(一)明确传输的是否为受监管的特殊数据信息,如:
1)个人信息数据,则:
个人信息出境前达量必须进行安全评估:
1.处理个人信息达到100万人;
2.向境外提供超过10万人以上个人信息;
3、累计向境外提供超过1万人以上个人敏感信息;
2)重要数据,出境前需要进行安全评估:
重要数据界定:
1.《网络安全法》的规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据以境内存储为原则,确需出境的,需要进行安全评估。
2.的《汽车数据安全管理若干规定(试行)》,其中第三条[6]明确例举了构成汽车行业重要数据的数据,例如重要敏感区域的地理信息、人员流量、车辆流量数据,车辆流量、物流等反映经济运行情况的数据等。
3.国家互联网信息办公室于2021年11月14日发布的《网络数据安全管理条例(征求意见稿)》中列举:
(1)未公开的政务数据、工作秘密、情报数据和执法司法数据;(2)出口管制数据,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据;(3)国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等;(4)工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据;(5)达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据;(6)国家基础设施、关键信息基础设施建设运行及其安全数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据;(7)其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。
(二)数据信息出境:并不代表境内数据处理者对数据的义务的终结。处理者应有境外数据情况清晰的了解和把控,负有报告义务。
参考《网络数据安全管理条例(征求意见稿)》第四十条的规定,向境外提供个人信息和重要数据的数据处理者,应当在每年1月31日前编制数据出境安全报告,向设区的市级网信部门报告上一年度以下数据出境情况:(一)全部数据接收方名称、联系方式;(二)出境数据的类型、数量及目的;(三)数据在境外的存放地点、存储期限、使用范围和方式;(四)涉及向境外提供数据的用户投诉及处理情况;(五)发生的数据安全事件及其处置情况;(六)数据出境后再转移的情况;(七)国家网信部门明确向境外提供数据需要报告的其他事项。
(二)核实第三方数据来源的合法性、正当性(前期安全尽调、要求第三方签订承诺书、保证书等):
1)《数据安全法》第三十二条的规定,任何组织、个人收集数据,都必须采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。
2)《数据安全法》第五十一条的规定,窃取或者以其他非法方式获取数据,开展数据活动排除、限制竞争,或者损害个人、组织合法权益的,按照有关法律、行政法规的规定处罚,从而进一步援引至《网络安全法》、《刑法》、《反垄断法》、《个人信息保护法》等规定。
(三)设立数据安全管理制度,采取技术和必要措施保障数据传输安全。
网络安全等级保护认证,采取数据分类分级管理、风险评估、监测预警和应急处置等数据安全管理各项基本制度;
1)数据分级分类:网络安全标准实践指南——数据分类分级指引(征求意见稿)
分类:
a)个人信息:一般个人信息;敏感个人信息
b) 公共数据;
c) 法人数据;
2)数据出境安全评估:无论数据处理者的数据出境活动是否触发安全评估申报的要求,其在向境外提供数据前均应事先开展数据出境风险自评估。—《数据出境安全评估办法(征求意见稿)》
(1) 合法、正当、必要原则。数据出境的目的、范围、方式等的合法性、正当性、必要性。
(2) 境外接收方的数据保护水平。境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规规定和强制性国家标准的要求。
(3) 总体风险。出境数据的数量、范围、种类、敏感程度,出境中和出境后泄露、篡改、丢失、破坏、转移或者被非法获取、非法利用等风险。
(4) 数据安全和个人信息权益保障。数据安全和个人信息权益是否能够得到充分有效保障。
(5) 订立数据出境相关合同。数据处理者与境外接收方订立的合同中是否充分约定了数据安全保护责任义务。
(四)发生数据安全事件的报告义务
根据《数据安全法》第二十九条的规定,开展数据活动应当加强风险监测,在发现数据安全缺陷、漏洞等风险时,应当立即采取处置措施;发生数据安全事件时,应当按照规定及时告知用户并向有关主管部门报告。
《数据安全管理办法》第三十五条,即发生个人信息泄露、毁损、丢失等数据安全事件,或者发生数据安全事件风险明显加大时,网络运营者应当立即采取补救措施,及时以电话、短信、邮件或信函等方式告知个人信息主体,并按要求向行业主管监管部门和网信部门报告。
(五)遇域外执法时的先行报告义务
根据《数据安全法》第三十六条规定,境外执法机构要求提供数据的请求,非经中华人民共和国主管机关批准,我国境内的组织、个人不得提供。
《数据安全法》第四十八条第二款规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。
