实习记者 张晓艺
经过多年酝酿,9月1日,国家网信办出台的《数据出境安全评估办法》正式生效。
《办法》落实了数据出境的安全评估路径,对该路径的适用范围、评估重点、申报材料、申报流程等重要问题作出了具体说明。
安永华南区咨询服务主管合伙人胡立基对界面新闻大湾区频道记者表示:“《数据出境安全评估办法》的实施,宏观来看是数据合规领域三大基础法律《网络安全法》《数据安全法》《个人信息保护法》中数据出境路径的落地,有助于数字经济发展;从企业的角度来看,可以更有依据、更安心地规划建设数字化项目,处理数据隐私和跨境问题。”胡立基长期专注信息安全和数字化风险,也是安永华南区网络安全服务负责人。
数据跨境流动问题对大湾区来说尤为关键。深圳零一学院讲座教授、执行院长、数据安全专家相韶华教授曾表示,从制度层面来说,粤港澳大湾区包含一个国家、两种制度、三个关税区、三种货币,在这种情况下,数据跨境流动是难点,也是提升大湾区竞争力的关键点。
据胡立基观察,近几年大湾区数据安全、合规方面的需求特别多。整体而言,目前湾区企业明白自己有合规义务,也愿意投入;但是不同企业对相关法律的理解不同,投入力度不同,能支配的资源也不同。
对于一些进入内地发展业务的港澳企业来说,合规和安全问题会需要特别留意。由于业务场景有交叉,加上港澳和内地的法规有所不同,企业往往需要在内地构建本地合规的能力,解读法律法规、管理数据资产,满足安全控制、开展数据跨境合规工作,同时企业也需要满足数据本地化留存。这意味着资源的大量投入。
“大型公司对合规的重视程度往往比较高,也有能力投入大量资源;而一些中小型企业,比如一些刚来内地发展的小型科创企业,未来可能需要更多支持协助其在内地健康发展。”
数据合规,指的是组织必须遵守关于组织、管理和存储数据的法律法规、业务规范和道德规范;这是现阶段数据流通交易以及产业界最为关注的问题。由于数据具有诸多区别于传统要素的特性,数据生命周期的各个环节(收集、存储、使用、加工、传输、提供、公开)都存在诸多风险。
其中,随着全球数字经济的发展,数据跨境流动的风险愈发凸显。
据北京炼石网络技术有限公司2021年发布的《数据安全与个人信息保护技术白皮书》,数据跨境流动风险主要集中于传输、存储和使用三个环节。传输上,过程可能被中断,数据也面临被截获、篡改、伪造等风险;存储上,容易出现数据泄露等问题;使用上,数据所在国政策和法律存在差异甚至冲突,导致数据所有者和使用者权限模糊,存在数据滥用和合规风险。
竞天公诚律师事务所合伙人周杨曾对《21世纪经济报道》表示,从安全监管角度出发,我国由三个方面考察企业数据跨境的合规性:数据处理者身份,即是否为关键信息基础设施运营者;数据类型,即是否为重要数据或个人信息;数据处理活动类型,即是否涉及国家安全。
根据《中华人民共和国个人信息保护法》,个人信息跨境有三种主要合规路径:第一种是本次落地的安全评估办法,用于传输信息量较大、关键敏感的数据出境;第二种是标准合同,适合轻量、非敏感个人数据出境;第三种是个人信息保护认证,主要适用未达安全评估标准的、关联公司之间发生的个人信息出境活动。
在这三种路径中,安全评估具有优先性。北京师范大学网络法治国际中心执行主任吴沈括在接受《财新》采访时表示,只有在企业不符合评估要求的情况之下,才可以选择包括标准合同出境在内的其他方式。
目前,《个人信息保护法》所规定的三种个人信息跨境合规路径都有可参考的规范和标准,其中个人信息保护认证制度还未由网信部门正式发布,这也是目前企业数据合规工作的一个难点。
评论