《办法》施行满6个月违法出境后果很严重!
随着《数据出境安全评估办法》施行满6个月,未开展申报评估工作的组织将面临监管处罚风险。对此,我们提议出境组织尽快响应,务实准备,主动申报。本文围绕数据出境合规,从为何需要做、有哪些要求、找谁做、怎么做等方面展开介绍,为读者提供数据出境合规指引。
2022年9月1日,《数据出境安全评估办法》(以下简称《办法》)正式实施,开展数据出境活动的组织应当对照《办法》具体规定及时依法申报数据出境安全评估。截至2月22日,全国各省网信办通报的数据出境申报情况如下表:
针对《办法》发布前已开展的数据出境活动,2022年9月至2023年2月为整改缓冲期。自2023年3月1日起,不符合《办法》规定的数据出境活动可能受到监管处罚。当前我国法律和法规中涉及数据出境处罚条款如下:
违反本办法规定的,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人隐私信息保护法》等法律和法规处理;构成犯罪的,依照法律来追究刑事责任。对直接负责的主管⼈员和其他直接责
关键信息基础设施的运营者违反本法第三⼗七条规定,在境外存储⽹络数据,或者向境外提供⽹络数据的,依照有关法律、⾏政法规的规定处罚。对直接负责的主管⼈员和其他直接责任⼈员对直接负责的主管⼈员对直接负责的主管⼈
违反本法向境外提供重要数据的,……,处⼀百万元以上⼀千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管⼈员和其他直接责任⼈员处⼗万元以上⼀百万元以下罚款。
违反本法规定处理个人隐私信息,……,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、……;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,……。
未来监管处罚暂未可知,参考既往数据出境违规案例,涉事企业被要求停止出境活动、销毁相关违规出境数据、巨额罚款、APP全线下架、停止新用户注册、责令整改等。
总的来说,数据出境最强监管时代已经到来。涉及数据出境组织要想降低监管处罚风险、避免出境业务中断或甚至停业整改、巨额罚款等影响,就要赶快行动起来!采取数据出境合规应对行动,刻不容缓!
《网络安全法》和《数据安全法》明确了关基产生的重要数据和个人隐私信息出境需开展安全评估的要求;《个人隐私信息保护法》在此基础上,明确了个人隐私信息出境的三条路径:通过国家网信部门组织的安全评估、个人隐私信息保护认证、签署个人隐私信息跨境标准合同。其中,安全评估这一路径依据《数据出境安全评估办法》开展。其余两条路就目前实践案例较少,但其作为申报评估外实现合法出境的唯二方法,值得关注。
此外,汽车、医疗、工业、金融等行业均出台行业数据出境管控要求。组织应先确保满足本行业数据出境监督管理要求,在此基础上,其申报材料才能顺利交到国家网信部门手中。
组织可通过下方流程图及判定规则,代入自身情况,判断适合自身的数据出境路径。
数据处理者向境外提供数据时,如触发国家网信部门评估条件,则须通过国家网信部门组织的安全评估后方可出境。应当开展安全评估的出境活动如不评估就想心存侥幸出境的话,就是违法违规出境行为,存在极大的监管处罚风险!
组织应当开展个人隐私信息保护影响评估,签订法律文件明确个人隐私信息主体权益保障要求,向中国网络安全审查技术与认证中心申请个人隐私信息跨境保护认证。通过认证后,方可开展出境活动。
组织应开展个人隐私信息安全影响评估,依据《个人隐私信息出境标准合同规定》及《个人信息出境标准合同》与境外接收方签订标准合同条款,标准合同生效后即可出境。此外,组织应在合同签署十个工作日内向省级网信部门备案。
数据出境申报评估应该找谁?多久可以办结?为此,我们梳理了下方申报流程图:
组织应按网信部门要求准备材料,尤其在出具自评估报告时,不能删减、曲解自评估报告模板内容。申报材料清单如下:
3、与境外接收方拟订立的数据出境相关合同或者其他具有法律上的约束力的文件影印件
数据出境组织应梳理出境数据情况,开展自评估工作,对存在风险问题尽快整改,撰写自评估报告,并准备其他申报材料。在上述工作开展中,组织可能会遇到以下难题:
从目前申报实践经验看,监管对于数据出境的关注点包括个人信息安全影响评估、数据出境风险评估、数据处理者安全保障能力评估、境外接收方安全保障能力评估及签订法律文件等内容。因此,申报评估准备工作仅靠法律专业技术人员是不够的,可通过引入绿盟这样的提供数据安全服务的安全公司解决。此外,我们已与知名律所达成战略合作,将在数据出境领域各展身手,助力企业顺利申报。
绿盟推出数据出境全流程、一站式服务,从数据出境前、出境中、出境后全链条为客户提供“数据安全咨询+产品”服务。助力客户提升数据出境安全能力,护航客户申报评估顺利通过。
(二)提供自评估准备工作协助,如数据分类分级、重要数据(如有)识别、关键信息基础设施识别(如涉及)、个人信息安全影响评估等工作。
(二)搭建数据出境制度体系,包含方针策略、管理制度、操作规程和表单记录四个层级,围绕出境数据全生命周期提出管理要求。
(一)通过安全运营平台实现各出境管控、审计设备的日志收集、分析,实现对出境流量进行测绘;
绿盟科技在数据安全专业服务领域拥有深刻积累,具备数据分类分级、数据安全合规评估、数据安全风险评估、数据安全能力成熟度评估、个人信息安全影响评估、数据安全管理体系建设、数据安全规划等服务交付能力,助力金融、运营商、能源、交通、政府、企业等行业客户获得成功。返回搜狐,查看更加多