设为首页|收藏本站|
发帖
登录 注册
西兔生活网 华人生活 移民签证 《数据出境安全评估办法》正式施行 以经验谱写行动指南 ...
回复 发帖
返回列表 发新帖
开启左侧

[问答] 《数据出境安全评估办法》正式施行 以经验谱写行动指南

[复制链接]
2363 0
弼观音 发表于 2022-9-7 13:20:03 | 只看该作者 打印 上一主题 下一主题
 
2020年7月7日,国家互联网信息办公室公布的《数据出境安全评估办法》(以下简称《办法》)于今日(2022年9月1日)起正式施行。《办法》是落实《网络安全法》、《数据安全法》、《个人信息保护法》有关数据出境规定的重要举措,目的是进一步规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动。
云集至经过多个数据出境自评估项目实践(了解案例请阅读此文:网信办公布《数据出境安全评估办法》 云集至已为多客户完成数据出境安全)总结出六项用户在数据出境安全评估前期最为关心的共性问题:1) 数据从大陆流转至香港,是否属于数据出境?2) 在同一个跨国公司内部,数据从境内子公司流转至境外母公司,是否属于数据出境?3) 境外收集、产生的数据,流转至境内,是否受限于《办法》?4) 向境外合作方开放应用系统API接口,是否属于向境外提供数据?5) 使用亚马逊、微软等公有云提供的SAAS服务是否有数据出境隐患?6) 企业如何判定是否需向网信办申报数据出境评估?
数据出境问答

境外,是指中国边境(国界)以外的所有国家与地区和中国以内政府尚未实施行政管辖的地域。境外范围包括:港澳台和其他外国国家和地区。
数据出境,是指由中国境内运营中收集和产生的数据流转至境外。“向境外提供数据”是指无论直接提供数据,还是提供获取数据的接口,或是将数据存储在境外,都属于向境外提供数据。常见场景包括:

  • 将承载数据的U盘、移动硬盘等存储介质运送至境外
  • 通过邮箱发送数据文件;通过提供API接口供境外应用系统调用
  • 给境外合作方提供远程协助接口供其获取数据
  • 使用物理主机部署在境外的云服务等
对于开篇所提及的6项问题解答如下:
境外,是指中国边境(国界)以外的所有国家与地区和中国以内政府尚未实施行政管辖的地域。境外范围包括:港澳台和其他外国国家和地区。
数据出境,是指由中国境内运营中收集和产生的数据流转至境外。“向境外提供数据”是指无论直接提供数据,还是提供获取数据的接口,或是将数据存储在境外,都属于向境外提供数据。常见场景包括:

  • 将承载数据的U盘、移动硬盘等存储介质运送至境外
  • 通过邮箱发送数据文件;通过提供API接口供境外应用系统调用
  • 给境外合作方提供远程协助接口供其获取数据
  • 使用物理主机部署在境外的云服务等
对于开篇所提及的6项问题解答如下:

《数据出境安全评估办法》正式施行 以经验谱写行动指南 第1张图片

图1 数据出境安全评估适用性自评流程

企业行动第一步

1、梳理境外合作企业
通常,如果企业当前的项目合作、业务合作方有境外企业时,大概率会涉及数据出境。所以,首先应理清企业当前所有境外合作企业名单目录,以及对应合作业务所涉及部门、人员、合同合约、应用系统等信息,判断当前是否存在数据出境场景。常见的合作企业模式包括:企业集团、战略联盟、业务外包、供应链及维保服务等。

《数据出境安全评估办法》正式施行 以经验谱写行动指南 第2张图片
2、分析数据出境途径数据出境途径分为物理出境、网络出境两大方向,物理出境主要是指线下运送数据载体如U盘、硬盘、磁带、图纸书本等介质至境外;网络出境是指线上通过网络应用技术通过电子邮件、API接口、即时通讯、远程协助等方式传输数据文件至境外。
本文主要围绕网络出境方向展开,常见基于网络技术数据出境途径包括:1)给境外电子邮箱发送邮件,提供境内数据。2)业务外包人员从境外VPN远程接入境内网络,获取境内数据。3)对境外应用系统开放API接口,获取境内数据。4)总服务器部署在境外,境内子服务器或境内客户端向总服务器定期同步境内数据。5)通过即时通讯软件向境外合作伙伴发送境内数据。6)境外人员远程协助接入境内网络,获取境内数据。
(注意:数据中转、数据窃取或数据泄漏等恶意将境内数据流转至境外等属于违法犯罪行为的,不在本文讨论范围内。)
3、识别出境数据类型本阶段主要目标是分析每条数据出境途径上的出境数据的类型是否包含个人信息、重要数据。对于出境场景中涉及的应用系统首先执行数据资产盘点、梳理与分类,形成本组织数据资产清单。根据地区、部门的具体规定,初步判定本组织数据资产中的个人信息、重要数据。必要时,可使用自动化技术工具分析结构化数据、半结构化数据及非结构化数据,根据数据特征、关键字段、关联规律等识别其中包含的个人信息、重要数据。
个人信息:是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
重要数据:是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。包括:科学技术研究、国家地理信息、国防军工信息、国民经济信息等。
4、估算出境数据总量本阶段主要估算自上年1月1号起,累计向境外提供的个人信息总量。包括是否超过10万人的个人信息,是否超过1万人的个人敏感信息。
个人敏感信息:是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下,14岁以下(含)儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息。
5、数据出境保护义务
通过以上四步骤,可以得知当前是否适用数据出境安全评估申报。当存在数据出境场景时,依据《办法》第九条相关要求,需与境外接收方订立合同,充分约定数据安全保护责任义务,应当包括但不限于以下内容:

《数据出境安全评估办法》正式施行 以经验谱写行动指南 第3张图片

表1 数据出境合同条款参考表

6、数据出境流向监控为了落实《办法》第三条要求:“数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。”可围绕涉及出境的应用系统,针对每个出境路径建立专项数据出境流向监控系统,动态持续监测出境数据类型、数量,并形成审计记录备查,通过数据出境流向监控可实现:
1)绘制数据出境流向图,数据出境途径、关键节点、境外接收方等一目了然。
2)识别未备案的境外接收方,用于判定是否属于未知的出境行为,并及时告警。
3)智能识别出境数据类型,汇总统计出境数据总量,将出境数据纳入内部监管范畴。
4)结合月度专项分析报告,形成内部威慑力,规范数据出境行为。

《数据出境安全评估办法》正式施行 以经验谱写行动指南 第4张图片

图 2数据出境流向概览示意图

《数据出境安全评估办法》正式施行 以经验谱写行动指南 第5张图片

图 3数据数据分析统计示意图

结束语

本文结合云集至用户真实场景的实践经验,分享企业应对《办法》实施的第一步行动方案,当判定需向网信办申报数据出境安全评估时,将进入企业行动第二步:数据出境风险自评估。云集至提供数据出境安全评估服务,通过专业人员及技术工具,已协助多家企业完成数据出境风险自评估,如有数据出境相关疑问和需求,请与我们联系。​


上一篇:“可靠”保姆骗老人120000元养老金
下一篇:重组频频出手,跨越发展可期----运鸿集团硅矿业及电商产业 ...
@



1.西兔生活网 CTLIVES 内容全部来自网络;
2.版权归原网站或原作者所有;
3.内容与本站立场无关;
4.若涉及侵权或有疑义,请点击“举报”按钮,其他联系方式或无法及时处理。
举报
回复

使用道具 举报

 
返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

弼观音白金会员

0关注

6粉丝

455帖子

热门图文
热门帖子
排行榜
活跃网友
返回顶部快速回复上一主题下一主题返回列表APP下载手机访问
Copyright © 2016-2028 CTLIVES.COM All Rights Reserved.  西兔生活网  小黑屋| GMT+8, 2024-5-12 04:21