数据出境,必须“风险消磁”

澎湃新闻 2021-10-30 18:02:11

原标题:数据出境,必须“风险消磁”

处理个人信息达到一百万人的个人信息处理者向境外提供个人信息等五种情形,要向国家网信部门申报数据出境安全评估;向境外提供数据前,应对数据出境可能对国家安全、公共利益带来的风险等六项内容进行重点评估,评估结果有效期二年……

日前,国家互联网信息办公室就《数据出境安全评估办法(征求意见稿)》(以下简称意见稿)公开征求意见。

大数据时代,数据安全越来越重要。数据安全已经不只关乎个人隐私和企业的商业利益,更直接关系到国家利益和安全。也因此,近年来世界各国都普遍对数据安全保障倾注更多关注和行动。我国于今年9月1日起开始实施的《数据安全法》,便将数据安全工作首次升至国家安全最高监管层级。

在数据安全保障中,数据出境因为涉及的环节多,又受到跨国家、法律、文化等多重变量因素的影响,其安全保障相对更重要,也更复杂。为此,《网络安全法》明确规定,因业务需要,确需向境外提供的数据,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。国家出台相应的安全评估办法,就是为此提供明确依据和指导。

比如,意见稿明确,数据处理者向境外提供数据,只要有“处理个人信息达到一百万人的个人信息处理者向境外提供个人信息”等五种情形之一,都要向国家网信部门申报数据出境安全评估。

近年来,我国已有不少掌握海量个人信息的互联网企业开展海外业务,甚至在境外上市,这个过程中,就可能涉及大量数据的出境。意见稿明确了数据安全评估的具体情形,实际上也就为这些企业在走出去过程中,如何保障数据的合规性,给出了标准和遵循。它不仅有助于保护个人信息权益,维护国家安全和社会公共利益,也有利于降低企业的出海风险。

在过去,企业出海,可能更多强调的是要符合目的国的法律,但在数据成为国家重要的基础性战略资源的今天,数据出境前先依照我国法律做好安全评估和“风险消磁”,越来越具有必要性。相关企业、机构在处理数据出境时,必须要绷紧安全红线意识,及时按照要求开展或接受相应的数据安全评估,杜绝数据违规出境或带安全风险出境。

意见稿明确,数据处理者在向境外提供数据前,应事先开展数据出境风险自评估,像出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险等六种事项,都应重点评估。这表明,出境数据安全评估,不只是一项必须遵循的程序要求,也是企业理应具备的能力。

可以说,今天任何一家企业开展涉及数据出境的海外业务、海外上市时,都应把数据安全挺在前面。这甚至可能成为比具体的业务能力、盈利状况,更关系企业能否走出去的关键性因素。这方面其实已有相关案例值得警醒。今年以来,监管部门已对滴滴、运满满、货车帮、BOSS直聘等启动网络安全审查,有效防范采购活动、数据处理活动以及国外上市可能带来的国家安全风险。

并且,意见稿还明确,数据出境评估结果有效期为二年。也就是说,相关企业不能以一劳永逸的心态来看待出境数据的安全性,而是要做好过程和动态评估,长鸣安全警钟。

数据自由流动是大势所趋,但前提是安全。数据出境安全评估办法为数据处理者向境外提供数据,划清了安全边界,明确了评估程序。它是技术层面的指导,更是意识上的提醒——企业、机构、个人,开展涉及数据出境的业务和活动,都要守住安全底线,才能走得更远。(毕铭)