我国数据出境制度2.0时代下的企业合规应对(下篇)

2024-04-09 15:44

本文主要是介绍我国数据出境制度2.0时代下的企业合规应对(下篇),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

三、企业的合规应对

(一)理清数据出境制度适用的三个层次

如前文所述,《数据跨境新规》及其配套文件不仅创建了数据出境的第四条路径,而且将某些情形直接从源头排除在“数据出境”适用范围之外。为了方便企业设计合规方案,我们根据所对应法律义务的不同将所有数据跨境传输行为归纳为如下三个层次。

图片

图一:数据出境制度2.0适用的三个层次

1.数据出境事前监管机制(“三条路径”)

如果企业的数据跨境传输行为符合《数据跨境新规》第七条和第八条所述范围,该企业需要履行数据出境事前监管机制下的义务,即安全评估、标准合同、认证“三条路径”。

2.数据出境事中事后监管机制(“第四条路径”)

如果企业的数据跨境传输行为符合《数据跨境新规》第五条和第六条所述范围,该企业无需履行任何前置的行政监管手续,但是仍然需要履行“三大基本法”下对数据跨境传输这一个处理行为的基本义务,如个人信息的单独同意、一般数据的技术等必要措施(参见《数据跨境新规》第十条和第十一条)。企业需要注意的是,上述基本义务还包括《个保法》第三十八条规定:“个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准”。

3.不构成“数据出境”的跨境传输

如果企业将数据传输至境外,但是未落入我国数据出境安全管理制度的监管范畴,即不属《第二版指南》第一条中规定的“数据出境行为”,则企业理论上无需履行对应数据跨境传输这一个处理行为的基本义务,例如,某企业将几十个客户的非敏感个人信息存在境外自己服务器上,无需取得这些客户的单独同意。当然,如上文所述,《数据跨境新规》第四条的“数据过境”情形是否应划归属于这个层次值得讨论。

(二)分析影响层次归类的几个重要因素

在实务中,企业在判断其数据跨境传输行为具体应被归类到如上三个层次中具体哪一个时,会面临几个重要因素的理解,我们逐一分析如下。

1.重要数据的认定

企业在判断是否适用数据出境事前监管机制时,其中重要数据的认定是重中之重。《数据跨境新规》第二条免除了数据处理者的重要数据认定义务,但是其有一个前提条件,即处理者需要履行重要数据的“识别申报”义务。例如,2024年2月7日天津市商务局、中国(天津)自由贸易试验区管委会联合发布的《中国(天津)自由贸易试验区企业数据分类分级标准规范》中便要求“企业根据本规范开展内部数据分类分级工作,形成企业数据目录,明确本企业重要数据,并向天津自贸试验区网络数据安全工作主管部门报送重要数据目录”。如果企业疏于履行该义务,导致相关数据未能被相关部门或地区获悉,进而也可能无法告知或者公布其为重要数据,以至于是否会造成其无法享受《数据跨境新规》第二条赋予的“举证责任倒置”的风险,值得企业关注。

2.豁免条件的适用

如上文所述,《数据跨境新规》第五条创建了第四条数据出境路径,即对之前三条路径的豁免。其所列的四个情形可以分为两大类:场景豁免(为合同所必需、为人力资源管理所必需、为生命财产所必需)和数量豁免(十万以下)。

(1)场景豁免中的“确需”的认定

我们建议企业在评估其出境行为是否满足场景豁免中的“确需”时,与数据出境的“必要性”评估进行一定区分,因为前者的门槛相对于后者稍高一些。场景豁免中的“确需”与《个保法》十三条“取得个人的同意”以外的合法性基础类似,仅限于“客观必需”,且与其所对应的三个具体场景(合同、人力资源管理、生命财产)构成紧密且不可或缺的一部分。而数据出境的“合法性、正当性、必要性”中“必要性”评估则是向境外提供数据的基本要求。这一点从《个保法》第三十八条表述体现:“个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一……”可见,“必要性”评估不仅是该条款项下前三条路径(数据出境事前监管机制),而且是第四条路径(场景豁免)的适用前提条件。如果将场景豁免中的“确需”门槛下调至与数据出境的“必要性”评估一致,那么在未达到场景豁免中的“确需”门槛时,则意味着数据出境的“必要性”评估也无法满足,最终导致《个保法》第三十八条项下的四条路径都无法走通。这显然不符合《个保法》第三十八条与场景豁免制度设计的本意。这也可以从数据出境安全评估申报的实践中看出,《安评办法》要求处理者在开展数据出境风险自评估时应当评估数据出境的“合法性、正当性、必要性”,如果未取得个人的单独同意,需要处理者满足《个保法》十三条第(二)至(七)款的同意豁免条件。在安全评估申报的成功案例中,就存在通过了“必要性”审查但因未满足《个保法》十三条的同意豁免条件而通过单独同意取得合法性基础的情况。

(2)数量豁免中的“敏感个人信息”认定

数量豁免条款,即《数据跨境新规》第五条第(四)款,的关键在于“敏感个人信息”的认定,因为如果企业出境的个人信息虽然在十万人以下,但只要其中含有敏感个人信息,则无法适用数量豁免,而必需走数据出境事前监管机制。然而,虽然《个保法》和《GB/T 35273-2020《信息安全技术 个人信息安全规范》以列举方式来明确“敏感个人信息”的范围,但是在实践中,特别是不同行业和领域中,“敏感个人信息”的名称和字段纷繁复杂。鉴于《数据跨境新规》并未给予“敏感个人信息”与“重要数据”一样的“举证责任倒置”待遇,企业在分析其出境数据时不要忽视“敏感个人信息”的认定,滥用数量豁免。

理清上述几个重要因素有助于企业准确将其出境情形归类到三个不同的制度层次。但是,在数据出境制度2.0版本下,准确归类仍然面临各类条件多维度交叉适用的复杂情况,即在主体方面处理者是否构成关键信息基础设施运营者;在数据种类方面数据是否构成重要数据、个人信息、敏感个人信息;出境情形是否适用场景豁免;出境情形是否适用数量门槛等等。为了方便企业准确适用数据出境制度2.0下的四条路径,我们上述所有条件体现在一张分析流程图上(如下)。

图片

图二:数据出境四条路径分析流程图

注1:图中红色六边形图标系数据出境事前监管机制

注2:图中绿色圆形图标系系数据出境事中事后监管机制

(三)履行所对应层次的合规义务

企业将其跨境传输行为准确归类到三个不同的制度层次之后,就需要考虑并履行其所适用的合规义务。

如果企业适用数据出境事前监管机制,应尽快按照法规要求启动安全评估或标准合同/认证的相关专项工作,摒弃观望态度,因为我国数据出境制度从1.0过渡到2.0,已经完成了初步探索阶段,正式步入全面实施阶段,监管部门将会“强化事前事中事后全链条全领域监管“。

如果企业适用数据出境事中事后监管机制,应注意其虽然无需通过事前监管机制,但仍需履行一些合规义务,准备一些法律文件,如告知、单独同意、个人信息影响评估报告等。另外,我们建议企业在准备个人信息影响评估报告时应当充分论证和分析其《数据跨境新规》第五条的适用,特别是上文中几个重要因素,为今后可能面临的监管检查或合规审计做好举证准备。为了帮助企业更好地理解该机制下需要履行的合规义务,我们将数据出境四条路径主要合规文件列表如下。

表一:数据出境四条路径主要合规文件一览表

图片

最后,如果企业的数据跨境传输行为不属于《第二版指南》第一条中规定的“数据出境行为”,则无需履行与“出境”这一处理活动相关的任何合规义务,仅需关注其他处理活动(如收集、存储、加工、删除、公开等)项下义务即可。

四、结语

数据跨境流动的法律规制一直是各个国家网络安全和数据保护的重点关注领域。其因繁杂的业务场景、变化的地缘政治、诸多的利益平衡等因素,也给各国的制度设计带来巨大挑战。我国数据出境安全管理制度建设自《网安法》出台以来一直稳步推进,经历了一个从理论研究、立法规制、实践探索、优化调整的过程,逐渐走向完善和成熟。

对于监管部门来说,在此过程中一个贯穿始终的核心问题是,如何能在有限的行政资源情况下找到发展与安全之间最佳平衡点。数据出境安全管理制度2.0版本给了我们一个阶段性答案,就是监管部门将适当减少事前监管机制的适用情形,同时增加事中事后监管机制的适用情形,进而将部分有限的行政资源从“事前”海量的申报和备案工作中解放出来,转而投入到“事中事后”全链条全领域监管工作中去,形成审批与处罚并重、发展和安全兼顾的监管态势,最终在全社会营造一个长期可持续的合规环境。

对于企业来说,虽然在数据出境制度2.0时代更多情况下无需通过事前监管机制来完成跨境传输,但是也失去了事前监管机制给企业合规工作带来的确定性。如果说现阶段“重要数据”的识别需要企业与相关部门地区相互配合、共同努力,那么事中事后监管机制的适用及其后果则将完全由企业自身来完成和承担。将来企业在数据跨境传输场景中,不仅要接受网信部门的监管,还可能要面对境内外上市、合规审计、投资并购、数据资源入表等等多个场景下的相关方(如证券监管机构、审计机构等)提出的一系列“灵魂拷问”:该行为是否构成“数据出境”?如果构成,是否适用数据出境事前监管机制?如果不适用,所依据的理由是否充分准确?如果充分准确,是否完成了事中事后监管机制的合规义务等等?这将是企业在我国数据出境安全管理制度2.0时代下需要面临和应对的新挑战。

来源:CNCERT国家工程研究中心

这篇关于我国数据出境制度2.0时代下的企业合规应对(下篇)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/888560

相关文章

大模型研发全揭秘:客服工单数据标注的完整攻略

在人工智能(AI)领域,数据标注是模型训练过程中至关重要的一步。无论你是新手还是有经验的从业者,掌握数据标注的技术细节和常见问题的解决方案都能为你的AI项目增添不少价值。在电信运营商的客服系统中,工单数据是客户问题和解决方案的重要记录。通过对这些工单数据进行有效标注,不仅能够帮助提升客服自动化系统的智能化水平,还能优化客户服务流程,提高客户满意度。本文将详细介绍如何在电信运营商客服工单的背景下进行

基于MySQL Binlog的Elasticsearch数据同步实践

一、为什么要做 随着马蜂窝的逐渐发展,我们的业务数据越来越多,单纯使用 MySQL 已经不能满足我们的数据查询需求,例如对于商品、订单等数据的多维度检索。 使用 Elasticsearch 存储业务数据可以很好的解决我们业务中的搜索需求。而数据进行异构存储后,随之而来的就是数据同步的问题。 二、现有方法及问题 对于数据同步,我们目前的解决方案是建立数据中间表。把需要检索的业务数据,统一放到一张M

关于数据埋点,你需要了解这些基本知识

产品汪每天都在和数据打交道,你知道数据来自哪里吗? 移动app端内的用户行为数据大多来自埋点,了解一些埋点知识,能和数据分析师、技术侃大山,参与到前期的数据采集,更重要是让最终的埋点数据能为我所用,否则可怜巴巴等上几个月是常有的事。   埋点类型 根据埋点方式,可以区分为: 手动埋点半自动埋点全自动埋点 秉承“任何事物都有两面性”的道理:自动程度高的,能解决通用统计,便于统一化管理,但个性化定

Hadoop企业开发案例调优场景

需求 (1)需求:从1G数据中,统计每个单词出现次数。服务器3台,每台配置4G内存,4核CPU,4线程。 (2)需求分析: 1G / 128m = 8个MapTask;1个ReduceTask;1个mrAppMaster 平均每个节点运行10个 / 3台 ≈ 3个任务(4    3    3) HDFS参数调优 (1)修改:hadoop-env.sh export HDFS_NAMENOD

使用SecondaryNameNode恢复NameNode的数据

1)需求: NameNode进程挂了并且存储的数据也丢失了,如何恢复NameNode 此种方式恢复的数据可能存在小部分数据的丢失。 2)故障模拟 (1)kill -9 NameNode进程 [lytfly@hadoop102 current]$ kill -9 19886 (2)删除NameNode存储的数据(/opt/module/hadoop-3.1.4/data/tmp/dfs/na

异构存储(冷热数据分离)

异构存储主要解决不同的数据,存储在不同类型的硬盘中,达到最佳性能的问题。 异构存储Shell操作 (1)查看当前有哪些存储策略可以用 [lytfly@hadoop102 hadoop-3.1.4]$ hdfs storagepolicies -listPolicies (2)为指定路径(数据存储目录)设置指定的存储策略 hdfs storagepolicies -setStoragePo

Hadoop集群数据均衡之磁盘间数据均衡

生产环境,由于硬盘空间不足,往往需要增加一块硬盘。刚加载的硬盘没有数据时,可以执行磁盘数据均衡命令。(Hadoop3.x新特性) plan后面带的节点的名字必须是已经存在的,并且是需要均衡的节点。 如果节点不存在,会报如下错误: 如果节点只有一个硬盘的话,不会创建均衡计划: (1)生成均衡计划 hdfs diskbalancer -plan hadoop102 (2)执行均衡计划 hd

【Prometheus】PromQL向量匹配实现不同标签的向量数据进行运算

✨✨ 欢迎大家来到景天科技苑✨✨ 🎈🎈 养成好习惯,先赞后看哦~🎈🎈 🏆 作者简介:景天科技苑 🏆《头衔》:大厂架构师,华为云开发者社区专家博主,阿里云开发者社区专家博主,CSDN全栈领域优质创作者,掘金优秀博主,51CTO博客专家等。 🏆《博客》:Python全栈,前后端开发,小程序开发,人工智能,js逆向,App逆向,网络系统安全,数据分析,Django,fastapi

烟火目标检测数据集 7800张 烟火检测 带标注 voc yolo

一个包含7800张带标注图像的数据集,专门用于烟火目标检测,是一个非常有价值的资源,尤其对于那些致力于公共安全、事件管理和烟花表演监控等领域的人士而言。下面是对此数据集的一个详细介绍: 数据集名称:烟火目标检测数据集 数据集规模: 图片数量:7800张类别:主要包含烟火类目标,可能还包括其他相关类别,如烟火发射装置、背景等。格式:图像文件通常为JPEG或PNG格式;标注文件可能为X

6.1.数据结构-c/c++堆详解下篇(堆排序,TopK问题)

上篇:6.1.数据结构-c/c++模拟实现堆上篇(向下,上调整算法,建堆,增删数据)-CSDN博客 本章重点 1.使用堆来完成堆排序 2.使用堆解决TopK问题 目录 一.堆排序 1.1 思路 1.2 代码 1.3 简单测试 二.TopK问题 2.1 思路(求最小): 2.2 C语言代码(手写堆) 2.3 C++代码(使用优先级队列 priority_queue)