今日(9月1日)起,《数据出境安全评估办法》正式实施。(以下简称《办法》)。《办法》是落实《网络安全法》《数据安全法》《个人信息保护法》有关数据出境规定的重要举措,目的是进一步规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动。
在此之际,销售易梳理了关于《办法》中的几个重点,希望能为企业提供帮助。
一、哪些情况属于数据出境?
图片来源:思维世纪
▶ 情形一 物理转移
数据处理者收集在境内运营所产生的数据,并将数据传输存储至境外。需要注意的是,出“境”是指从内地到其他国家或地区,在我国“数据出境”的语境下,港澳台地区属于境外范围。
▶ 情形二 境外访问
境内运营所产生的数据虽然存储在境内,但境外的组织和个人可以访问、查看、调用(公开信息、网页访问除外)。
二、企业数据出境的典型场景有哪些?
▶ 境内企业使用境外企业提供的云计算产品及服务
境内企业因业务发展需要采购业务系统,但该系统是由境外某公司提供的SaaS产品,且未在中国境内建立数据中心。企业在日常工作中需要使用该系统收集个人信息,系统会将这些个人信息存储到国外的服务器上。
▶ 境外企业在境内开展业务收集使用境内用户信息
企业在境外注册,虽在境内无实体经营,但在境内开展市场营销活动,在营销过程中会收集境内客户的个人信息,比如邮箱、电话、地理位置等,上传至境外营销系统分析,从而有针对性地进行产品推荐和销售。
▶ 境外集团公司收集使用境内数据
这种情况常见于跨国公司。跨国公司在国内设立分支机构,负责中国地区的业务经营,同时受到境外集团总部管理。应总部要求,需要提供其经营过程中产生的联系人信息、产品销售数据、员工信息等,以供境外集团总部进行分析、处理,从而进行统一决策。
▶ 企业出海业务中,将境内数据汇集到境外做数据流转
为了拓展海外市场,国内企业在境外开展业务。基于业务原因,将境内含有大量个人信息的业务数据传输到海外业务系统用于业务流程运转、人群属性分析、广告营销等,以快速开拓境外市场。
三、数据出境前,企业需做好数据出境安全评估
数据出境安全评估流程图,图片来源于销售易
企业在数据出境前,需要根据《办法》规定,做好风险自评估。而当企业符合以下条件,在自评估后,需要向国家网信部门发起数据出境安全评估请求,评估通过后数据才能出境。
相关名词解释
个人信息:电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。如:姓名、电话、邮箱、位置信息等。
重要数据:以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。如:医疗健康数据、地理测绘数据等。
敏感信息:敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
关键信息基础设施:公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
四、数据出境安全评估落地难点
《办法》出台虽然让“数据出境”靴子落地,明确了数据出境安全评估流程和办法,但由于《办法》刚刚开始实施,对于企业来说要落地安全评估,实现数据出境,仍旧有一定难度,主要体现在以下几个方面:
1、“重要数据”应由各地区、各主管政府部门认定“是否可能危害国家安全、公共利益”,而不是“是否对公司的业务经营至关重要”。但目前国家级的《信息安全技术 重要数据识别指南》正式版还未发布,仅有征求意见稿,各行业性的数据分类分级指南大多也在摸索阶段,如何区分“重要数据”仍有待进一步明确。
2、缺少具备经验的第三方数据出境风险评估机构。
3、安全评估的结果具备不确定性,若最终判定为不通过,则不得开展数据出境活动。
4、正常安全评估流程所需时间较长(至少3个月)。对于不符合本办法规定但已开展数据出境活动的企业,应当自本办法施行之日(9月1日)起6个月内完成整改,截止日期为2023年2月28日。
5、数据出境安全评估并非“一劳永逸”,当以下情形发生变化时仍需继续整改,并重新申报评估:
(a)已申报安全评估的数据出境业务情形发生变化;
(b)境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化;
(c)发生不可抗力情形;
(d)数据处理者或者境外接收方实际控制权发生变化;
(e)数据处理者与境外接收方法律文件变更等影响出境数据安全的;
(f)被网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的。
6、通过数据出境安全评估的结果有效期为2年,自评估结果出具之日起计算。有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申报评估。
销售易建议:
1对于已经或者将要开展数据出境业务的企业,要充分评估相关业务数据出境的必要性,综合考虑时间、人力、通过风险等因素。
2聘请第三方专业风险评估机构对数据出境安全评估流程进行指导,提前开展全面的自评估工作,发现问题,及时整改。
3从《办法》的落地实施可以看出,在相关法规逐步完善的情况下,企业要提前做好准备,转变意识,注重对数据来源进行梳理,对现有数据进行自查。
五、《办法》实施,销售易如何助力企业数据合规
企业数据出境安全评估包含了对企业软件供应商的安全评估。而CRM作为沉淀企业业务数据、客户数据的系统,其安全隐私合规能力至关重要。
销售易作为国内CRM头部厂商,严格遵守法律法规,保证所提供产品和服务安全、隐私、合规。销售易在中国境内设立了多个数据中心,积极响应个保法中个人信息应遵循“境内存储”的基本原则,帮助企业规避数据出境可能带来的风险。
此外,作为个人信息处理者的受托人角色,销售易承诺国内数据中心不会跨境进行数据传输,符合个保法及本办法的要求。同时,为了助力国内企业合规出海,销售易在新加坡、印度尼西亚、欧洲陆续建立数据中心,以满足客户数据本地化存储要求。
为了提升销售易安全合规建设专业性及对法律法规变化的敏感性,销售易通过与第三方专业机构合作的形式,为产品和服务的合规性提供监督和指导。
销售易与四大会计事务所合作,以包含我国在内的全球多个主流国家和地区的隐私保护法为依据,对产品进行差距分析和改造,并对PII(个人身份信息)进行梳理,确保合规。
同时销售易还聘请国内数据安全领域知名律师事务所开展数据合规尽职调查,积极推进数据安全制度、个人信息保护、数据合规工作落地。
随着《办法》实施,涉及数据出境的企业(如跨国企业的国内分支机构等),应当严格遵守《办法》的相关规定,规避数据出境所带来的风险。
放眼全球,越来越多的国家和地区都意识到数据资产的重要性,纷纷加快立法的脚步,保障数据安全和隐私安全。
随着立法完善,各国之间的立法差异显现,企业数据出境将面临更多未知的挑战。
可以看到的是,越来越多的跨国企业为确保合规、尊重本土客户,选择用国产CRM软件替代国际品牌,将数据存储在境内,以规避数据出境可能带来的风险。
了解销售易服务客户的最佳安全实践、了解更多合规话题可查看《销售易信任白皮书》
