1)個人信息數據,則:
出境前的個人信息量必須經過安全評估:
1.辦理個人信息的人數達到1萬;
2.提供超過65438+萬人的境外個人信息;
3.累計向境外提供個人敏感信息超過654.38+0萬條;
2)出境前需要評估的重要數據:
重要數據的定義:
1.根據《網絡安全法》的規定,關鍵信息基礎設施的運營者在中華人民共和國境內運營期間收集、生成的重要數據應當存儲在境內,確需出境的,應當進行安全評估。
2.《汽車數據安全管理若幹規定(試行)》,其中第三條[六]明確列出了汽車行業的重要數據,如地理信息、人員流動、重要敏感區域的車流數據、車流、物流等反映經濟運行的數據。
3.國家互聯網信息辦公室2021 11 4發布的《網絡數據安全管理規定(征求意見稿)》列出:
(1)未公開的政府數據、工作秘密、情報數據和執法司法數據;(二)出口管制數據,出口管制物項涉及的核心技術、設計方案、生產工藝等相關數據,以及密碼學、生物、電子信息、人工智能等領域對國家安全和經濟競爭力有直接影響的科技成果數據;(三)國家法律、行政法規和部門規章規定需要保護或者控制的國民經濟運行數據、重要行業業務數據和統計數據;(四)工業、電信、能源、交通、水利、金融、國防科技工業、海關、稅務等重點行業和領域安全生產運行數據,關鍵系統部件和設備供應鏈數據;(五)基因、地理、礦產、氣象等人口與健康、自然資源與環境等國家基礎數據,達到國家有關部門規定的尺度或者精度;(六)國家基礎設施、關鍵信息基礎設施建設和運行及其安全數據,以及國防設施、軍事管理區、國防科研生產單位等重要敏感區域的地理位置和安全狀況;(七)其他可能影響國家政治、領土、軍事、經濟、文化、社會、科技、生態、資源、核設施、海外利益、生物、空間、極地、深海等安全的數據。
(2)數據信息的退出:並不意味著國內數據處理者對數據義務的終結。加工商應對海外數據有清晰的了解和控制,並有報告的義務。
參照《網絡數據安全管理條例(征求意見稿)》第四十條規定,向境外提供個人信息和重要數據的數據處理者,應當在每年65438+10月31前編制數據出境安全報告,並將次年的數據出境情況報設區的市級網信部門: (壹)所有數據接收人的姓名和聯系方式;(二)出境資料的種類、數量和用途;(三)數據在境外的存儲地點、存儲期限、使用範圍和方式;(四)涉及向境外提供數據的用戶投訴及處理情況;(五)數據安全事件的發生及其處置情況;(六)出境後數據轉移的情況;(七)其他需要由國家網信部門上報的對外提供數據的事項。
(二)核實第三方數據來源的合法性和正當性(預擔保,要求第三方簽署承諾書、保證書等));
1)《數據安全法》第三十二條規定,任何組織或者個人必須以合法、正當的方式收集數據,不得竊取或者以其他非法手段獲取數據。
2)數據安全法第五十壹條規定,竊取或者以其他非法手段獲取數據,進行排除、限制競爭的數據活動,損害個人和組織合法權益的,依照有關法律、行政法規的規定予以處罰,從而在網絡安全法、刑法、反壟斷法、個人信息保護法等條文中進壹步引用。
(三)建立數據安全管理制度,采取必要的技術措施,確保數據傳輸安全。
網絡安全等級保護認證,采用數據分類管理、風險評估、監測預警、應急響應等數據安全管理的各項基礎制度;
1)數據分類:網絡安全標準實踐指南-數據分類指南(征求意見稿)
分類:
a)個人信息:壹般個人信息;敏感的個人信息
b)?* * *數據;
c)?法人數據;
2)數據出境安全評估:無論數據處理者的數據出境活動是否觸發安全評估和申報要求,都應在向境外提供數據前,提前進行數據出境風險自我評估。-《數據退出安全評估辦法》(征求意見稿)
第五條數據處理人員在向境外提供數據前,應提前進行數據出境風險自我評估,重點關註以下事項:
(壹)境外接收方數據出境和數據處理的目的、範圍和方式的合法性、正當性和必要性;
(二)出境數據的數量、範圍、類型和敏感程度,以及該數據可能給國家安全、公共利益和個人或組織合法權益帶來的風險;
(3)數據處理者在數據傳輸環節的管理和技術措施及能力是否能夠防範數據泄露、損毀等風險;
(四)境外接收方承擔的責任和義務,以及履行責任和義務的管理和技術措施及能力是否能夠保障出境數據的安全;
(五)出境後數據泄露、損壞、篡改、濫用和重新傳輸的風險,個人維護個人信息權益的渠道是否暢通;
(六)與境外接收方簽訂的數據出境相關合同是否充分約定了數據安全保護的責任和義務。
第九條數據處理者與境外接收方簽訂的合同應全面約定數據安全保護的責任和義務,包括但不限於以下內容:
(壹)數據出境的目的、方式和數據範圍,境外接收方處理數據的目的和方式;
(二)數據在境外保存的地點和期限,以及達到期限、完成約定目的或者終止合同後數據出境的處理措施;
(三)限制境外接收人向其他組織和個人轉移出境數據的約束性條款;
(四)當實際控制權或業務範圍發生實質性變化,或者所在國家或地區法律環境發生變化,難以保證數據安全時,境外接收方應當采取的安全措施;
(5)違反數據安全保護義務的違約責任及具有約束力和可執行性的爭議解決條款;
(六)發生數據泄露風險時,妥善開展應急處理,保障個人維護個人信息權益渠道的暢通。
(四)報告數據安全事件的義務。
根據《數據安全法》第二十九條的規定,應當在數據活動中加強風險監控,發現數據安全缺陷、漏洞等風險時,應當立即采取措施;發生數據安全事件時,應當及時告知用戶,並按照規定向有關主管部門報告。
《數據安全管理辦法》第三十五條指出,發生個人信息泄露、毀損、滅失等數據安全事件,或者數據安全事件風險顯著增加時,網絡運營者應當立即采取補救措施,及時通過電話、短信、郵件或者信函等方式告知個人信息主體,並按照規定向行業主管監管部門和網信部門報告。
(五)遇有域外執法時有事先報告的義務。
根據《數據安全法》第三十六條規定,未經中華人民共和國主管機關批準,我國境內的組織和個人不得提供境外執法機關要求的數據。
《數據安全法》第四十八條第二款規定,未經主管機關批準,向境外司法或者執法機關提供數據的,由有關主管機關給予警告,可以並處10萬元以上100萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以並處1萬元以上10萬元以下罰款;造成嚴重後果的,處100萬元以上500萬元以下罰款,並可責令停業、停業整頓、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處5萬元以上50萬元以下罰款。