2024年数据出境安全合规白皮书
AI智能总结
2024 数据出境安全合规白皮书 快页信息技术有限公司 前言 随着全球化和数字化的发展,数据已经成为重要的生产要素和商业资源。数据出境作为企业开展跨国业务、拓展国际市场的重要手段,已经成为企业发展的必经之路。然而,数据出境也带来了诸多安全和合规挑战,如何确保数据安全、合法、有效地出境已成为企业亟待解决的问题。 本白皮书旨在为企业在数据出境过程中提供全面的安全和合规指导,帮助企业了解数据出境的法律法规、标准要求以及最佳实践,从而降低数据出境风险,保障企业的商业利益和声誉。 本白皮书将详细介绍数据出境的背景和重要性、相关法律法规和标准要求、数据出境的风险和挑战、企业如何进行数据出境安全合规的自我评估、以及最佳实践和建议。希望通过本白皮书的发布,能够推动企业加强数据出境安全和合规管理,促进全球数字经济的健康发展。 本白皮书由快页信息技术有限公司数安实验室组织牵头,凭阑江苏实验室科技有限公司参与联合编制,参与编写人员有吴青松、杨焕烽、陈雨萱、陶国军等。 提示 本白皮书所附申请材料为截搞日(2024年3月25日)的最新版本,如有更新恕不另行通知,请以官方最新版为准。 本白皮书中所述内容可能会随着政策的更新,监管口径发生变化而改变,企业应当及时关注最新动态,本文不作为法律意见。 版权声明 数据出境安全合规白皮书权利归属于快页信息技术有限公司所有。未经许可,任何组织或个人不得将报告的全部内容或部分内容为营利目的出版、编辑、翻译、网络传播、转让或出售等方式使用。转载、摘编使用本白皮书文字或观点应注明来源。 目录 前言1 提示2 版权声明3 1数据出境安全合规背景概述6 1.1数据出境安全风险6 1.2数据出境法律框架7 1.3数据出境制度演进8 1.4数据出境监管现状8 2数据出境安全合规路径分析9 2.1数据出境合规三种路径9 2.2数据出境合规路径适用11 2.3数据出境合规路径比较13 3数据出境安全评估申报指南15 3.1适用范围15 3.2申报方式及流程16 3.3申报材料17 3.4咨询、举报联系方式18 3.5附件18 4个人信息出境标准合同备案指南19 4.1适用范围19 4.2备案方式19 4.3备案流程19 4.4咨询、举报联系方式21 4.5附件21 5个人信息保护认证指南22 5.1适用范围22 5.2认证依据22 5.3认证模式22 5.4认证实施程序22 5.5认证证书和认证标志23 5.6认证实施细则24 5.7认证责任25 5.8咨询联系方式25 5.9附件25 6数据出境安全合规申报案例26 6.1数据出境安全评估申报案例27 6.2个人信息出境标准合同备案案例27 6.3个人信息保护认证案例27 附录A数据出境安全评估申报附件28 附录B个人信息出境标准合同备案附件41 附录C个人信息保护认证附件60 附录D常见实务问题Q&A70 附录E各地网信部门联系方式81 附录F快页数据安全能力介绍83 F.1数据安全服务能力83 F.1.1数据安全整体规划服务83 F.1.2数据分级分类服务83 F.1.3数据合规评估服务84 F.1.4数据风险评测服务84 F.1.5持续安全运营服务84 F.1.6应急响应及溯源服务85 F.1.7数据出境申报服务85 F.2数据安全工具能力86 F.2.1数据安全管控平台86 F.2.2数据跨境监测系统87 参考文献88 1数据出境安全合规背景概述 国家安全是一个多领域交叉的综合性安全问题。我国除了重视国土安全、军事安全等传统领域的国家安全外,也同样重视数据领域的国家安全。在立法方面,为维护数据领域的国家安全,规范数据处理活动,我国最高立法机关于2021年6月10日出台了《数据安全法》。在执法方面,2021年以来国家互联网信息办公室(以下简称“网信办”)接连对“滴滴出行”“运满满”“货车帮”“BOSS直聘”等在美国上市的互联网公司,实施国家安全审查。至此,数据出境对国家安全的重大影响,逐步引起社会各界的关注。数据出境是数据处理者将在国内收集、产生的重要数据和个人信息,提供给境外主体的行为。数据特有的科技属性与流动隐蔽性,以及数据的主动出境和被动出境,都会给国家安全治理带来挑战。 随着全球化和数字化进程的加速,企业和个人的数据生成量呈爆炸性增长。在这些数据中,很多都是敏感或机密信息,如客户信息、商业策略、研发成果等。这些数据的泄露或被不当使用,可能会给企业带来巨大的经济损失和声誉损害。因此,对于涉及数据出境的企业来说,保障数据安全不仅是合规需求,更是业务发展的基础。 1.1数据出境安全风险 数据出境安全风险是指在数据传输或存储过程中面临的安全威胁和挑战,主要表现在以下几个方面: 1、合规风险 各国对于数据出境的法律规定各有不同,且不断更新。企业如果不遵守相关法规,可能会面临罚款、诉讼甚至被取缔的风险。 2、技术风险 在数据传输和存储过程中,如果没有足够的加密和隐私保护技术,可能会被黑客攻击、拦截或窃取。此外,云服务、大数据等新技术应用也带来了新的安全挑战。 3、业务风险 如果企业对数据出境缺乏足够的风险意识和管理手段,可能会在业务合作过程中泄露敏感信息,给企业带来损失。 为了应对这些风险,企业需要采取一系列安全措施来确保数据出境的安全性,包括加强立法和合规管理、采用先进的数据加密和隐私保护技术、建立完善的数据管理制度、提高员工的安全意识等。同时,政府和监管机构也需要加强数据安全监管和国际合作, 共同推动全球数据安全治理的健康发展。 1.2数据出境法律框架 数据出境的法律框架是指管理和规范数据传输和流动的法律法规和政策体系。由于数据的跨境流动涉及国家安全、个人隐私、商业秘密等多个方面,因此各国政府和监管机构需要制定相应的法律框架来确保数据的安全和合规。 在中国,数据出境的法律框架主要包括以下几个方面: 1、《中华人民共和国网络安全法》:该法规定了网络信息保护的基本原则和要求,包括个人信息保护、关键信息基础设施保护等方面。其中,第三十七条明确规定了关键信息基础设施的运营者在境内运营中收集和产生的个人信息和重要数据应当在境内存储,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。 2、《中华人民共和国数据安全法》:该法规定了数据处理活动的安全和保密要求,保障国家数据安全。其中,第三十一条明确规定了关键信息基础设施的运营者在境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。 3、《数据出境安全评估办法》:该办法规定了中国数据出境安全评估的具体要求和程序。根据该办法,数据处理者向境外提供在境内运营中收集和产生的重要数据和个人信息的安全评估,适用本办法。法律、行政法规另有规定的,依照其规定。同时,该办法还规定了申报数据出境安全评估的具体情形和要求。 4、《个人信息出境标准合同规定》:该规定是为了保障个人信息在出境后的合法权益,规范个人信息出境活动。其中,个人信息处理者向境外提供个人信息前需进行个人信息保护影响评估。 此外,中国的数据出境法律框架还包括《网络安全审查办法》、《数据安全管理办法》等相关法律法规和政策文件,共同构成了中国数据出境的法律体系。 总体来说,中国数据出境的法律框架是在保障国家安全、个人隐私和商业秘密的基础上,规范数据的跨境流动和使用,促进数据合理、合法、合规地流通和应用。同时,通过加强国际合作和建立互信机制,推动全球数据安全治理的健康发展。 1.3数据出境制度演进 中国数据出境制度的沿革和演进可以大致分为以下几个阶段: 1、早期探索阶段(2010年以前):在这个阶段,我国开始意识到数据安全和隐私保护的重要性,但相关的法律法规和政策体系尚未建立。 2、初步建立阶段(2010-2015年):随着信息化和互联网的快速发展,我国开始制定和实施一系列与数据安全和隐私保护相关的法律法规和政策,如《全国人大常委会关于加强网络信息保护的决定》、《网络安全法》等。 3、逐步完善阶段(2016年至今):在这个阶段,我国进一步加强了对数据安全和隐私保护的监管,制定了一系列更加具体的政策和标准,如《数据安全法》、《个人信息保护法》等。同时,中我国还加强了与国际社会的合作,积极参与全球数据安全治理。 总体来说,中国数据出境制度的沿革和演进是一个逐步完善的过程,旨在加强数据安全和隐私保护,促进数字经济的健康发展。在这个过程中,我国还需要不断适应新的形势和挑战,加强立法和监管,提高国际合作水平,以应对日益复杂和严峻的数据安全威胁。 1.4数据出境监管现状 数据出境监管现状主要包括以下几个方面: 1、法律法规体系不断完善:我国近年来加强了对数据安全和隐私保护的法律法规建设,出台了一系列相关法律法规,如《网络安全法》、《数据安全法》、《个人信息保护法》等,为数据出境监管提供了更加完善的法律基础。 2、监管力度持续加强:我国对数据出境的监管力度不断加强,对违法违规行为加大了处罚力度,同时加强了对数据收集、存储、使用、加工、传输、公开等全流程、各环节的安全管理,提高了数据出境的整体安全水平。 3、监管技术不断创新:随着科技的不断进步,我国在数据出境监管中加强了对新技术的应用,如大数据分析、人工智能等,提高了监管的效率和准确性,同时也为数据的合规使用和安全管理提供了更加可靠的技术支持。 4、国际合作逐步深化:我国积极参与全球数据安全治理,与国际社会加强了合作与交流,共同打击跨国数据安全威胁,推动建立更加公正合理的国际数据治理体系。 2数据出境安全合规路径分析 数据出境安全合规路径分析是指对数据跨境流动的安全性和合规性进行全面评估和分析的过程。这一过程旨在确保数据在跨境传输和存储过程中得到充分保护,并符合相关法律法规的要求。 2.1数据出境合规三种路径 数据出境合规的三种路径包括:数据出境安全评估、个人信息出境标准合同和个人信息保护认证。 图1数据出境合规三种路径 其中,个人信息出境标准合同通常对应为《通用数据保护条例》(GeneralDataProtectionRegulation,简称GDPR)项下的SCC(StandardContractualClauses);个人信息保护认证通常对应为GDPR项下的BCRs(BindingCorporateRules)。 1、数据出境安全评估:根据《数据出境安全评估办法》,满足一定条件的数据处理者应当对出境数据进行安全评估。评估内容包括申报书、数据出境风险自评估报告、数据处理者与境外接收方拟订立的法律文件以及安全评估工作需要的其它材料。 1)依据:《网络安全法》《数据安全法》《个人信息保护法》《数据出境安全评估办法》《数据 出境安全评估申报指南(第二版)》等 2) 3) 适用数据类型:数据(含个人信息) 触发条件(任何一种):(1)出境数据中含有重要数据;(2)数据处理者为关键信息基础设 施运营者(简称“CIIO”);(3)数据处理者为处理100万人以上个人信息的数据处理者;(4) 表1数据出境安全评估路径 自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者;(5)国家网信部门规定的其他需要申报数据出境安全评估的情形。 4)申报提交材料:(一)申报书;(二)数据出境风险自评估报告;(三)数据处理者与境外接收方拟订立的法律文件;(四)安全评估工作需要的其他材料。 5)申报流程:省级网信部门应当自收到申报材料之日起5个工作日内完成完备性查验。申报材料齐全的,将申报材料报送国家网信部门;申报材料不齐全的,应当退回数据处理者并一次性告知需要补充的材料。国家网信部门应当自收到申报材料之日起7个工作日内,确定是否受理并书面通知数据处理者。 6)评估时限:国家网信部门应当自向数据处理者发出书面受理通知书之日起45个工作日内完成数
