短讯！《数据出境安全评估办法》正式发布

(相关资料图)

中国银行保险报网讯 【记者 苏洁】

7月7日，国家互联网信息办公室公布《数据出境安全评估办法》（以下简称《办法》），自2022年9月1日起施行。5年前，《网络安全法》正式生效，大家虽对关键信息基础设施这个概念还比较陌生，但都对附随其的数据本地化要求及出境安全评估非常关注。《数据出境安全评估办法》正式发布，并且安全评估要求要在半年整改期内落地。

同盾科技总法律顾问兼安全负责人赵冉冉表示，在接下来6个月整改期里，对于企业有四个方面特点：第一，为申报安全评估的个人信息出境规模积累设定了非常明确的时间节点。《办法》使用个人信息主体数量作为单位，这个单位定义清晰，计算结果统一；进一步明确了累计的周期，这样企业就可以非常精确地识别出哪些需要申报安全评估。第二，已经开展的数据出境在6个月内完成整改，保障了已有业务的连续性，避免一些重要跨境服务被打断。第三，将“合同”扩大到“法律文件”，在一定程度上减轻实现要求的难度，扩大可被安全评估纳入评估范围的材料类型，也能解决一些诸如科研机构合作等一般没有签订合同的数据出境场景的评估问题。第四，进一步完善安全评估申报流程，特别是加入了复评程序，为企业侧提出不同意见提供了一条可能的渠道。

赵冉冉指出，数据出境的定义是比较宽泛的：只要是将境内业务场景采集的关于境内人和事的数据传输至境外，就属于数据出境；不管是转让，还是委托处理等，并不影响对数据出境的认定；传输至境外服务器属于跨境，被境外所查看也属于跨境。

同时，赵冉冉表示，如果是境内业务与境外业务关联比较单一的企业，尚可以通过问卷的方式，根据场景、目的逐项梳理数据出境情况；如是业务场景较为复杂的全球化企业，则更应借助技术手段识别数据的跨境传输，以此避免遗漏。识别出数据跨境传输的基础后，可以进一步判断传输所涉数据的属性：包括个人信息的，应关注连续两个公历年内已发生或可能发生的传输所涉个人信息主体人数；通过对数据的属性、数据传输行为特征及数据接收方利用及再利用等因素的判断，确定数据中是否包含重要数据。根据以上工作的结论，一方面判断哪些数据跨境传输需要安全评估申报，另一方面可以充分利用6个月整改期进行调整，个人信息能少传就少传，重要数据能不传就不传，这样除了可以降低企业侧的合规成本外，更重要的是可以切实避免数据出境造成负面影响的风险，并可以节约宝贵的行政资源。

此外，赵冉冉强调，还需要对各个评估流程进行整合。以个人信息为例，根据《个人信息保护法》的相关要求，个人信息出境要进行个人信息保护影响评估。相关个人信息主体达到一定规模，需要进行安全评估申报；企业要进行自评估；监管侧要进行安全评估。

“这三种评估思路相仿：一方面考虑数据处理行为的影响，另一方面考虑通过与影响相匹配的技术手段和管理措施降低风险发生的可能。就个人信息出境这种行为，在设计过程中可以将个人信息保护影响评估作为基础，在自评估阶段加入新规的一些特殊要求作为评估点，并在此基础上输出自评估报告。此外，企业侧可以在自评估的基础上，再增加安全评估的国家个人信息保护水平等宏观评估点，从而可以更好地预测安全评估结果，保障自身业务的合规性及连续性。”赵冉冉指出。

关键词： 安全评估 个人信息 技术手段