数据是国家基础性战略资源,重要数据一旦遭到泄露、非法获取、非法利用,可能危害国家安全、经济运行以及社会稳定,我国高度重视数据安全,数据安全领域法规日渐完善,其中数据出境是监管部门及全球化企业关注的重点领域。2023年9月28日,网信办起草了《规范和促进数据跨境流动规定(征求意见稿)》(后文简称《规定》)调整企业数据出境成本,并对企业执行数据出境安全评估申报或标准合同备案中遇到的问题进行回应。
根据公开资料整理后发现已有21家企业完成数据出境安全评估、个人信息出境标准合同备案,本文将结合国务院文件《关于进一步优化外商投资环境 加大吸引外商投资力度的意见》(后文简称《外商24条》)、网信办文件《规定》分析过审案例。
目前共有21家企业成功进行数据出境备案。广东网信办6月19日披露“累计收到220余份申报材料,其中仅44份申报材料通过完备性查验并上报国家网信办”,目前广东仅3家企业通过数据出境安全评估并对外公布,通过率接近1%。
各地网信办借鉴北京网信办针对国航等企业的办事经验,辅以举行座谈会了解企业情况,使数据出境安全评估流程更加通畅。《数据出境安全评估办法》整改期于2023年2月28日结束,整改期结束后,数据出境安全评估流程较2022年及23年年初明显加速。
《规定》第二条:未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
《规定》实施后企业需进行备案的数据量级或将下降,不会再出现类似北京现代需要对“全业务场景”数据进行数据出境备案的情况,仅需备案相关部门发布的重要数据及个人信息。备案数据量级的减少,将促使监管部门审批速度加快。
21家企业中外资占比超60%,21家企业主体中13家为外资企业。
国务院文件《外商24条》第五条第十四项提出“探索便利化的数据跨境流动安全管理机制”,具体措施为“建立绿色通道”、“可自由流动的一般数据清单”(简称为正面清单)、“建设服务平台”。
《规定》第七条提出自贸区可自行制定“负面清单”,“负面清单”外数据出境,可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。未来或将形成外商“正面清单”、自贸区“负面清单”双清单并行情况。
企业应根据自身性质关注《外商24条》落地情况、自贸区对《规定》的跟进情况。
目前21家企业中7家企业通过北京网信办提交资料并过审,远超各地网信办,江浙沪粤等经济发达沿海城市紧随其后。
《外商24条》点名支持北京、天津、上海、粤港澳大湾区试点执行“建立绿色通道”、“正面清单”、“建设服务平台”三大措施;《规定》提出自贸区可制定“负面清单”。随着三大措施和负面清单的实践,上述四大地区与自贸区的过审量或将出现快速增长。部分数据出境需求较强,且对“正面清单”、“负面清单”受益明显的企业,或将搬迁至落地上述措施的城市、自贸区。
过审企业主要为制造业、汽车业的跨国企业,两者总计10家,占比近半。
目前21家企业中,19家企业采用数据出境安全评估通过审核,2家采用个人信息出境标准合同备案通过审核。数据出境安全评估通过案例远高于个人信息出境标准合规备案,数据出境安全评估对达标企业为强制性要求,且发布和实施早于《个人信息出境标准合同办法》。
数据出境安全评估与个人信息出境标准合规备案适用情况与提交材料有一定差异。数据出境安全评估需提交材料多,流程耗时长,在满足法规要求的前提下有一定的灵活性;个人信息出境标准合同的条文相对固定。
目前规范数据跨境处理,完善数据管理体系,遵守法规要求进行数据出境备案是各大企业的当务之急。
爱加密致力于数据流动安全的防护与治理,帮助企业防范化解数据的安全风险与违规风险。为解决企业数据出境备案痛点,推出爱加密数据出境合规治理平台,可帮助企业持续有序地治理出境业务。
产品遵循“事前评估、事中监测、事后留档”的治理思路,满足《规定》第十条核心要求“强化事前事中事后监管”!事前对出境资产进行合规风险评估,事中对出境行为变化进行实时监测并将风险事件纳入处置中心,事后可依据实际情况决定是否采纳治理或再次进行评估,生成报告会存档以便后期进行对比分析和整改。
提供出境资产管理 、出境前风险自评估 、风险治理以及持续监测等功能、从而达到规范数据出境活动,构建全流程的数据跨境流动安全治理体系,满足合规监管要求。
产品采用自动化接口发现技术,聚合归类网络流量中大量的URL,提取参数配置, 实现出境场景识别、出境资产梳理。
通过在线问卷方式,实现对出境资产合规自评估,并根据评估结果生成数据出境风险评估报告及根据风险点生成合规风险事件。
对数据合规事件以及风险监测事件进行治理并进行跟踪。根据合规评估结果,形成数据安全基线指标,持续对数据出境行为进行风险监测。
爱加密拥有数据事实/数据安全监测能力,可识别新增出境接口,监测出境接口风险、出境数据类型及出境国家范围、出境事件、敏感数据出境行为等。
爱加密作为国内知名的移动信息安全综合服务提供商,将持续加强技术创新与研究,持续关注数据安全领域最新监管要求与企业痛点。从法律、技术、规则等角度继续提升数据流动治理能力,帮助企业有效防范化解风险,为数字经济高质量发展保驾护航。
京公网安备
11010802025310号