云和安全管理服务专家新钛云服 刘波原创
国家互联网信息办公室2022年7月7日公布《数据出境安全评估办法》,该办法自2022年9月1日起正式施行,从去年10月29日发布征求意见稿到今年的正式发布、实施,这给企业数据出境安全合规指明了方向。
国内很多企业的业务日益国际化,国内的数据经常需要出境流向全球其他各分支机构、或者业务伙伴,对于企业数据出境具体需要要做哪些工作,很多企业的IT负责人一直没有清晰的思路,笔者今天以制药行业为例和大家聊聊数据出境那些事。
首先我们来看看国家法律法规对于数据出境的相关要求。
一、相关法律法规关于数据出境要求
1.1 《网络安全法》
第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
第六十六条 关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
1.2 《数据安全法》
第十一条 国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。
第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
第三十六条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
第四十六条 违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
1.3 《个人信息保护法》
第三十六条 国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助。
第三十八条 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
1) 依照本法第四十条的规定通过国家网信部门组织的安全评估;
2) 按照国家网信部门的规定经专业机构进行个人信息保护认证;
3) 按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
4) 法律、行政法规或者国家网信部门规定的其他条件。
中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。
个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。
第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。
第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
第四十一条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。
第四十二条 境外的组织、个人从事侵害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。
第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:
· 处理敏感个人信息;
· 利用个人信息进行自动化决策;
· 委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
· 向境外提供个人信息;
· 其他对个人权益有重大影响的个人信息处理活动。
1.4 《网络数据安全管理条例(征求意见稿)》
该征求意见稿由国家互联网信息办公室于2021年11月14日发布。
第三十五条 数据处理者因业务等需要,确需向中华人民共和国境外提供数据的,应当具备下列条件之一:
1)通过国家网信部门组织的数据出境安全评估;
2)数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证;
3)按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同,约定双方权利和义务;
4)法律、行政法规或者国家网信部门规定的其他条件。
数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的,或者为了保护个人生命健康和财产安全而必须向境外提供个人信息的除外。
第三十六条 数据处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外数据接收方的名称、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外数据接收方行使个人信息权利的方式等事项,并取得个人的单独同意。
收集个人信息时已单独就个人信息出境取得个人同意,且按照取得同意的事项出境的,无需再次取得个人单独同意。
第三十七条 数据处理者向境外提供在中华人民共和国境内收集和产生的数据,属于以下情形的,应当通过国家网信部门组织的数据出境安全评估:
1)出境数据中包含重要数据;
2)关键信息基础设施运营者和处理一百万人以上个人信息的数据处理者向境外提供个人信息;
3)国家网信部门规定的其它情形。
法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
第三十八条 中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。
第三十九条 数据处理者向境外提供数据应当履行以下义务:
1) 不得超出报送网信部门的个人信息保护影响评估报告中明确的目的、范围、方式和数据类型、规模等向境外提供个人信息;
2) 不得超出网信部门安全评估时明确的出境目的、范围、方式和数据类型、规模等向境外提供个人信息和重要数据;
3) 采取合同等有效措施监督数据接收方按照双方约定的目的、范围、方式使用数据,履行数据安全保护义务,保证数据安全;
4) 接受和处理数据出境所涉及的用户投诉;5)数据出境对个人、组织合法权益或者公共利益造成损害的,数据处理者应当依法承担责任;
6) 存留相关日志记录和数据出境审批记录三年以上;
7) 国家网信部门会同国务院有关部门核验向境外提供个人信息和重要数据的类型、范围时,数据处理者应当以明文、可读方式予以展示;
8) 国家网信部门认定不得出境的,数据处理者应当停止数据出境,并采取有效措施对已出境数据的安全予以补救;
9) 个人信息出境后确需再转移的,应当事先与个人约定再转移的条件,并明确数据接收方履行的安全保护义务。
非经中华人民共和国主管机关批准,境内的个人、组织不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
第四十条 向境外提供个人信息和重要数据的数据处理者,应当在每年1月31日前编制数据出境安全报告,向设区的市级网信部门报告上一年度以下数据出境情况:
1) 全部数据接收方名称、联系方式;
2) 出境数据的类型、数量及目的;
3) 数据在境外的存放地点、存储期限、使用范围和方式;
4) 涉及向境外提供数据的用户投诉及处理情况;5)发生的数据安全事件及其处置情况;
6) 数据出境后再转移的情况;
7) 国家网信部门明确向境外提供数据需要报告的其他事项。
第四十一条 国家建立数据跨境安全网关,对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播。
任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等,不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务。
境内用户访问境内网络的,其流量不得被路由至境外。
第四十二条 数据处理者从事跨境数据活动应当按照国家数据跨境安全监管要求,建立健全相关技术和管理措施。
1.5 《数据出境安全评估办法》
第二条 数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估,适用本办法。法律、行政法规另有规定的,依照其规定。
第三条 数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。
第四条 数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
1) 数据处理者向境外提供重要数据;
2) 关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
3) 自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
4) 国家网信部门规定的其他需要申报数据出境安全评估的情形。
1.6 《生物安全法》
第八十条 违反本法规定,境外组织、个人及其设立或者实际控制的机构在我国境内采集、保藏我国人类遗传资源,或者向境外提供我国人类遗传资源的,由国务院科学技术主管部门责令停止违法行为,没收违法所得和违法采集、保藏的人类遗传资源,并处一百万元以上一千万元以下的罚款;违法所得在一百万元以上的,并处违法所得十倍以上二十倍以下的罚款。
第八十五条 本法下列术语的含义:
人类遗传资源,包括人类遗传资源材料和人类遗传资源信息。人类遗传资源材料是指含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料。人类遗传资源信息是指利用人类遗传资源材料产生的数据等信息资料。
1.7 《中华人民共和国人类遗传资源管理条例》
第七条 外国组织、个人及其设立或者实际控制的机构不得在我国境内采集、保藏我国人类遗传资源,不得向境外提供我国人类遗传资源。
第二十二条 利用我国人类遗传资源开展国际合作科学研究的,应当符合条例要求的条件,并由合作双方共同提出申请,经国务院科学技术行政部门批准:
第二十八条 将人类遗传资源信息向外国组织、个人及其设立或者实际控制的机构提供或者开放使用,不得危害我国公众健康、国家安全和社会公共利益;可能影响我国公众健康、国家安全和社会公共利益的,应当通过国务院科学技术行政部门组织的安全审查。
将人类遗传资源信息向外国组织、个人及其设立或者实际控制的机构提供或者开放使用的,应当向国务院科学技术行政部门备案并提交信息备份。
利用我国人类遗传资源开展国际合作科学研究产生的人类遗传资源信息,合作双方可以使用。
二、数据出境要做的事情
2.1 数据出境定义解读
下面条件之一都属于数据出境:
1) 国内收集的数据存储至国外的服务器;
2) 数据存储在国内,但国外的组织、机构和个人可以访问或调用。
2.2 数据出境条件
数据出境应当具备下列条件之一:
1) 通过国家网信部门组织的数据出境安全评估;
2) 数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证;
3) 按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同,约定双方权利和义务;
4) 法律、行政法规或者国家网信部门规定的其他条件。
2.3 向境外提供个人信息
个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录。
2.4 风险自评估
数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。
2.5 人类遗传资源信息出境
需经国务院科学技术行政部门批准(科学技术部备案、批准)。
三、数据出境安全评估
通过数据出境安全评估的结果有效期为2年。
3.1 适用场景
满足下面场景之一就需要做出境安全评估。
3.2 申请数据出境安全评估需要递交的材料
3.3 数据出境安全评估的流程
四、总结
总体来说,目前我国数据出境安全合规有以下三种方式可选:
1)通过国家网信部门组织的数据出境安全评估;
2)数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证;
3)按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同,约定双方权利和义务。
但是如果出境的数据满足下面条件之一,必须要通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
1)数据处理者向境外提供重要数据;
2)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
3)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
同时,凡是涉及数据出境,均需做个人信息保护影响评估、和数据出境风险自评估。
另外,如果涉及人类遗传资源信息出境,还需经国家的科学技术部备案、批准。
附录
附录1:敏感个人信息
参考:网络安全标准实践指南——网络数据分类分级指引
类别 |
典型示例和说明 |
特定身份 |
身份证、军官证、护照、驾驶证、工作证、出入证、社保卡、居住证、港澳台通行证等 |
生物识别信息 |
个人基因、指纹、声纹、掌纹、眼纹、耳廓、虹膜、面部识别特征、步态等 |
金融账户 |
金融账户及金融账户相关信息,包括但不限于支付账号、银行卡磁道数据(或芯片等效信息)、证券账户、基金账户、保险账户、其他财富账户、公积金账户、公积金联名账号、账户开立时间、开户机构、账户余额以及基于上述信息产生的支付标记信息等 |
医疗健康 |
个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等 |
行踪轨迹 |
基于实时地理位置形成的个人行踪和行程信息,例如实时精准定位信息、GPS车辆轨迹信息、出入境记录、住宿信息(定位到街道、小区甚至更精确位置的数据)等 |
未成年人个人信息 |
14岁以下(含)未成年人的个人信息 |
身份鉴别信息 |
用于验证主体是否具有访问或使用权限的信息,包括但不限于登录密码、支付密码、账户查询密码、交易密码、银行卡有效期、银行卡片验证码(CVN 和 CVN2)、口令、动态口令、口令保护答案、短信验证码、密码提示问题答案、随机令牌等 |
其他敏感个人信息 |
种族、性取向、婚史、宗教信仰、未公开的违法犯罪记录等 |
附录2:重要数据
参考:信息安全技术 重要数据识别指南(征求意见稿)
具备以下因素之一的,是重要数据。
1) 反映国家战略储备、应急动员能力,如战略物资产能、储备量属于重要数据;
2) 支撑关键基础设施运行或重点领域工业生产,如直接支撑关键基础设施所在行业、领域核心业务运行或重点领域工业生产的数据属于重要数据;
3) 反映关键信息基础设施网络安全保护情况,可被利用实施对关键信息基础设施的网络攻击,如反映关键信息基础设施网络安全方案、系统配置信息、核心软硬件设计信息、系统拓扑、应急预案等情况的数据属于重要数据;
4) 关系出口管制物项,如描述出口管制物项的设计原理、工艺流程、制作方法等的信息以及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告属于重要数据;
5) 可能被其他国家或组织利用发起对我国的军事打击,如满足一定精度要求的地理信息属于重要数据;
6) 反映重点目标、重要场所物理安全保护情况或未公开地理目标的位置,可能被恐怖分子、犯罪分子利用实施破坏,如反映重点安保单位、重要生产企业、国家重要资产(如铁路、输油管道)的施工图、内部结构、安防等情况的数据,以及未公开的专用公路、未公开的机场等的信息属于重要数据;
7) 可能被利用实施对关键设备、系统组件供应链的破坏,以发起高级持续性威胁等网络攻击,如重要客户清单、未公开的关键信息基础运营者采购产品和服务情况、未公开的重大漏洞属于重要数据;
8) 反映群体健康生理状况、族群特征、遗传信息等的基础数据,如人口普查资料、人类遗传资源信息、基因测序原始数据属于重要数据;
9) 国家自然资源、环境基础数据,如未公开的水情信息、水文观测数据、气象观测数据、环保监测数据属于重要数据;
10) 关系科技实力、影响国际竞争力,如描述与国防、国家安全相关的知识产权的数据属于重要数据;
11) 关系敏感物项生产交易以及重要装备配备、使用,可能被外国政府对我实施制裁,如重点企业金融交易数据、重要装备生产制造信息,以及国家重大工程施工过程中的重要装备配备、使用等生产活动信息属于重要数据;
12) 在向政府机关、军工企业及其他敏感重要机构提供服务过程中产生的不宜公开的信息,如军工企业较长一段时间内的用车信息;
13) 未公开的政务数据、工作秘密、情报数据和执法司法数据,如未公开的统计数据;
14) 其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。