奇安信集团数据安全PBU副总经理刘洪亮表示,个人信息是数据资源中非常重要的组成部分,该《办法》是继去年7月《数据出境安全评估办法》正式发布之后,又一项数据出境重要法规的落地。《办法》进一步完善了《网络安全法》《数据安全法》《个人信息保护法》规定的数据出境安全评估制度,尤其从个人信息方面对数据出境监管进行了细化和加强。
《办法》平衡了发展和监管双重需要
“本次《办法》发布的重要目的,是针对具有个人信息出境需求且不满足数据出境安全评估办法申报条件的企业,开放了一条出境通道。” 刘洪亮表示,《办法》既满足了日益增长的个人信息出境需要,又通过明确标准合同范本等措施,最大程度保护个人信息权益,为向境外提供个人信息提供了具体指引。
首先,《办法》顺应了个人信息出境快速增长的趋势,平衡了发展和监管双重需要。《办法》规定,个人信息处理者通过订立标准合同的方式向境外提供个人信息应当同时符合下列情形:非关键信息基础设施运营者、处理个人信息不满100万人的、自上年1月1日起累计向境外提供个人信息不满10万人的、自上年1月1日起累计向境外提供敏感个人信息不满1万人的。法律、行政法规或者国家网信部门另有规定的,从其规定。同时,《办法》要求个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供,从而堵住了可能绕过制度的漏洞。
其次,《办法》对企业持续的合规能力提出更高要求。《办法》明确,如果在表中合同有效期内出现向境外提供个人信息的目的、方式、范围、种类、敏感程度、方式、保存地点、或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的需要重新开展个人信息保护影响评估,补充或者重新订立标准合同,并向省网信办重新进行申报备案。因此,个人信息出境申报备案仅仅只是开始,持续合规才是关键,出境企业应当具备数据出境持续监测和持续自运营的能力。
最后,《办法》明确了违反规定的处罚措施,包括刑事责任等。《办法》提出个人信息处理者违反本办法规定的,依据《中华人民共和国个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任。此外,《办法》明确本办法施行前已经开展的个人信息出境活动,不符合本办法规定的,应当自本办法施行之日起6个月内完成整改。
企业亟待提升持续合规建设能力
根据公告,《办法》自2023年6月1日起施行,因此,具有个人信息出境需求的企业,亟待在实施之日前,完成合规建设。刘洪亮认为,对于企业来说,确保个人信息能满足《数据安全法》、《个人信息保护法》、《办法》等法规的合规要求,需要能清晰掌握个人信息等敏感数据的跨境流动情况——在看清数据流向的同时,能清晰、直观的看到带有个人信息的敏感数据是通过什么人、在什么时间、在什么地点、通过什么方式发送到哪里。
因此,面临个人信息出境的企业,通常需要解决三个难题:第一个难题是如何厘清个人信息资产,明确自己个人信息资产的属性、量级;第二个难题是如何明细个人信息流向;第三个难题是从网络上流动的个人信息如何持续监测,同时避免个人信息被动出境。
要解决这些问题,确保企业合规,无论是风险自评估阶段,还是持续监督阶段,都需要有技术手段进行支撑,否则企业就无法在事前了解现状,日常运行中由于业务变化导致出境数据发生变化也无法及时掌握。
奇安信推出的数据跨境卫士,正是数据安全建设中重要的一环,不仅能解决企业跨境传输的数据能满足《数据安全法》、《个人信息保护法》、数据跨境监管等合规要求,还能对个人信息等敏感数据的跨境流动情况,进行全局、清晰和直观的掌控。
原创文章,作者:lishengli,如若转载,请注明出处:http://www.lishengli.com/lee/1361.html