千呼万唤始出来。近日,国家互联网信息办公室对外发布《数据出境安全评估办法》(以下简称《办法》),自2022年9月1日起施行,《办法》一出引起了业界的关注。
绿盟科技解决方案中心高级总监、首席解决方案专家刘弘利在接受记者采访时表示,当前,我国出海企业在数据出境时确实面临一定风险,如果企业事先对跨境数据法律风险准备不足,事中对风险又不善应对,就可能会导致数据出境后因触犯境外国家法律而遭受巨额罚款。此次《办法》出台明确规定了数据出境安全评估的范围、条件和程序,为数据出境安全评估工作提供了具体指引,这也能为企业数据出境保驾护航。
为了更好结合《办法》让企业在数据出境更好合规,刘弘利表示,相关企业应尽快组建数据合规团队,严格落实数据出境的相关规范要求,制定数据出境计划,对数据出境情况进行检查与问题整改,持续提升数据出境合规化能力。“如企业在数据出境前应首先判断出境目的,如果数据出境目的不具有合法性、正当性和必要性,不得出境。在此基础上再评估数据出境安全风险,将数据出境及再转移后被泄露、损毁、篡改、滥用等风险有效地降至最低限度。”
建立数据分类分级制度十分关键。对此,刘弘利认为,可参照国家和行业领域的重要数据识别指南等文件,结合企业自身的业务数据识别重要数据与个人敏感信息。
而企业数据出境风险自评估则是数据处理者向境外提供数据的必经之路,对出境方式、数据数量、数据属性进行充分综合判断,制定数据出境计划,最终形成数据出境风险评估报告,是数据出境企业应有的能力。通过有效的自评估,不仅可以降低数据出境的合规风险,在向主管部门申报安全评估时,也有助于提高监管部门安全评估的效率。
因此,刘弘利建议,可由企业的信息安全部门、法务部门和业务部门等成员组成数据出境合规委员会,对国内外数据安全法律法规进行研究,确保在采集和处理国外数据时不违反当地的地方性法规,同时,落实数据出境的安全主体责任制,建立企业数据出境管理制度,通过常态化的数据安全风险评估,及时发现企业在管理与技术上的不足,不断完善数据跨境流动治理框架体系,以此不断提升自我评估能力。
“总之,企业应及时响应国家的监管要求,尽快建立数据跨境的安全能力,保障数据出境安全。”刘弘利最后说。