更深入的数据合规与保护要求：数据跨境流转（二）

更深入的数据合规与保护要求：数据跨境流转（二）

IXCDC

数据跨境流转

五、数据出境的安全评估流程

（一）数据出境安全评估宏观流程

数据出境的宏观评估流程主要分两步走，第一步是出境目的审查，数据出境必须具有合法、正当且必要的目的，因此数据出境的第一步就是对数据出境的目的进行评估，主要评估数据出境目的或者理由是否合法、是否正当也即合理、是否为业务所必须。若不能通过数据出境目的评估则无法进入第二步，数据不得出境。通过了数据出境目的评估的数据将进入安全评估的第二步，即安全风险评估，通过安全风险评估的数据准予出境，未通过评估的不予出境。

（二）数据出境安全评估微观流程

（1）自评估型

自评估程序启动：涉及数据出境的启动自评估程序，多次出境的需要多次评估。但数据出境的目的、接受方相同，范围、类型、数量未发生较大变化且两次出境时间不超过一年的视为连续出境，免于重复评估。

组建自评估工作组：自评估工作组由企业自行组建，工作组应包括法务、安全、技术和相关管理人员，工作组负责审核出境计划，并对出境情况督导检查。

制定数据出境计划：企业业务部门自行编制数据出境计划，计划至少应当包括个人信息的类型、数量、范围和敏感度；重要数据类型、数量、范围；信息系统情况；数据发送方安保能力情况、接收方安保能力情况及其所在国相关政策情况。

进行出境目的评估：工作组根据出境目的评估要点对目的展开评估，对不符合出境目的要求的，不予出境，符合要求的，进入安全风险评估流程。

进行安全风险评估：工作组根据安全评估要点进行安全评估，对不符合安全风险保障要求的，不予出境，符合要求的，准予出境，并做评估报告。

形成自评估报告：自评估报告由工作组起草，报告至少应包括：被评估对象的基本情况、评估工作组织情况、评估结果、主要安全风险点及检查修正建议。报告应至少保存2年。

修正程序：数据出境如在目的评估、安全风险评估和主管部门审查三个环节被否定，可以进入修正程序，工作组可以对出境计划提出修正建议，并重新开展自评估。

报送主管部门：并非所有报告都需要向主管部门报送，符合以下条件的需要向主管部门报送：涉及关键信息基础设施运营者及与关键信息基础设施相关的安防信息；数据出境数量达到上报要求；数据包括核设施、生化、军工、人口健康数据、大型工程活动和海洋环境敏感地理信息数据的；其他可能影响国家安全、经济发展和社会公共利益的。

（2）主管部门评估型

主观部门评估程序启动：出境数据涉及关键信息基础设施运营者及与关键信息基础设施相关的安防信息；数据出境数量达到上报要求；数据包括核设施、生化、军工、人口健康数据、大型工程活动和海洋环境敏感地理信息数据的；其他可能影响国家安全、经济发展和社会公共利益的。或者数据提供方受到大量用户投诉、举报。或者全国性行业协会建议的；国家网信部门及行业主管部门认为确有必要的。

进行出境目的评估：主管部门将根据出境目的评估要点对目的展开评估，对不符合出境目的要求的，不予出境，符合要求的，进入安全风险评估流程。

进行安全风险评估：工作组根据安全评估要点进行安全评估，对不符合安全风险保障要求的，不予出境，符合要求的，准予出境，并做评估报告。

专家委员会审议：专家委员会负责对企业自评估报告及主管部门评估报告进行审议，并给出出境建议。

形成书面结论：根据专家委员会审议建议给出最终出境决定。主管部门评估型程序中没有修正程序，所有流程不得修正。

六、出境目的及安全风险评估要点

（一）出境目的评估要点

出境目的评估主要针对出境目的的三性展开，即合法性、正当性和必要性。

（1）合法性即指不违反法律法规和有关部门规章的禁止性规定。

（2）正当性即指已取得个人信息主体的同意，且取得同意的方式、内容不违反相关规定。

（3）必要性即指数据出境为履行合同所必须、组织机构内部开展业务所必须、我国政府履行公务所必须、履行我国政府所签署的国际条约所必须或者其他维护网络空间主权和国家安全、经济发展、社会公共利益和保护公民合法利益所需要的情形。

（二）安全风险评估要点

1.概况

数据出境的安全风险评估要点大致可以归纳分类为两大方面，一是针对数据本身的安全风险评估，包括个人信息和重要数据的属性、类型、数量、范围、敏感程度和技术处理情况等。二是数据出境可能带来的安全风险和影响程度，具体包括企业发送数据的技术能力和管理能力、数据接收方的安全保护能力及应急处置能力、数据接收方所在国的数据保护法律法规是否健全等。

2.个人信息属性评估要点

个人信息、个人敏感信息类别与敏感程度认定见前节：

个人信息、敏感信息、重要数据的认定。

数量：

应对个人信息主体数量和主要人群的群体特征进行评估，赴海外上市的，以掌握个人信息100万条为界限，掌握个人信息100万条以上者，赴海外上市的，不论出境数据规模都需要申报网络安全审查。从目前滴滴APP下架案来看，数据出境规模巨大会被人为对国家安全造成危害，被禁止出境。

最小化要求：

a)向境外传输的个人信息应与出境目的相关的业务功能有直接关联，即缺少该信息的参与，相应功能无法实现；

b)向境外自动传输个人信息的频率应与数据出境目的相关的业务开展所需频率匹配；

c)向境外自动传输个人信息的数量应与数据出境目的相关的业务开展所需数量匹配。

技术处理情况：

a)是否在出境前对个人信息进行了数据脱敏处理；

b)信息脱敏效果是否有效可靠，达到了一般情况下的不可还原。

3.重要数据属性评估要点

重要数据类型见前节：

个人信息、敏感信息、重要数据的认定。

数量：

应评估重要数据出境数量，何种数量级的重要数据会限制出境任然有待实务验证。

最小化要求：

a)向境外传输的数据应与出境目的相关的业务供应有直接关联，即没有该数据的参与，相应功能无法实现；

b)向境外传输数据的频率应与数据出境目的相关的业务开展所需频率匹配；

c)向境外传输数据的数量应与数据出境目的相关的业务开展所需数量匹配。

技术处理情况：

a)是否在出境前对数据进行了数据脱敏处理；

b)数据脱敏效果是否有效可靠，达到了一般情况下的不可还原。

4.数据发送方安全保护能力评估要点

安全管理制度:

a)应具备数据出境安全管理体系，包括但不限于:安全策略、管理制度、数据出境安全操作流程;

b)安全策略管理文件中应包含:总体目标、原则、总体框架等;

c)安全管理制度中应对出境数据的数量、范围、类型及其敏感程度等进行描述;

d)数据出境安全操作流程应包括:数据出境计划、数据出境安全评估报告等。

人员管理:

a)应在组织内部指定数据出境安全管理人员，并确保其履行相应职责，包括但不限于:数据出境的审计、评估报告的编写与提交、配合主管部门监督检査、处理有关纠纷等;

b)应在组织内部建立数据出境相关人员的培训和考核机制。

合同约束:

a)应约定数据接收方的数据处理目的、方式和取的安全措施;

b)应约定数据接收方配合数据发送方对数据出境活动进行调查;

c)应约定在未获得数据发送方的授权前提下，数据接收方不得对数据进行公开披露及再转移;

d)应约定数据接收方使用、留存数据的合法周期及超出合法周期后数据接收方应对数据采取的处理措施如:删除、销毁等;

e)应约定数据接收方配合数据发送方响应个人信息主体的请求，如:访问、更正、删除等。

审计机制:

a)应对数据出境安全策略、管理制度、出境操作流程以及安全措施的有效性进行审计，并形成审计结果;

b)审计结果应能支持事件的处置、应急响应和事后调查;

c)应防止非授权访问、算改或删除审计记录。

技术保障能力：

a)具备数据传输安全保障能力，如加密技术等；

b)是否具备对数据安全事件的技术预警、检测和应急能力;

c)是否具备数据安全防护体系，能够保障接收数据的保密性、完整性和可用性;

d)是否对数据处理过程进行身份识别与访问控制管制;

e)是否具备数据接收日志安全防篡改保存能力，日志应包括数据接收时间、数据类型、数量、范围、接收方式、发送方信息，数据日志应保存至少2年;

f)应具备对数据出境传输的安全评估、安全漏洞发现及修复能力；

g)若数据出境需要中转第三国，应采取相关技术手段保障中转过程中数据不备非法访问或调取。

5.数据接收方安全保护能力评估要点

接收方背景情况：

包括数据接收方是否具有真实有效的数据处理主题资格、是否曾经发生过数据安全事件，如有，事件处置结果如何、涉及重要数据出境的，应调查清楚接收方股东构成和主管部门背景信息。

接收方安全制度建设情况：

一是是否建立安全管理机制：

a)是否依据业务需要和数据安全合规要求制定并执行数据安全管理方略;

b）是否建立数据接收、保存、使用、传输、销毁等全流程的安全管理制度并有细化要求；

c)是否建立数据安全风险预警、应急处置和问责救济机制。

二是是否建立人员管理机制：

a)是否指定数据安全管理机构和人员，并确保其履职尽责;

b)数据处理和管理人员是否具备数据安全的相关知识与技能，能够执行数据安全合规要求。

三是是否建立审计机制：

a)是否有应对数据安全的管理策略、制度、流程及安全审计机制;

b)是否已开展审计工作并形成有效审计结果、审计结果是否能支持相关安全事件的应急处置和事后调查;

c)安全审计记录是否无法随意篡改。

四是是否建立应急处置机制：

a)是否制定数据安全事件应急处置预案，如已制定，预案是否包括应急处置、安全事件告知和上报等内容;

b)是否定期对相关人员开展应急培训和演练、在曾经发生的事故中是否有效启动应急预案并机制告知数据发送方;

c)是否及时更新应急预案。

五是是否具备技术手段保障能力：

a)是否具备对数据安全事件的技术预警、检测和应急能力;

b)是否具备数据安全防护体系，能够保障接收数据的保密性、完整性和可用性;

c)是否对数据处理过程进行身份识别与访问控制管制;

d)是否具备数据接收日志安全防篡改保存能力，日志应包括数据接收时间、数据类型、数量、范围、接收方式、发送方信息，数据日志应保存至少2年;

e)是否具备数据处理全过程安全技术审计能力;f)是否对数据存储介质有安全管理、数据备份和恢复能力。

数据接收方所在国数据安全法规保障情况：

一是个人信息方面，涉及个人信息出境时，对数据接收方所在国家或地区的政治法律环境的评估包括:

a)该国家或地区现行的个人信息保护法律法规及普遍适用的标准情况;

b)该国家或地区加入的区域或全球性的个人信息保护方面的组织，以及所做出的具有约束力的承诺；

c)该国家或地区落实个人信息保护的机制，如:是否具备负责个人信息保护的执法机构和相关司法机构等。

二是重要数据方面，涉及重要数据出境时，对数据接收方所在国家或地区的政治法律环境评估包括：

a)该国家或地区在数据安全方面现行的法律法规及普遍适用的标准情况；

b)该国家或地区主管数据安全的执法机构和相关司法机构等；

c)该国家或地区的执法机构、司法机构等部门调取数据的权力和法律程序；

d)该国家或地区与其他国家或地区之间是否缔结有关数据流通、共享等方面的双边或多边协定，包括在执法、监管等方面数据流通、共享的双多边协定。