中易通科技-用芯守护世界，专芯只为安全

首页 > 新闻中心 > 公司新闻 > 《数据出境安全评估办法》今起实施，企业数据出境该怎么办？

《数据出境安全评估办法》今起实施，企业数据出境该怎么办？

2022-09-01

随着全球数字化的快速发展，数据作为国家基础性战略资产，成为国家间博弈的主战场。全球海量数据在网络空间中不断移动和流转，由此产生的数据出境显著激增，其安全风险也在日益加剧，数据出境安全治理受到世界各国和重要组织的广泛重视。而数据处理者如何在保证数据安全合规的前提下，实现不同法域之间的数据跨境流动，一直是各方关注的焦点。

9月1日，国家互联网信息办公室公布的《数据出境安全评估办法》正式施行（以下简称《办法》）。《办法》是《网络安全法》《数据安全法》和《个人信息保护法》共同确立的数据出境安全评估制度的落地细则，与三部基础性法律的定位和要求形成有效衔接，对于规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动，具有重大意义。

什么是数据出境活动？

主要包括两类，一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外；二是数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以访问或者调用。

数据出境活动示意图

由此表明，向境外提供数据不仅限于物理上的传输，还包括境外机构访问或调取境内服务器数据的情况。其中，“境外”是指中华人民共和国大陆地区以外的其他国家/地区，包括港澳台地区。对于企业来说，常见的数据出境场景包括：数据直接存储在境外服务器、境内信息按照一定规则传输至境外系统、邮件外发方式将数据传输至境外、境外总部访问和调用境内服务器中的数据等等。

申报数据出境安全评估的情形

《办法》规定，有下列情形之一的，应申报数据出境安全评估：

数据处理者向境外提供重要数据；
关键信息基础设施运营者和处理100万以上个人信息的数据处理者向境外提供个人信息；
自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；
国家网信部门规定的其他需要申报数据出境安全评估的情形。

可参考如下图示：

如何判定是否属于关键信息基础设施运营者

企业可根据《关键信息基础设施安全保护条例》（“《关基条例》”），列举的重要行业和领域进行初步判断。关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

如何识别重要数据

《办法》规定，重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。因此，在识别重要数据时，企业应着眼于数据对国家安全与社会公共利益的影响程度，而非对其自身的重要程度。此外，在2022年1月发布的《信息安全技术重要数据识别指南（征求意见稿）》中，为企业给出了如何识别出“重要数据”的具体指引。

信息安全技术重要数据识别指南

《办法》生效前已传输出境的数据怎么办

《办法》规定了6个月的过渡期，要求在《办法》实施前已经开展的数据出境活动，不符合《办法》规定的，应当在2022年9月1日起6个月内完成整改。在此期限届满前，所有达到安全评估申报要求的企业均应尽快着手梳理相关数据出境活动，准备安全评估申报，以避免在期限届满时未完成评估无法开展数据出境活动的窘境。

开展数据出境合规工作应事前评估预判

《办法》在第三条评估原则中提出，要“坚持事前评估和持续监督相结合、风险自评估与安全评估相结合”原则；企业可以通过第五条风险自评估和第八条评估事项，实现事前预判风险的目的；通过在2年有效期内的持续监督，能够及时发现问题并采取措施。

近年来大型互联网平台滥用数据、境外暗网售卖个人数据等事件层出不穷，如果没有相关法律约束数据出境，不仅危及个人隐私和商业利益，更直接危及国家安全和社会稳定。针对企业数据出境的相关安全事项，中易通科技的安全产品及解决方案能够使企业数据安全合规，让数据使用更安全。

基于“国密算法体系”为核心，遵循国家信息安全相关的规章制度和技术标准，中易通科技现已形成了从理论研究、安全芯片、智能终端、云服务到一站式解决方案的“芯-端-云”完整技术服务体系。产品和技术已广泛应用于消费电子、党政军、金融支付、移动警务、智能安防、医疗、物联网以及工业控制等各行各业，保障用户的关键信息基础设施、重要数据和终端的安全。全方位护航业务数据的保密性、真实性、完整性和不可否认性，防止数据泄露或被非法利用。从根本上解决信息安全威胁，为业务安全赋能。