企业如何进行数据出境安全评估?

2022-08-29 18:40:00
对于作为数据处理者的企业来说,数据出境活动涉及几种评估?具体如何进行评估?自评估报告怎么写?难点包括哪些方面?

作者 | 连飞 张银英  北京恒都律师事务所

编辑 | 又青

前 言

企业向境外提供个人信息,可以通过申报安全评估、个人信息保护认证或者签订国家网信部门制定的标准合同三条路径之一来满足个人信息跨境提供的条件[1],依法开展数据出境活动。对于第一种申报安全评估,《数据出境安全评估办法》给出了针对数据处理者、各级监管部门的相关规定。对于作为数据处理者的企业来说,数据出境活动涉及几种评估?具体如何进行评估?本文将对此进行探讨。

01

安全评估、风险自评估与

个人信息保护影响评估(PIA)

作为跨境提供个人信息的前置措施,《中华人民共和国个人信息保护法》和《数据出境安全评估办法》(以下简称《办法》)中规定了三种评估——安全评估、风险自评估和个人信息保护影响评估(PIA)。其中,安全评估由企业申报、国家网信部门进行;而企业要申报安全评估,必须提交风险自评估报告;只要企业向境外提供个人信息,就应当进行PIA。

更具体地,笔者根据相关法规,对上述三种评估的触发情形、评估主体、评估内容、时间要求、周期、评估的影响各方面,进一步进行比较,见下表。

实践中,企业宜在与境外接收方签订数据出境相关合同或者其他具有法律效力的文件(以下统称法律文件)前,申报数据出境安全评估。如果在签订法律文件后申报评估,建议在法律文件中注明此文件须在通过数据出境安全评估后生效,以避免可能因未通过评估而造成损失。

申报数据出境安全评估,企业需要提交的材料包括申报书、数据出境风险自评估报告、其与境外接收方拟订立的法律文件以及安全评估工作需要的其他材料。

从上表可知,由企业自身主导的数据出境相关评估是风险自评估和PIA,二者在评估目标与方法论上存在一致性,可以考虑合并进行。风险自评估做完了以后,小幅改动基本可以为PIA所用。下文将重点讨论风险自评估。

02

风险自评估报告怎么写

企业的风险自评估报告是申报安全评估的材料之一,对于能否通过安全评估有着重要的影响。数据出境风险自评估可以由企业自行开展,也可以引入第三方专业机构协助进行。若企业委托第三方机构开展自评估,评估报告应加盖评估机构公章,第三方机构在自评估过程中对知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密。

《办法》对于风险自评估和安全评估的评估事项分别进行了规定,二者大部分相同,也存在差异。企业进行风险自评估的主要目标是为了让数据出境,开展业务,因此,建议企业在进行风险自评估时,兼顾安全评估的标准,提高通过审核的可能性。风险自评估报告可以包括以下内容:

1. 企业(数据处理者)的基本情况与安全保障能力

如企业所在地、联系方式等,数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等。

2. 境外接收方的安全保障能力

主要包括境外接收方承诺承担的责任义务,及其管理和技术措施、能力等(应能保障出境数据的安全)。

3. 出境数据情况

出境数据的目的、规模、范围、种类、敏感程度、方式及其合法性、正当性、必要性,存储的地点、基本保护措施、访问权限等。

4. 双方签订的法律文件情况

主要包括与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等是否充分约定了数据安全保护责任义务,如数据在境外保存地点、期限,以及达到保存期限、完成约定目的或合同终止后出境数据的处理措施等。

5. 接收方所在国家/地区的政策法规和网络安全环境情况,企业需要进行考察。

6. 数据出境安全风险综合评估

7. 结论

03

风险自评估的难点

各行各业的企业在进行数据出境风险自评估时可能面临的难点包括如下几个方面。

第一,难以准确甄别数据出境场景,尤其是某些数据出境场景较为隐蔽,例如因供应商导致的数据出境,或因远程运维导致的数据出境。

第二,难以判断是否需要申报安全评估,这需要分清“重要数据”、“个人信息”和“敏感个人信息”,准确统计个人信息总量(例如按照业务条线、业务场景或者部门等来统计),判断个人信息总量是否达到前述10万或者1万的标准。

第三,数据资产盘点以及风险自评估流程时间较长。

第四,风险自评估工作涉及企业内部多个部门,需要进行大量的内部沟通和协调工作。

第五,对于风险自评估中发现的风险,如何缓解或整改。

04

结  语

企业进行数据出境安全评估,做好风险自评估是关键。风险自评估与个人信息保护影响评估可合并进行。建议企业在风险自评估过程中,发现风险如实记录,及时整改,并记录整改过程,形成风险自评估报告。

建议企业全面梳理现有数据出境业务情况,利用过渡期(2022年9月1日起6个月内)时间积极调整,合法合规开展数据出境活动。

注释:

[1]《中华人民共和国个人信息保护法》第38条

[2]重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据(《数据出境安全评估办法》第19条)。具体分类参见《网络数据安全管理条例(征求意见稿)》第73条第(三)项。

[3]关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的基础设施(《网络安全法》第31条)

[4]敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。可参考GB/T 35273-2020《信息安全技术 个人信息安全规范》

(图片来源 | 网络)

+1
0

好文章,需要你的鼓励

参与评论
评论千万条,友善第一条
后参与讨论
评论区

    下一篇

    距离上一次发布观察榜已经过去一个多月,今天,我们继续利用数据工具给中国专利代理机构做持续的动态数据分析(含与上月榜单相比的排名变动情况)。

    2022-08-26 17:10:00