全方位筑牢数字安全长城,数据跨境2022年9月1日迎新规
2022-7-21 0:00:00浏览量:853编辑:管理员来源:天畅
近年来,随着数字经济的蓬勃发展,数据跨境活动日益频繁,数据处理者的数据出境需求快速增长。明确数据出境安全评估的具体规定,是促进数字经济健康发展、防范化解数据跨境安全风险的需要,是维护国家安全和社会公共利益的需要,是保护个人信息权益的需要。
7月21日,国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。
滴滴回应:诚恳接受,全面自查,认真整改
2021年7月9日,国家网信办再发通知下架“滴滴企业”等25款App,理由是存在严重违法违规收集个人信息问题。数据安全与个人信息保护,是这场监管风暴的核心关键词,更是当前国家间实力博弈的重要战场。
据滴滴IPO(首次公开募股)招股书显示,滴滴目前用户总量近5亿,国内出行业务日均交易量达2500万次,掌握日活跃量1.5亿用户的行程、订单等信息,甚至还有车内录音等数据。这些信息不仅涉及用户个人,还包含道路、交通等外部敏感内容,给数据安全带来重大隐患。
行程数据加上特定时序,可以刻画出一个自然人的身份、经济、社交等各方面的画像,维度丰富,数据丰盈。2015年《滴滴研究院:通过大数据监测国家各部委出行规律,公安部最忙中纪委最低调》一文就对国家核心部门的人员出行规律进行了公布,包括中央纪委、公安部,国土资源部、外交部、教育部、商务部等等,报告基于实时生成的移动出行大数据,得出了各部委的流量。滴滴出行掌握的交通数据中,有部分信息属于绝密级别,亦有许多属于长期秘密。
▲各部委的出行数据特点
随着经济全球化进程的不断加速,“互联网+”、云计算等业务的高速发展,由此产生的数据出境显著激增,在促进国家信息技术创新和数字经济产业发展的同时,也伴随着国家安全、产业安全以及个人隐私权益等问题。近年来,“斯诺登事件”、“棱镜门事件”、“Google爱尔兰案”等网络与数据安全事件频繁发生。
数据蕴含利益的多样性和交织性,涉及个人、社会和国家,这给一国的数据跨境监管政策带来了挑战。滴滴主要在中国经营,所有数据首先存储在本地。但是,在美国上市将不可避免地涉及数据出境问题,面临潜在风险。
滴滴掌握的交通大数据信息包含真实坐标的地理道路数据,道路交通流量,人口产业聚集区,人员流动轨迹等,这些数据可以使隐藏在数据中的人类行为模式被识别出来,通过自由的数据跨境流动,利用大数据分析,他国可能对我国的社会状况进行精准画像,并有针对性地开展情报收集和政策研判等工作,威胁我国国家安全。
在部分商业场景下如跨境资产配置中,个人数据出境是获得便捷优质金融服务的前置条件。然而,数据跨境流动与个人信息保护相伴相生,如果缺乏针对“跨境数据自由流动”的合理监管,将无法有效保障个人的隐私安全。
数据集合是大数据分析的前提和对象,通过大数据分析,企业可以有的放矢地调整产能,有针对性地开展市场营销和产品投放,进行产品性能提升,可为企业带来商业价值和利益。这部分重要数据的出境可能会给本国企业、经济发展带来挑战。
2022年7月7日,国家网信办发布《数据出境安全评估办法》,于2022年9月1日起正式实施。《数据出境安全评估办法》旨在落实《网络安全法》、《数据安全法》、《个人信息保护法》的规定,规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,切实以安全保发展、以发展促安全。
国家网信办有关负责人在就《数据出境安全评估办法》相关问题答记者问时指出:“《数据出境安全评估办法》所称数据出境活动主要包括:
-
一是数据处理者向境外提供重要数据。
-
二是关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息。
-
三是自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息。
-
四是国家网信部门规定的其他需要申报数据出境安全评估的情形。
数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下事项:
-
一是数据出境的目的、范围、方式等的合法性、正当性、必要性。
-
二是境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求。
-
三是出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险。
-
四是数据安全和个人信息权益是否能够得到充分有效保障。五是数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务。
-
六是遵守中国法律、行政法规、部门规章情况。
-
七是国家网信部门认为需要评估的其他事项。
-
一是事前评估,数据处理者在向境外提供数据前,应首先开展数据出境风险自评估。
-
二是申报评估,符合申报数据出境安全评估情形的,数据处理者应通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
-
三是开展评估,国家网信部门自收到申报材料之日起7个工作日内确定是否受理评估;自出具书面受理通知书之日起45个工作日内完成数据出境安全评估;情况复杂或者需要补充、更正材料的,可以适当延长并告知数据处理者预计延长的时间。
-
四是重新评估和终止出境,评估结果有效期届满或者在有效期内出现本办法中规定重新评估情形的,数据处理者应当重新申报数据出境安全评估。已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,在收到国家网信部门书面通知后,数据处理者应终止数据出境活动。数据处理者需要继续开展数据出境活动的,应当按照要求整改,整改完成后重新申报评估。
数据出境风险自评估属于企业自查手段,应由企业自行或委托专门团队负责执行。数据出境安全评估属于行政监管手段,由省级网信部门受理,向上申报后由国家网信部门组织完成,评估过程中会引入网信办指定支撑单位作为数据出境评估的专门机构。
《数据出境安全评估办法》第五条、第八条分别对自评估及安全评估的重点事项进行了列举说明:
数据的价值正随着信息全球化共享与数据跨境流动数量的不断增长,而受到世界各国的关注与重视。不论是出于对国民个人信息安全的考虑,抑或是对国家社会安稳的考量,各国政府都在不断出台相关的政策对数据安全进行规范和掌控。因此,对于企业,尤其是跨国企业和外资企业等涉及数据出境的数据处理者,应当密切关注数据安全与数据出境相关法律法规,并及时完善企业自身的数据合规体系建设,结合企业当下处境与自身需求,对收集的数据进行合规评估与整改。必要时应当与专业的安全公司合作,对自身数据进行系统、全面的评估、整改与管理,来确保企业自身数据出境的安全与合规。
《数据出境安全评估办法》的颁布,标志着我国数据出境制度法律框架在基础性搭建完成后,在实践落地有了重要的进步。《数据出境安全评估办法》为数据处理者开展数据出境安全评估提供了确定性的法律依据。总体来看,《数据出境安全评估办法》的出台既为企业搭建数据合规体系提供了指引,也为数据出境安全评估工作确定了方向,为我国数据出境监管规则的全方位构建和完善提供有力保障。