数出境安全评估办法全解
国数出境巨需求法矛盾已久2022年7月7日国家互联网信息办公室发布数出境安全评估办法(简称评估办法)国数出境制度翻开崭新篇章鉴文件企业较重解读篇幅较长笔者次调整文章容序先监态度企业应措施笔者整理数安全评估流程图调整文章前半部分帮助需企业快速解数出境安全评估制度半部分数出境安全评估中涉重概念部分细节进行讨
()监
评估办法版征求意见稿次正文公布历时八月速度较般立法快反映国数出境合规工作紧迫性数出境安全评估制度成国监部门理数出境行力抓手
需注意评估方法数出境方进行评估工作时间限晚完成时间2023年3月1日期间仅完成数梳理分类分级制度搭建域外接收方法律环境网络安全环境调等耗时较长工作国家网信部门等机关预留评估时间总体讲企业合规压力较
外次正式稿删情况复杂者补充更正材料延长时间限制(具体图)意味着企业果时完成数安全评估涉数出境业务受影响时间存极确定性企业需进行数出境安全评估应留足时间快开始(数出境安全评估征求意见稿正文全文文起发表公众号位读者需查)
(二)数出镜安全评估流程图
(三)企业具体应措施
1 通数资产梳理分类分级建立企业部数监制度数梳理分类分级企业建立流动数监制度基础企业现行拟进行业务托中涉数进行梳理根数类型等数进行分类分级分类分级结果建立企业部控制制度具体包括数访问权限设计部安全理制度安全事件应急预案等制度
2 做业务拆分工作数存储数出境相结合合理利业务拆分帮助企业通网络安全审查数出境安全评估等工作目前企业针数强监新思路影响企业业务正常运行情况出境必数数进行剥离保证数存储化举仅利企业降低合规成重利企业配合监求帮助企业利开展相关业务符合国数安全序流动监宗旨
3 做企业体项合规工作数出境境外接收方法律环境数安全环境进行职调查涉国数处理第三方设计项制度包括准备签订项法律文件方理措施技术措施进行调查确认时结果记录留存需配合监机构核查
(四)数出境安全评估点解读
()数出境定义根评估办法答记者问数出境活动包括:数处理者境运营中收集产生数传输存储境外二数处理者收集产生数存储境境外机构组织者访问者调
通述容进行纳评估办法中数出境两特点:第数境收集产生第二境外通物理层面传输存储接触数者通线方式进行访问调取种仅限物理数出境信息安全技术 数出境安全评估指南(征求意见稿)(简称评估指南)提(图)
笔者建议规定中数出境规定数出境安全评估工作中应严格评估办法中两特点进行理解
(二)评估办法适范围首先必须明确判断评估办法适范围第步确定数类型否仅限重数信息第二部判断数处理者否属规定中求特殊条件种判断方法仅数合规实务中先行数梳理联系发现涉国家秘密般营数等数类型做区处理
(1) 重数认定评估办法中第十九条规定重数指旦遭篡改破坏泄露者非法获取非法利等危害国家安全济运行社会稳定公健康安全等数
然述定义重数认定实务中直困扰企业难题目前数安全法确定重数目录务交区部门目前止汽车数安全理干规定(试行)做出回应汽车领域重数包括①军事理区国防科工单位县级政机关等重敏感区域理信息员流量车辆流量等数②车辆流量物流等反映济运行情况数③汽车充电网运行数④包含脸信息车牌信息等车外视频图数⑤涉信息体超10万信息⑥国家部门确定危害国家安全公利益者组织合法权益数
然目前止领域暂未列明重数目录企业(尤涉源金融等重行业企业)忽视重数识必性方面应积极区行业单位组织沟通确认企业否涉重数次通汽车行业重数目录根行业性质纳出定性定量结合方式进行认定例涉军事理区数反映济运行状况数均认定重数
(2) 关键基础设施者(简称CIIO)认定CIIO认定重数存样困境关键信息基础设施安全保护条例关键基础设施者认定交行业领域保护工作部门般敲门原帮助企业判断身否属CIIO企业收保护工作部门通知属CIIO
(3) 敏感信息处理首先敏感信息认定参信息安全技术 信息安全规范 GBT 35273—2020(简称安全规范)附录B容(图)
笔者认敏感信息认定应根场景具体分析例姓名涉疫情流调场景中认定敏感信息
次通改变信息颗粒度确认必性减少出境敏感信息数量降低企业合规成例国外母公司果需国子公司分公司员工体检结果否正常异常代详细体检结果
(4)100万10万1万认定次评估办法确认关数计算方式数计算方式非信息条数计算时10万信息1万信息需累计周期清零减轻部分中企业合规负担
(三)信息保护影响评估(PIA)数出境风险评估关系信息出境作保法明确规定应该进行PIA情形遇需进行数风险评估情形二者否应出具份报告目前观点认两者份报告笔者持保守态度通二者规定中容解(图)
造成原两法律文件保护法益倾性实践中数出境安全评估PIA部分工作容重合二者步进行保证两份报告均出具时避免企业外部第三方机构重复工作提高企业合规工作效率
(四)数安全评估求企业动态监体系评估办法求企业数出境程中出现情形变更影响出境安全情况应该重新申请安全评估意味着企业应根变化实时相关法律文件数出境安全评估等前期工作调整企业部动态数理规范程度提出更高求
通数出境安全评估结果效期2年评估结果出具日起计算效期届满需继续开展数出境活动数处理者应效期届满60工作日前重新申报评估
(五)企业数出境安全评估需重点关注容 根评估办法中根评估国家机关评估重点进行纳出
1 数出境合法性正性必性述三性数出境需首考虑素相关合规员忽视笔者文中企业应措施提企业应该首先考虑否影响正常业务情况进行数存储确出境必应充分进行合法性正性必性证
2 境外接收方数保护情况 境外数接收方调两方面方面接收方政策环境网络安全环境方面境外数接收方身理措施技术保证措施等否达中国相关规定 实务中境外属集团公司外境外接收方调常常涉跨境难度较时选择国际公认审计机构者跨国服务机构进行调查确保调性时注意相关报告进行留存配合监机构核查
3通数身进行分析确认数规模范围种类敏感程度出境中出境遭篡改破坏泄露丢失转移者非法获取非法利等风险
4数安全信息权益否够充分效保障根信息出境标准合规定(征求意见稿)(简称标准合(征求意见稿))相关容求境外接收方设立专门联系确保接受国监机关问询信息体求时国数处理者承担相应兜底务
5双方签订约束力法律文件正笔者评析标准合(征求意见稿)中观点数处理者境外接收方拟订立法律文件参考标准合相关容根企业身情况进行修改完善利帮助企业利面监通数安全影响评估
6规定认需评估事项
结语数出境安全评估制度确定国数出境格局发生变化国家求数安全序流动背景安全评估企业数出境带确定性加期发布标准合(征求意见稿)网络安全标准实践指南——信息跨境处理活动安全认证规范国数出境路径逐渐明悉附:数出境安全评估办法正文征求意见稿全文
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
国数出境巨需求法矛盾已久2022年7月7日国家互联网信息办公室发布数出境安全评估办法(简称评估办法)国数出境制度翻开崭新篇章鉴文件企业较重解读篇幅较长笔者次调整文章容序先监态度企业应措施笔者整理数安全评估流程图调整文章前半部分帮助需企业快速解数出境安全评估制度半部分数出境安全评估中涉重概念部分细节进行讨
()监
评估办法版征求意见稿次正文公布历时八月速度较般立法快反映国数出境合规工作紧迫性数出境安全评估制度成国监部门理数出境行力抓手
需注意评估方法数出境方进行评估工作时间限晚完成时间2023年3月1日期间仅完成数梳理分类分级制度搭建域外接收方法律环境网络安全环境调等耗时较长工作国家网信部门等机关预留评估时间总体讲企业合规压力较
外次正式稿删情况复杂者补充更正材料延长时间限制(具体图)意味着企业果时完成数安全评估涉数出境业务受影响时间存极确定性企业需进行数出境安全评估应留足时间快开始(数出境安全评估征求意见稿正文全文文起发表公众号位读者需查)
(二)数出镜安全评估流程图
(三)企业具体应措施
1 通数资产梳理分类分级建立企业部数监制度数梳理分类分级企业建立流动数监制度基础企业现行拟进行业务托中涉数进行梳理根数类型等数进行分类分级分类分级结果建立企业部控制制度具体包括数访问权限设计部安全理制度安全事件应急预案等制度
2 做业务拆分工作数存储数出境相结合合理利业务拆分帮助企业通网络安全审查数出境安全评估等工作目前企业针数强监新思路影响企业业务正常运行情况出境必数数进行剥离保证数存储化举仅利企业降低合规成重利企业配合监求帮助企业利开展相关业务符合国数安全序流动监宗旨
3 做企业体项合规工作数出境境外接收方法律环境数安全环境进行职调查涉国数处理第三方设计项制度包括准备签订项法律文件方理措施技术措施进行调查确认时结果记录留存需配合监机构核查
(四)数出境安全评估点解读
()数出境定义根评估办法答记者问数出境活动包括:数处理者境运营中收集产生数传输存储境外二数处理者收集产生数存储境境外机构组织者访问者调
通述容进行纳评估办法中数出境两特点:第数境收集产生第二境外通物理层面传输存储接触数者通线方式进行访问调取种仅限物理数出境信息安全技术 数出境安全评估指南(征求意见稿)(简称评估指南)提(图)
笔者建议规定中数出境规定数出境安全评估工作中应严格评估办法中两特点进行理解
(二)评估办法适范围首先必须明确判断评估办法适范围第步确定数类型否仅限重数信息第二部判断数处理者否属规定中求特殊条件种判断方法仅数合规实务中先行数梳理联系发现涉国家秘密般营数等数类型做区处理
(1) 重数认定评估办法中第十九条规定重数指旦遭篡改破坏泄露者非法获取非法利等危害国家安全济运行社会稳定公健康安全等数
然述定义重数认定实务中直困扰企业难题目前数安全法确定重数目录务交区部门目前止汽车数安全理干规定(试行)做出回应汽车领域重数包括①军事理区国防科工单位县级政机关等重敏感区域理信息员流量车辆流量等数②车辆流量物流等反映济运行情况数③汽车充电网运行数④包含脸信息车牌信息等车外视频图数⑤涉信息体超10万信息⑥国家部门确定危害国家安全公利益者组织合法权益数
然目前止领域暂未列明重数目录企业(尤涉源金融等重行业企业)忽视重数识必性方面应积极区行业单位组织沟通确认企业否涉重数次通汽车行业重数目录根行业性质纳出定性定量结合方式进行认定例涉军事理区数反映济运行状况数均认定重数
(2) 关键基础设施者(简称CIIO)认定CIIO认定重数存样困境关键信息基础设施安全保护条例关键基础设施者认定交行业领域保护工作部门般敲门原帮助企业判断身否属CIIO企业收保护工作部门通知属CIIO
(3) 敏感信息处理首先敏感信息认定参信息安全技术 信息安全规范 GBT 35273—2020(简称安全规范)附录B容(图)
笔者认敏感信息认定应根场景具体分析例姓名涉疫情流调场景中认定敏感信息
次通改变信息颗粒度确认必性减少出境敏感信息数量降低企业合规成例国外母公司果需国子公司分公司员工体检结果否正常异常代详细体检结果
(4)100万10万1万认定次评估办法确认关数计算方式数计算方式非信息条数计算时10万信息1万信息需累计周期清零减轻部分中企业合规负担
(三)信息保护影响评估(PIA)数出境风险评估关系信息出境作保法明确规定应该进行PIA情形遇需进行数风险评估情形二者否应出具份报告目前观点认两者份报告笔者持保守态度通二者规定中容解(图)
造成原两法律文件保护法益倾性实践中数出境安全评估PIA部分工作容重合二者步进行保证两份报告均出具时避免企业外部第三方机构重复工作提高企业合规工作效率
(四)数安全评估求企业动态监体系评估办法求企业数出境程中出现情形变更影响出境安全情况应该重新申请安全评估意味着企业应根变化实时相关法律文件数出境安全评估等前期工作调整企业部动态数理规范程度提出更高求
通数出境安全评估结果效期2年评估结果出具日起计算效期届满需继续开展数出境活动数处理者应效期届满60工作日前重新申报评估
(五)企业数出境安全评估需重点关注容 根评估办法中根评估国家机关评估重点进行纳出
1 数出境合法性正性必性述三性数出境需首考虑素相关合规员忽视笔者文中企业应措施提企业应该首先考虑否影响正常业务情况进行数存储确出境必应充分进行合法性正性必性证
2 境外接收方数保护情况 境外数接收方调两方面方面接收方政策环境网络安全环境方面境外数接收方身理措施技术保证措施等否达中国相关规定 实务中境外属集团公司外境外接收方调常常涉跨境难度较时选择国际公认审计机构者跨国服务机构进行调查确保调性时注意相关报告进行留存配合监机构核查
3通数身进行分析确认数规模范围种类敏感程度出境中出境遭篡改破坏泄露丢失转移者非法获取非法利等风险
4数安全信息权益否够充分效保障根信息出境标准合规定(征求意见稿)(简称标准合(征求意见稿))相关容求境外接收方设立专门联系确保接受国监机关问询信息体求时国数处理者承担相应兜底务
5双方签订约束力法律文件正笔者评析标准合(征求意见稿)中观点数处理者境外接收方拟订立法律文件参考标准合相关容根企业身情况进行修改完善利帮助企业利面监通数安全影响评估
6规定认需评估事项
结语数出境安全评估制度确定国数出境格局发生变化国家求数安全序流动背景安全评估企业数出境带确定性加期发布标准合(征求意见稿)网络安全标准实践指南——信息跨境处理活动安全认证规范国数出境路径逐渐明悉附:数出境安全评估办法正文征求意见稿全文
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档