数据出境安全自评估工作简析

来源:上海君悦杭州律师事务所

文章摘要
上期《数据出境合规浅析》文章中介绍了一般数据出境、重要数据出境、个人数据出境三种数据出境前程序以及安全合规的基本原则,在以上所有数据出境前程序中,数据出境安全自评估是不可或缺的重要环节,本文就该环节进

上期《数据出境合规浅析》文章中介绍了一般数据出境、重要数据出境、个人数据出境三种数据出境前程序以及安全合规的基本原则,在以上所有数据出境前程序中,数据出境安全自评估是不可或缺的重要环节,本文就该环节进行简要说明。
一般来说,完成最终自评估报告,需要经过以下几个环节的工作:
一、数据出境安全行业分析及准备阶段
此阶段的主要工作为收集相关法律法规标准并进行解读,尤其关注本行业数据出境的具体要求,完成相关自评估的准备工作,如数据分类、安全分级、重要数据识别、关键信息基础设施识别、个人信息安全影响评估等工作。
二、数据出境安全自评估阶段
此阶段主要工作分为风险评估、安全评估、法律文件评估、整改复评、出具最终自评估报告。
其中任何一个环节的工作,均需要遵循合法性、正当性、必要性以及诚信性基本原则,一切自评估的相关工作均围绕着以上原则开展。
合法性:可概括为数据合法,标准合法,程序合法,如国家机密、影响社会权益等数据出境违反合法性要求,禁止出境。
正当性:可概括为目的正当,使用正当,不存在隐瞒欺骗行为,如存向境外兜售数据,以此获利的数据出境行为违反正当性要求,禁止出境。
必要性:可概括为经营需要,最小化,即数据出境必须为商业用途,如基于集团公司的管理需要,基于境外企业对境内个人的服务需要等。不具经营需要的数据出境行为违反必要性要求,禁止出境。另外,对数据本身要求符合最小化标准,即满足达成经营需要的最小化数据进行出境,尽可能地精简。此原则在数据出境安全自评估中有较大的用途,对一些重要敏感的数据,需要一条条进行分析判断并进行精简。
诚信性:与民法中诚实信用原则一致,此处不进行赘述。
了解以上基本原则后,以下按此阶段的各环节分别进行说明:
1、风险评估:评估出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险。
2、 安全评估:评估境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;评估数据出境中和出境后遭到篡改、破坏、泄露转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
3、 法律文件评估:评估与境外接收方拟订立的数据出境相关合同(如标准合同、SCC等)或者其他具有法律效力的文件是否充分约定了数据安全保护责任与义务;
4、整改复评:企业跟评估意见对涉及到数据出境的相关工作进行整改,整改后,组织针对性复评。
5、出具最终自评估报告:自评估报告的内容主要包含自评估工作简述、说明相关数据出境活动的整体情况,拟出境活动的风险评估情况等。
自评估工作简述,说明自评估的相关工作事项,进展成果等,可以适应部分工作底稿。
说明相关数据出境活动的整体情况,主要包含数据处理者基本情况、数据出境涉及业务和信息系统情况、拟出境数据情况、数据处理者数据安全保障能力情况、境外接收方基本情况、法律文件约定数据安全保护责任义务的情况(可否直接使用《标准合同》)、数据处理者认为需要说明的其他情况等等。此部分为开始进入正题,要对数据出境的基本事实情况进行描述说明。为后一风险评估情况奠定事实基础。
拟出境活动的风险评估情况,针对上一环节中所描述情况进行风险评估,说明已经做出的风险规避方案,如数据安全保护的等保三级评定,敏感数据脱敏,对相关方的相关法律约定,准据法、管辖权等的约定等等,并说明数据出境后的法律风险,危害程度,规避方式和应急措施等。
最终自评估报告可以参考标准合同中所涉及的条款,因为标准合同中的内容是国家关心的以及考虑到可以保护本国企业和个人权益的主要内容,在以上述主要内容为基础的前提下,添加各行业特有的要求,才能最终形成一份比较完备的自评估报告。
完成自评报告后,就要开始进入数据出境申报备案的程序流程阶段,选择适合的程序依法进行申报、备案。
数据出境安全自评估可以说是一个相对崭新的领域,特别对作为律师的法律从业者来说,随着中国企业国际化数量和程度的不断提高,随着中国以“一带一路”为代表的对外开放政策的不断贯彻与落实,数据出境可能成为一个常态化工作,再加上2年的有效期的规定,数据出境自评估业务一定会成为法律行业一块新的蓝海。

技术驱动法律,专业成就未来