数字化转型浪潮中,数据出境面临众多机遇与挑战。从业务角度,经济全球化推动外商投资、跨境业务等业务合作,企业数据跨境流动需求强烈,但数据违规现象频发,不仅导致巨大经济损失,还挑战了国家安全。从监管层面,企业面临着个人数据违规收集、大数据技术滥用、企业IPO数据合规风险、数据泄露风险、跨境流动风险等。
近年来,随着一系列相关法律法规的相继出台,对数据跨境流动作出了明确规定。2024年3月,国家互联网信息办公室公布的《促进和规范数据跨境流动规定》(以下简称《促进》),进一步优化调整了数据出境安全评估、个人信息出境标准合同、个人信息保护认证等制度。法规政策的不断完善,有利于实现数据发展与安全的平衡,推动数字经济健康发展。
一、申报数据出境安全评估的触发条件?
根据《促进》的相关规定,数据处理者向境外提供数据,符合下列条件之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
1、关键信息基础设施运营者向境外提供个人信息或者重要数据;
根据《关键信息基础设施安全保护条例》第二条规定,关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务,国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全,国计民生,公共利益的重要网络设施、信息系统等。
对重要数据的判断可参考:
表格整理自:《信息安全技术 重要数据识别规则(征求意见稿)》
2、关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。
根据《中华人民共和国个人信息保护法》的规定,敏感个人信息是指,一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四岁未成年人的个人信息。
在“业务需求”和“安全合规“的双重驱动下,企业如何开展数据出境安全评估工作!
二、如何开展数据出境安全评估工作?
企业数据出境管理应聚焦于明确的数据出境范畴、精细的数据分类分级、全面的数据出境风险评估、规范的数据出境申报,并持续强化内部数据出境评估体系建设。从业务战略出发,健全数据出境的五大体系,组织建设、制度体系、技术体系、运营能力、人才体系,确保数据跨境流动满足安全合规,保护企业利益与用户隐私。
1、组织建设
优化管理组织架构,明确决策、管理、执行、配合与监督各层职责,细化出境管理策略与流程,确保数据跨境全程受控、合规,强化协作,构建高效安全管理体系,保障数据依法流动,保障企业利益与国际业务顺利发展。
2、制度体系
规划数据安全战略,需全方位考量业务数据安全需求、风险控制及法律合规要求等方面,确定数据安全防护目标、管理策略及具体的标准、规范、程序等。
数据分类分级作为核心环节,通过分析数据的敏感性、价值及潜在风险,精准施策。不断优化策略、标准与流程,确保数据安全防护的时效性与前瞻性,为数据全生命周期构筑坚不可摧的安全防线。
3、技术体系
围绕“事前预防、事中控制、事后溯源”构建全方位技术体系。事前预防,对企业数据资产进行梳理,围绕资产梳理与分类、漏洞发现与修复等,开启数据治理第一步;事中控制,强化主动防御与操作审计、数据加密与脱敏、数据防泄漏、访问权限管控等,保障数据出境过程的合规性与安全性;事后溯源,通过数据水印溯源、审计日志还原操作、数据恢复,数据泄露事件提供精准的溯源依据,助力快速响应与处置,持续优化数据出境管理体系。
4、运营能力
从资产梳理、安全合规、事件管理、风险处置等多个维度进行监管,构建数据安全运营中心,以实现安全可视,打通数据安全孤岛,形成全网数据资产地图,掌握全局安全态势;多维分析,实时检测,快速风险处置,威胁响应策略自动优化和下发,实现全网的安全联防联控;降本增效,有效降低数据安全治理成本,提高运营效率。
5、人才体系
构建数据安全人员体系,确保数据安全策略与业务深度融合。加强如数据安全合规官、运维工程师、运营工程师、风险评估专家、运维工程师等专家及工程师的培训与认证,紧跟技术前沿,提升团队专业能力,建立知识共享平台,促进经验交流与技术传承,持续优化人才结构,为企业数据安全保驾护航。
三、如何开展数据出境申报工作?
根据《数据出境安全评估申报指南(第二版)》的相关说明:
1、申报方式
关键信息基础设施运营者或者其他不适合通过数据出境申报系统申报数据出境安全评估的,采用线下方式通过所在地省级网信办向国家网信办申报数据出境安全评估,申报方式为送达书面申报材料并附带材料电子版,书面申报材料需装订成册。
2、申报材料
数据出境安全评估申报材料要求:
3、申报流程
数据处理者对评估结果有异议的,可以在收到评估结果通知书15个工作日内向国家网信办申请复评,复评结果为最终结论。
四、全力构筑数据出境“安全屏障”
作为网络空间安全和大数据智能化综合解决方案提供商,安胜拥有完善的两大安全服务体系——网络安全服务与数据安全服务。
1、网络安全服务
安胜的网络空间安全培训服务(ECSC)面向从事网络安全工作的相关人员,提供渗透技术培训、CTF赛事技巧培训、网络安全意识培训、政策解读培训、安全防护技术培训;面向企业人员,提供安全科普、安全意识培训等。目前已成功举办404期网络安全培训班,培训网络安全技术学员达9300+人次,累积授课9500+课时,培训覆盖全国100多个城市,获得客户的高度评价。
2、数据安全服务
2.1数据安全分类分级服务
数据分类分级是数据安全的基石,面向组织数据和个人信息对数据资产进行发现与梳理,从业务角度出发,对企业数据进行分类分级标识并形成数据分类分级目录,最后对数据目录进行审核、上报备案,并且动态更新管理。
安胜的数据安全分类分级服务是基于国标GB/T 43697-2024《数据安全技术数据分类分级规则》的分类分级实施步骤。
数据分类分级作为数据安全治理第一步,安胜推出的“数网”数据资产梳理与数据库扫描系统,一款用于帮助数据资产管理者全面掌握数据资产分布、构建数据资产类目、洞悉数据资产风险的系统,可有效协助企事业单位满足数据分类分级管理的合规要求,同时优化和提升数据资产的管理和使用规范。
一键开启数据安全分类分级,目前,安胜推出了“数网”数据资产梳理与数据库扫描系统的免费版——“数网”数据分类分级工具,欢迎免费体验!
2.2、数据安全风险自评估
安胜依据国家、行业数据安全风险评估要求,结合企业数据安全现状,围绕数据和数据处理活动,聚焦可能影响数据安全风险,评估数据安全全生命周期的各项指标,对评估的问题进行分析,提出数据安全管理和技术防护措施建议。
2.3、数据出境安全评估
安胜积极响应国家针对数据出境安全相关法律法规,从监管者与数据使用者的角度,协助企业开展数据出境前的准备工作。一是为企业提供数据出境场景、出境行为、出境数据的梳理;二是基于企业当前数据安全现状,评估数据出境安全风险;三是根据风险结果制定全面的安全整改和建设方案。保障企业依法合规,数据出境活动顺利开展。
目前,安胜在政务、能源、金融、互联网、跨境电商等行业均有成功案例落地。公司的“数网”数据资产梳理与数据库扫描系统不仅帮助客户梳理内部数据资产,了解数据特征和风险,规范数据管理,并结合数据脱敏与加密、数据访问审计、数据库防火墙等相关数据安全防护产品,有效提升数据安全治理效果。
