2020年7月7日,国家互联网信息办公室公布的《数据出境安全评估办法》(以下简称《办法》)于今日(2022年9月1日)起正式施行。《办法》是落实《网络安全法》、《数据安全法》、《个人信息保护法》有关数据出境规定的重要举措,目的是进一步规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动。
云集至经过多个数据出境自评估项目实践(了解案例请阅读此文:网信办公布《数据出境安全评估办法》 云集至已为多客户完成数据出境安全)总结出六项用户在数据出境安全评估前期最为关心的共性问题:
1) 数据从大陆流转至香港,是否属于数据出境?
2) 在同一个跨国公司内部,数据从境内子公司流转至境外母公司,是否属于数据出境?
3) 境外收集、产生的数据,流转至境内,是否受限于《办法》?
4) 向境外合作方开放应用系统API接口,是否属于向境外提供数据?
5) 使用亚马逊、微软等公有云提供的SAAS服务是否有数据出境隐患?
6) 企业如何判定是否需向网信办申报数据出境评估?
数据出境问答
境外,是指中国边境(国界)以外的所有国家与地区和中国以内政府尚未实施行政管辖的地域。境外范围包括:港澳台和其他外国国家和地区。
数据出境,是指由中国境内运营中收集和产生的数据流转至境外。“向境外提供数据”是指无论直接提供数据,还是提供获取数据的接口,或是将数据存储在境外,都属于向境外提供数据。常见场景包括:
将承载数据的U盘、移动硬盘等存储介质运送至境外
通过邮箱发送数据文件;通过提供API接口供境外应用系统调用
给境外合作方提供远程协助接口供其获取数据
使用物理主机部署在境外的云服务等
对于开篇所提及的6项问题解答如下:
Q:数据从大陆流转至香港,是否属于数据出境?
A:属于。港澳台属于境外范围。
Q:同一个跨国公司内部,数据从境内子公司流转至境外母公司,是否属于数据出境?
A:属于。数据出境与企业组织是否为同一个无关,仅和企业所在地域有关。
Q:境外收集、产生的数据,流转至境内,是否受限于《办法》?
A:不受限。对于我国来讲这属于数据入境,不属于数据出境。但需遵守被采集国所施行的数据出境相关要求,如欧盟的GDPR。
Q:向境外合作方开放应用系统API接口,是否属于向境外提供数据?
A:属于向境外提供数据。
Q:使用亚马逊、微软等公有云提供的SAAS服务是否有数据出境隐患?
A:具有数据出境隐患。因为亚马逊、微软等公有云承载全球业务,可能部分服务会使用境外物理机。
Q:企业如何判定是否需向网信办申报数据出境评估?
A:通过《办法》第四条可知企业主要根据三方面判定是否应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
1)出境数据类型:是否涉及重要数据、个人信息;
2)出境主体条件(数据处理者):是否属于关基运营者,是否处理超过了100万人以上的个人信息;
3)出境客体条件(数据量):年累计出境个人信息及个人敏感信息的数量是否超限。
详细判定流程如下图所示:
图1 数据出境安全评估适用性自评流程
企业行动第一步
1、梳理境外合作企业
通常,如果企业当前的项目合作、业务合作方有境外企业时,大概率会涉及数据出境。所以,首先应理清企业当前所有境外合作企业名单目录,以及对应合作业务所涉及部门、人员、合同合约、应用系统等信息,判断当前是否存在数据出境场景。常见的合作企业模式包括:企业集团、战略联盟、业务外包、供应链及维保服务等。
2、分析数据出境途径
数据出境途径分为物理出境、网络出境两大方向,物理出境主要是指线下运送数据载体如U盘、硬盘、磁带、图纸书本等介质至境外;网络出境是指线上通过网络应用技术通过电子邮件、API接口、即时通讯、远程协助等方式传输数据文件至境外。
本文主要围绕网络出境方向展开,常见基于网络技术数据出境途径包括:
1)给境外电子邮箱发送邮件,提供境内数据。
2)业务外包人员从境外VPN远程接入境内网络,获取境内数据。
3)对境外应用系统开放API接口,获取境内数据。
4)总服务器部署在境外,境内子服务器或境内客户端向总服务器定期同步境内数据。
5)通过即时通讯软件向境外合作伙伴发送境内数据。
6)境外人员远程协助接入境内网络,获取境内数据。
(注意:数据中转、数据窃取或数据泄漏等恶意将境内数据流转至境外等属于违法犯罪行为的,不在本文讨论范围内。)
3、识别出境数据类型
本阶段主要目标是分析每条数据出境途径上的出境数据的类型是否包含个人信息、重要数据。对于出境场景中涉及的应用系统首先执行数据资产盘点、梳理与分类,形成本组织数据资产清单。根据地区、部门的具体规定,初步判定本组织数据资产中的个人信息、重要数据。必要时,可使用自动化技术工具分析结构化数据、半结构化数据及非结构化数据,根据数据特征、关键字段、关联规律等识别其中包含的个人信息、重要数据。
个人信息:是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
重要数据:是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。包括:科学技术研究、国家地理信息、国防军工信息、国民经济信息等。
4、估算出境数据总量
本阶段主要估算自上年1月1号起,累计向境外提供的个人信息总量。包括是否超过10万人的个人信息,是否超过1万人的个人敏感信息。
个人敏感信息:是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下,14岁以下(含)儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息。
5、数据出境保护义务
通过以上四步骤,可以得知当前是否适用数据出境安全评估申报。当存在数据出境场景时,依据《办法》第九条相关要求,需与境外接收方订立合同,充分约定数据安全保护责任义务,应当包括但不限于以下内容:
表1 数据出境合同条款参考表
6、数据出境流向监控
为了落实《办法》第三条要求:“数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。”可围绕涉及出境的应用系统,针对每个出境路径建立专项数据出境流向监控系统,动态持续监测出境数据类型、数量,并形成审计记录备查,通过数据出境流向监控可实现:
1)绘制数据出境流向图,数据出境途径、关键节点、境外接收方等一目了然。
2)识别未备案的境外接收方,用于判定是否属于未知的出境行为,并及时告警。
3)智能识别出境数据类型,汇总统计出境数据总量,将出境数据纳入内部监管范畴。
4)结合月度专项分析报告,形成内部威慑力,规范数据出境行为。
图2 数据出境流向概览示意图
图3 数据数据分析统计示意图
结束语
本文结合云集至用户真实场景的实践经验,分享企业应对《办法》实施的第一步行动方案,当判定需向网信办申报数据出境安全评估时,将进入企业行动第二步:数据出境风险自评估。云集至提供数据出境安全评估服务,通过专业人员及技术工具,已协助多家企业完成数据出境风险自评估,如有数据出境相关疑问和需求,请与我们联系。