数据处境合规保障

  • 安策数据加密保护-《数据出境安全评估办法》解读二

    01安全评估与个人信息出境标准合同有什么关系

    《个保法》规定了个人信息出境的三个合规路径,即:1)通过网信部门的安全评估;2)经专业机构进行个人信息保护认证;3)与境外接收方签订标准合同条款。

    《出境评估办法》规定了触发数据出境安全评估的条件,近日国家网信部门公布的《个人信息出境标准合同规定(征求意见稿)》(下称“《标准合同征求意见稿》”)规定了适用标准合同这一出境合规路径的条件。网信部门有关负责人在《出境评估办法》答记者问中提到,对于不属于安全评估范围的,如果数据处理者申报安全评估的,会接到网信部门不予受理的书面通知,数据处理者可以通过法律规定的其他合法途径开展数据出境活动。

    常见误解的澄清

    企业申报安全评估也需要签署个人信息出境标准合同?

    “安全评估”与“签署个人信息出境标准合同”合规路径的触发情形是被明确区分的,符合标准合同适用条件的企业不用申报安全评估,而触发申报安全评估条件的企业也不适用“签署个人信息出境标准合同”合规路径。

    《出境评估办法》要求数据处理者应当在与境外接收方订立的法律文件中确约定数据安全保护责任义务。若数据处理者向境外提供的数据包括个人信息,那么申报安全评估的数据处理者也可以参考“个人信息出境标准合同”的内容订立法律文件。

    02数据出境风险自评估应如何开展?

     

    数据出境安全评估采取“风险自评估与安全评估相结合”的方式,在向网信部门申报安全评估前,需先进行数据出境风险自评估。可以说,企业进行自评估是申报安全评估的前提。

    1)自评估的内容

    自评估主要关注“数据出境的合法性、正当性、必要性”、“出境数据的重要程度”等的内容,具体包括:

    1)自评估与个人信息保护影响评估的关系

    《个保法》第55条明确向境外提供个人信息前,应当进行个人信息保护影响评估(“PIA”)。由此可知,《个保法》下个人信息出境前进行PIA属于强制性义务,无论企业适用《个保法》第38条中任何一个出境路径,都需进行PIA。

    数据出境风险自评估可以被理解为是一种特殊情况下的PIA,但其评估内容和评估重点和其他场景(如处理敏感个人信息)下的PIA有较大区别。其要求具体可见专家解读 | 数据出境风险自评估要点解析一文

    常见误解的澄清

    1)风险自评估只能企业自行开展?

    风险自评估可由企业自行开展,也可由企业委托第三方机构开展。若委托第三方机构开展自评估,自评估报告需要加盖评估机构公章。

    2)风险自评估是否等于PIA?

    数据出境风险自评估与PIA的目的都是通过评估的手段发现风险,在评估内容上也存在相似之处,但是PIA更加侧重对个人权益的影响,自评估还关注给国家安全、公共利益等的带来的风险。尽管两者在概念上存在差异,在具体操作上,自评估与PIA可以合并开展,进而避免重复评估而造成的资源浪费。

    03数据出境安全评估应如何开展?

    1)数据出境安全评估的重点内容

    安全评估与风险自评估都会关注“数据出境的合法性、正当性、必要性”、“出境数据的风险”、“与境外接收方拟订立的法律文件”等的事项。

    但是,对于安全评估而言,境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响应是评估重点。与自评估事项的另一个显著区别在于,安全评估还会关注“守法情况”。

    2)数据出境安全评估的流程

    《出境评估办法》规定了逐级审查的流程。第一步是省级网信部门的完备性查验,第二步则是国家网信部门组织国务院有关部门、省级网信部门、专门机构等开展的实质性安全评估。

    《出境评估办法》对数据出境安全评估的设定了2年的有效期,自安全评估结果出具之日起计算。2年有效期的设定为企业开展数据出境活动提供了较为稳定的预期。有效期届满,需要继续开展数据出境活动的,应当在有效期届满60个工作日前重新申报评估。

    常见误解的澄清

    1)数据出境安全评估结果的有效期是从申报安全评估起计算?

    数据出境安全评估结果的2年有效期是安全评估结果出具之日起计算,而非申报安全评估起计算。因此,安全评估结果作出之前的自评估、材料申报、实质性审查等的时间并不被包含在内。

    2)通过评估的数据出境活动不会被终止?

    企业通过安全评估后的数据出境活动并非不会被终止。根据《出境评估办法》规定,国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,应当书面通知数据处理者终止数据出境活动。如果企业需要继续开展数据出境活动的,需要按照要求整改,整改完成后重新申报评估。

    版权声明: SafePloy安策利用网络资源获取的信息安全资料加上公司技术人员的理解整理产出的技术交 流文档,如有版权意见,请及时告知安策公司,我们将及时查证纠正错误,谢谢支持。有问题请及时电邮 market@ SafePloy.com

    来源:SafePloy安策、安策加密技术部 | 关键词:数据安全  数据库安全  数据出境合规   | 受欢迎指数(

与我们一起实践过安全的企业代表