数据出境首先做好安全评估

今年5月，欧盟隐私保护法GDPR正式生效后，美国《数据泄露预防和赔偿法案》《小型企业促进网络安全增强法案》等一系列有关规定也相继被提上议程。在可预见的将来，各国对数据流动的监管诉求日益上升，数据合规出境将成为我国出海企业的必修课。

在日前举办的数据保护解读会上，中伦律师事务所合伙人陈际红表示，网络运营者在境内运营中收集和产生的个人信息和重要数据，应当在境内存储。因业务需要，确需向境外提供的,应当按照《个人信息和重要数据岀境安全评估办法（征求意见稿）》（下称《评估办法》）和《信息安全技术 数据出境安全评估指南（征求意见稿）》（下称《评估指南》）进行安全评估。

根据《评估指南》，数据出境是指网络运营者通过网络等方式，将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据，通过直接提供或开展业务、提供服务、产品等方式提供给境外机构、组织或个人的一次性活动或连续性活动。

中伦律师事务所合伙人高俊指出，企业需要注意，以下三种情况同样属于数据出境：一是向本国境内，但不属于本国司法管辖或为在境内注册的主体提供个人信息和重要数据（有疑问，但又不能给出确定性修改意见）；二是数据未转移存储至本国以外的地方，但被境外的机构、组织、个人访问查看的（公开信息，网页访问除外）；三是网络运营者集团内部数据由境内转移至境外，涉及其在境内运营中收集和产生的个人信息和重要数据的。而非在境内运营中收集和产生的个人信息和重要数据经由本国出境，未经任何变动或加工处理的，以及非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境，不涉及境内运营中收集和产生的个人信息和重要数据的，不属于数据出境。

数据出境安全评估应首先评估数据、判断出境目的，如果数据出境目的不具有合法性、正当性和必要性，不得出境。在此基础上再评估数据出境安全风险，将数据出境及再转移后被泄露、损毁、篡改、滥用等风险有效地降至最低限度。

据陈际红介绍，数据出境目的评估要点包括合法性、正当性和必要性。合法性是指数据不属于法律法规明令禁止的，不属于国家网信部门、公安部门、安全部门等有关部门认定不能出境的。正当性是指数据经个人信息主体同意的、不违反相关主管部门规定的。必要性是指履行合同义务，同一机构、组织内部开展业务，我国政府部门履行公务，政府与其他国家和地区、国际组织签署的条约、协议所必需的数据，或其他维护网络空间主权和国家安全、经济发展、社会公共利益和保护公民合法利益需要的数据。

评估数据出境的安全风险，应综合考虑出境数据的属性和数据出境发生安全事件的可能性及影响程度。陈际红表示，从数据属性来看，个人信息数据应从数据类型、数量、范围、敏感程度和技术处理等角度进行评估。重要数据应从数据类型、数量、范围和技术处理等角度进行评估。从数据出境安全事件的可能来看，应从发送方数据出境的技术和管理能力、数据接收方的安全保护能力、采取的措施，以及数据接收方所在国家或区域的政治法律环境等角度进行评估。关于数据出境评估中个人信息、重要数据、数据出境的技术和管理能力、数据接收方的安全保护能力、采取的措施，以及数据接收方所在国家或区域的政治法律环境等内容的具体评估要求及细节，企业可以参考其他相关法律法规、国家标准的规定。

“跨国在数据合规方面，应逐渐筹划与组建属于自己的数据合规团队。合规团队应该根据国内外相关法律法规及要求，结合企业自身技术条件、业务需求等内容，系统化、全面化地对企业数据及数据资源进行管理。对数据合规的轻视，不但会使企业陷入合规的泥潭，更可能导致企业错失数据时代的发展机遇。”高俊说。

来源：中国贸促会网站