《信息安全技术 数据出境安全评估指南（草案）》

附件: ICS35.040L80 中华人民共和国国家标准 GB/TXXXX—XXXX 信息安全技术数据出境安全评估指南 InformationSecurityTechnology-GuidelinesforDataCross-BorderTransferSecurityAssessment （草案） XXXX-XX-XX发布XXXX-XX-XX实施 GB/TXXXX–XXXX 目次 前言II 引言III 信息安全技术数据出境安全评估指南1 1范围1 2规范性引用文件1 3术语和定义1 4评估流程2 4.1自评估启动2 4.2制定数据出境计划2 4.3评估数据出境计划的合法正当和风险可控3 4.4评估要点及方法3 4.5评估报告3 4.6检查修正3 5评估要点3 5.1合法正当3 5.2风险可控4 5.2.1概述4 5.2.2个人信息属性评估要点4 5.2.3重要数据属性评估要点4 5.2.4发送方数据出境的技术和管理能力5 5.2.5数据接收方的安全保护能力6 5.2.6数据接收方所在国家或区域的政治法律环境7 附录A重要数据识别指南8 附录B个人信息和重要数据出境安全风险评估方法19 参考文献23 前言 本标准按照GB/T1.1-2009的规则起草。 本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本标准起草单位： 本标准主要起草人： 引言 近年来，随着互联网的蓬勃发展，数据流动无处不在。数据流动所产生的经济价值和社会价值凸显，这一过程中的安全风险也随之增加，国家安全、社会公共利益、个人隐私受到严重威胁，防范数据泄露和滥用所产生的风险日益紧迫。 本标准规定了数据出境安全评估流程、评估要点、评估方法等内容，网络运营者按照本指南对其向境外提供的个人信息和重要数据进行安全评估，发现存在的安全问题和风险，及时采取措施，防止个人信息未经用户同意向境外提供，损害个人信息主体合法利益，防止国家重要数据未经安全评估和相应主管部门批准存储在境外，给国家安全造成不利影响。 信息安全技术数据出境安全评估指南 1范围 本标准对个人信息和重要数据出境安全评估的工作要求、方法流程、评估内容和结果判定进行了规范。 本标准适用于网络运营者开展的个人信息和重要数据出境安全评估工作，也适用于行业主管或监管部门对网络运营者开展个人信息和重要数据出境安全评估进行的指导、监督等工作。 网信部门、行业主管或监管部门依职权开展的个人信息和重要数据出境安全评估，可参考本标准。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T25069-2010《信息安全技术术语》 GB/TAAAA《信息安全技术个人信息安全规范》 3术语和定义 下列术语和定义适用于本文件。 3.1 网络运营者networkoperator 本标准所指网络运营者，是指网络的所有者、管理者和网络服务提供者。 3.2 数据data 本标准中所称数据是网络运营者在中华人民共和国境内运营中收集和产生的电子形式的个人信息 和重要数据。 3.3 个人信息personalinformation 以电子或者其他方式记录的能够单独或与其他信息结合识别自然人个人身份或者反映特定自然人活动情况的各种信息，包括但不限于自然人的姓名、出生日期、身份证号码、通信通讯联系方式、个人生物识别信息、住址、账号密码、财产状况、位置和行为信息等。 3.4 个人敏感信息sensitivepersonalinformation 一旦泄露、非法提供或滥用可能危害人身和财产安全、损害个人名誉和身心健康、导致歧视性待遇等的个人信息。 3.5 重要数据importantdata 与国家安全、经济发展，以及社会公共利益密切相关的数据，具体范围参照附录A。 3.6 数据出境datacross-bodertransfer 将在中华人民共和国境内收集和产生的电子形式的个人信息和重要数据，提供给境外机构、组织、个人的一次性活动或连续性活动。 注：境外数据经由中华人民共和国中转，未经任何变动或加工处理的情形不属于数据出境。 3.7 数据出境安全风险riskofdatacross-borderstransfer 数据出境及再转移后被泄露、毁损、篡改、滥用等可能对国家安全、社会公共利益、个人合法利益 带来的风险。 3.8 提供provide 网络运营者主动向境外机构、组织或个人提供数据，或通过其他途径发布数据的行为，包括其用户使用网络运营者提供的产品或服务的功能，向境外机构、组织或个人提供数据的行为。 注：网络运营者提供已经被依法公开披露的数据除外。 3.9 自评估selfassessment 网络运营者依照国家法律法规和有关标准的规定，对数据出境组织开展安全评估活动。 3.10 数据脱敏处理datadesensitization 网络运营者对某些敏感数据通过脱敏规则进行数据变形处理，实现对敏感隐私数据的可靠保护。 3.11 数据保护能力dataprotectioncapability 网络运营者在数据的存储、处理、传输过程中确保数据安全的能力。 4评估流程 4.1自评估启动 网络运营者应在如下情况启动自评估： a）产品或服务涉及向境外机构、组织或个人提供数据的； b）已完成数据出境安全评估的产品或业务所涉及的数据出境，在目的、范围、类型、数量等方面发生较大变化、数据接收方变更或发生重大安全事件的。 4.2制定数据出境计划 网络运营者应首先制定数据出境计划，计划的内容包括但不限于： a)数据出境目的、范围、类型、规模； b)涉及的信息系统； c)中转国家和地区（如存在）； d)数据接收方及其所在的国家或地区的基本情况； e)安全控制措施等。 4.3评估数据出境计划的合法正当和风险可控 数据出境安全评估首先评估数据出境计划的合法性和正当性；数据出境活动不具有合法性和正当性，不得出境。在此基础上再评估数据出境计划是否风险可控，有效避免数据出境及再转移后被泄露、损毁、篡改、滥用等风险。具体流程如图1。 图1数据出境安全评估原理 4.4评估要点及方法 网络运营者需按照本标准第5章中的评估要点进行自评估，评估方法参考附录B；经评估，出境安全风险为极高或高的，个人信息和重要数据不得出境。 4.5评估报告 网络运营者在完成对数据出境计划的评估后，应形成评估报告，评估报告应至少保存5年。 4.6检查修正 如数据出境计划不满足合法正当要求，或经评估后不满足风险可控的要求，网络运营者可修正数据出境计划，或采用相关措施降低数据出境风险，并重新开展自评估。 注：可用于降低数据出境安全风险的措施包括但不限于：精简出境数据内容、使用技术措施处理数据降低敏感程度、提升数据发送方安全保障能力、限定数据接收方的处理活动、更换数据保护水平更高的接收方、选择政治法律环境保障能力较高地区的数据接收方等。在进行相应调整后，可重新对数据出境进行安全风险评估。 5评估要点 5.1合法正当 数据出境计划应同时满足合法性和正当性的要求： a)合法性包括： 1）不属于法律法规明令禁止的； 2）符合我国政府与其他国家、地区签署的关于数据出境条约、协议的； 3）个人信息主体已授权同意的，危及公民生命财产安全的紧急情况除外； 4）不属于国家网信部门、公安部门、安全部门等有关部门依法认定不能出境的。 b)正当性包括： 1）网络运营者在合法的经营范围内从事正常业务活动所必需的； 2）履行合同义务所必需的； 3）履行我国法律义务要求的； 4）司法协助需要的； 5）其他维护网络空间主权和国家安全、社会公共利益、保护公民合法利益需要的。 5.2风险可控 5.2.1概述 评估数据出境计划的风险可控，应综合考虑出境数据的属性和数据出境发生安全事件的可能性： a)数据属性： 1）个人信息的属性，包括数量、范围、类型、敏感程度和技术处理情况等； 2）重要数据的属性，包括数量、范围、类型和技术处理情况等。 b)数据出境发生安全事件的可能性: 1）发送方数据出境的技术和管理能力； 2）数据接收方的安全保护能力、采取的措施； 3）数据接收方所在国家或区域的政治法律环境。 5.2.2个人信息属性评估要点 5.2.2.1类型和敏感程度 应识别个人信息中所包含的信息类型，并判断其涉及的个人敏感信息的数量。 5.2.2.2数量 应评估所涉及的个人信息主体数量以及所涉及的主要人群的群体特征，当数据出境涉及的个人信息主体数量达到或超过一定量级，或涉及某一特定群体时，个人信息会出现数据汇集后的衍生价值。 5.2.2.3范围 应评估出境个人信息范围是否符合最小化原则： a)向境外传输的个人信息应与出境目的相关的业务功能有直接关联。直接关联是指没有该信息的参与，相应功能无法实现； b)向境外自动传输的个人信息频率应是与数据出境目的相关的业务功能所必需的最低频率； c)向境外传输的个人信息数量应是与数据出境目的相关的业务功能所必需的最低数量。 5.2.2.4技术处理情况 应对个人信息技术处理情况进行评估，具体包括： a)是否使用技术措施对个人信息进行了脱敏处理； b)脱敏效果是否有效可靠，达到了合理程度的不可逆。 5.2.3重要数据属性评估要点 5.2.3.1类型 应评估重要数据类型，评估是否包含核设施、化学生物、国防军工、人口健康等领域数据，大型工程活动、海洋环境以及敏感地理信息数据、关键信息基础设施的系统漏洞、安全防护等网络安全信息等出境后出现泄露或滥用等情形，将对国家安全和社会公共利益产生严重的影响的重要数据。 5.2.3.2数量 应评估重要数据出境数量，重要数据数量响其所蕴含的社会、经济价值，数量越大，发生泄漏、披露或滥用时，造成的国家安全危害和社会公共利益风险越大。 5.2.3.3范围 重要数据范围应符合最小化原则： a)向境外传输的数据应与出境目的相关的业务功能有直接关联。直接关联是指没有该信息的参与，相应功能无法实现； b)向境外自动传输的数据频率应是与数据出境目的相关的业务功能所必需的最低频率； c)向境外传输的数据数量应是与数据出境目的相关的业务功能所必需的最低数量。 5.2.3.4技术处理情况 应对重要数据技术处理情况进行评估，具体包括： a)是否使用技术措施对重要数据进行了脱敏处理； b)脱敏效果是否有效可靠，达到了合理程度的不可逆。 5.2.4发送方数据出境的技术和管理能力 5.2.4.1管理制度保障能力 a)安全管理制度: 1）具备数据出境安全管理体系，包括安全策略、管理制度、出境操作流程等； 2）安全策略管理文件中包含总体目标、重要数据的范围、出境原则、出境安全总体框架等； 3）各项数据出境安全管理制度中，应该覆盖数据的数量、范围、类型及其敏感程度的等内容； 4）对个人信息应体现分级的数据出境安全操作流程，包括出境流程、后续安全保障等； 5）对重要数据实施严格的出境安全操作流程，包括出境流程、后续安全保障等。 b)人员管理机制: 1）指定专职人员，应在组织内部指定专门的数据出境安全管理人员，并确保其履行相应职责，包括但不限于：数据出境转移的审计、合规管理、评估报告的编写与提交、配合主管部门监督检查、处理有关纠纷等； 2）建立人员培训机制，应在组织内部建立人员培训机制，确保被培训人员达到培训要求，可以进行数据出境转移相关工作。 c)与数据接收方签订合同，内容应包括： 1）建立数据安全审计机制，制定审计要求，按照审计要求开展审计工作； 2）配合网络运营者或个人信息主体对数据出境活动进行合理调查； 3）除法律规定外，在未获得网络运营者的授权以及个人信息主体知晓并同意前提下，数据接收方不得对数据进行处理、披露及再转移； 4）采用适当的技术安全措施以保障数据的保密性和完整性。 d)审计机制： 1