身份证件影印件
6、经办人身份证件影印件
7、经办人授权委托书
五
如何为申报评估做准备
数据出境组织应梳理出境数据情况,开展自评估工作,对存在风险问题尽快整改,撰写自评估报告,并准备其他申报材料。在上述工作开展中,组织可能会遇到以下难题:
• 评估团队未涵盖业务、数据、安全、法务;
• 向网信办咨询,不能高效、清晰问清楚;
• 表单设置、自评估报告编撰缺乏经验;
• 境外接收方调研耗时费力,缺乏相关资源;
• 提交材料没把握,材料质量不尽如人意。
从目前申报实践经验看,监管对于数据出境的关注点包括个人信息安全影响评估、数据出境风险评估、数据处理者安全保障能力评估、境外接收方安全保障能力评估及签订法律文件等内容。因此,申报评估准备工作仅靠法律专业人员是不够的,可通过引入绿盟这样的提供数据安全服务的安全公司解决。此外,我们已与知名律所达成战略合作,将在数据出境领域各展身手,助力企业顺利申报。
六
绿盟数据出境评估服务介绍
绿盟推出数据出境全流程、一站式服务,从数据出境前、出境中、出境后全链条为客户提供“数据安全咨询+产品”服务。助力客户提升数据出境安全能力,护航客户申报评估顺利通过。
01
服务模块一:数据出境安全咨询
(一)收集相关法律法规标准并进行解读,尤其关注行业数据出境要求;
(二)提供自评估准备工作协助,如数据分类分级、重要数据(如有)识别、关键信息基础设施识别(如涉及)、个人信息安全影响评估等工作。
02
服务模块二:数据出境自评估
数据自评估主要包括以下四部分:
03
服务模块三:数据出境组织与制度建设
(一)建立数据安全组织架构,协助确定数据安全负责人和管理机构;
(二)搭建数据出境制度体系,包含方针策略、管理制度、操作规程和表单记录四个层级,围绕出境数据全生命周期提出管理要求。
04
服务模块四:数据出境申报流程支持
(一)协助编撰或协助准备准确、完备、高质量的申报材料;
(二)协助向省级网信部门沟通咨询,确保问题问清楚、解决思路捋明白;
(三)协助提交申报材料,解答监管询问,对材料进行修订完善再次提交。
05
服务模块五:数据出境流转监测
(一)通过安全运营平台实现各出境管控、审计设备的日志收集、分析,实现对出境流量进行测绘;
(二)出境异常事件应急响应与追踪溯源。
绿盟科技在数据安全专业服务领域拥有深刻积累,具备数据分类分级、数据安全合规评估、数据安全风险评估、数据安全能力成熟度评估、个人信息安全影响评估、数据安全管理体系建设、数据安全规划等服务交付能力,助力金融、运营商、能源、交通、政府、企业等行业客户获得成功。
如果您在数据出境合规方面需要协助,请填写下方问卷。我们会尽快联系您!
问卷链接:
https://www.wjx.cn/vm/wcvpb5w.aspx#
如有侵权请联系:admin#unsafe.sh