2022年9月1日,由国家互联网信息办公室公布的《数据出境安全评估办法》(以下简称《评估方法》)正式实施。《评估办法》从去年10月29日发布征求意见稿,到今年7月7日公布,再到9月1日实施,给企业数据出境安全合规指明了方向。尤其是《评估办法》对数据出境管理中最为重要的“安全评估”手段予以明确,实现了规则性立法落地,是完善数字治理顶层制度设计的重要配套性规章。
为推动《评估方法》更好落地实施,8月31日,国家互联网信息办公室编制了《数据出境安全评估申报指南(第一版)》,对数据出境安全评估申报方式、申报流程、申报材料等具体要求作出了说明,为企业数据出境安全合规提供了更具体的实操指导和帮助。
奇安信集团网络探针事业部、数据跨境卫士负责人刘洪亮表示,数据出境是我国数据合规领域的典型话题。《评估方法》、《个人信息出境标准合同规定(征求意见稿)》等法规的相继发布,标志着《网络安全法》《数据安全法》《个人信息保护法》规定的数据出境安全评估制度正式落地,也意味着数据出境监管的细化和加强。
刘洪亮特别提醒,涉及数据出境的绝不仅限于拥有国际业务的企业,数据交互和应用系统的增多令大量的政企机构都可能面临数据出境的安全风险问题。例如,国内某些电商企业,因使用了第三方平台或者软件,不知不觉间部分业务数据已经跨境流出;在开展数据跨境分析时,国内某市的区政府,被发现有重要数据被海外下载的情况,成为数据被动出境的案例。
对广大政企机构来说,经常面对数据资产不清、数据流向不清、数据流向变化不清的局面,刘洪亮表示,数据出境事关国家安全,企业及相关机构在合规建设上,需把握三个阶段,解决好三大难题。
数据出境事关国家安全 三类企业机构存在风险
目前,跨境数据已从个人信息泛化到包括了非个人信息的一切数据范围。数据不受限制的跨境流动,可能会引发用户数据易被泄露、滥用等问题,给企业带来技术管理、资产管理和组织管理上的问题;尤其是关键信息基础设施数据等重要数据,涵盖了国计民生的方方面面。一旦处理不当在出境过程中被非法获取、非法利用,将给国家安全带来严重威胁。
行业专家普遍认为,确保数据跨境流动安全,成为维护国家安全和推进国际数据治理的重要课题。但目前数据跨境的方式多样,既包括将数据传输、存储至境外,也包括从境外可以访问、调用境内数据的情形。对大量的政企机构来说,需要改变“数据出境安全风险”仅涉及拥有国际业务的企业,这一错误认识。
总结奇安信所处理的事件和案例,目前涉及数据出境安全风险的主要有三种类型企业机构,分别是拥有跨国业务的企业、由于防护不当导致数据被动跨境的政企机构,以及使用第三方平台或者软件导致部分数据被动跨境的机构。
从涉及用户的类型来看,很多政企用户涉及第二类被动出境的情况,其中包括不少的政府机构。奇安信在相关机构分析运营商IDC流量时,发现很多政府相关信息和文件被下载的情况。第三类情况则在中小型电商平台比较普遍。
出境合规建设的三个重要阶段
根据对《评估办法》的解读,以及数据出境安全评估流程的梳理,奇安信将数据出境安全合规建设分为三个重要阶段,分别是事前的风险自评估阶段、安全评估阶段以及持续监督阶段。
第一阶段:风险自评估阶段
摸清家底、了解现状是第一步。企业的业务系统与数据资产众多且复杂,进行数据资产的全面盘点非常重要。此后,需要有技术手段对流出境外的数据进行全面的梳理和监测,清晰的看到自己都有哪些数据流出境外,当前流出了多少,都流向了哪里,进而摸清当前数据出境的实际情况。
第二阶段:安全评估
进行全面的风险自评估并申请安全评估,并形成申请报告,并通过省网信办上送国家网信部门。
国家网信部门受理申报后,根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估,数据出境安全评估的结果有效期为2年。
第三阶段:持续监测监督阶段。
企业的业务是持续发展的,数据是动态变化的,只有事前自评估是无法满足企业持续合规的要求。《评估办法》中也有明确要求,事前评估和持续监督相结合,实现数据出境的持续合规。
数据出境合规建设需解决三个难题
对于政企机构来说,确保数据能满足《数据安全法》、《个人信息保护法》、《评估办法》等法规的合规要求,需要能清晰掌握业务数据、个人信息、重要数据等敏感数据的跨境流动情况——在看清数据流向的同时,能清晰、直观的看到带有个人信息、重要数据的敏感数据是通过什么人、在什么时间、在什么地点、通过什么方式发送到哪里。
但随着数字化转型的深化,业务上云和大数据的应用,使IT环境越来越复杂,应用系统越来越多,数据交互越来越多庞杂。再加上更多的数据来源、更多应用数据调用、更多的外部合作,政企机构存在数据资产不清、流向不明的情况。
因此,政企机构在数据出境领域面临着三个难题:第一个难题就是如何厘清数据资产,明确自己数据资产的属性、量级;第二个难题是如何明细数据流向;第三个难题是从网络上流动的数据如何持续监测,同时避免数据被动出境。
合规建设离不开技术手段支撑
无论是风险自评估阶段,还是持续监督阶段,都需要有技术手段进行支撑,否则企业就无法在事前了解现状,日常运行中由于业务变化导致出境数据发生变化也无法及时掌握。
2022年5月18日,奇安信对外发布了数据跨境卫士,它是基于政企的诉求研发的一款产品,可以在两个重要阶段协助企业进行数据出境的合规建设,帮助企业清晰掌握业务数据、重要数据、个人信息等敏感数据跨境流动详情,做到对跨境数据流转的可知、可视、可查。
凭借领先流量采集与还原能力、数据跨境传输检测能力、数据跨境内容识别能力、数据跨境敏感数据检测能力,数据跨境卫士可以帮助政企机构实现保障合规、可查可验、看清流向、持续监测等四方面价值。
首先是助力合规,根据《数据安全法》、《个人信息保护法》、《网络安全法》、《数据出境安全评估办法》跨境数据监管等合规要求,进行网络流动数据的发现和合规性检查;其次是可查可验,清晰掌握业务数据、重要数据以及个人信息等敏感数据跨境流动详情;第三是看清流向,可以全面了解WHO(什么人)、WHEN(什么时间)、WHERE(什么地点)、HOW(什么方式)、WHAT(什么数据)等整个数据跨境流转的整个过程,实现全局掌控;最后是持续监测,持续监测企业通过网络的数据跨境流动的详情,及时发现出境数据的变化情况,助力企业持续合规。
当前,我国数据跨境需求逐渐凸显。根据国家互联网信息办公室对外的数据显示,从2017年到2021年,我国数字经济规模从27万亿元增长到超45万亿元,稳居世界第二。数字经济发展动能正在加速释放,对外数字经济将迎来极大的发展空间,数据跨境传输的需求逐渐增多,在经济交流过程中合法合规使用数据,将成为国家安全和企业发展的重中之重。奇安信预计,数据跨境安全将有上百亿元的市场规模。