导语:网信办于2023年9月28日发布《规范和促进数据跨境流动规定(征求意见稿)》。
《规定》的出台,意味着监管机关正在打造更完善、细致的数据出境监管体系。《规定》第四条列出了3种数据可免审核出境的场景:(一)为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的;(下文简称本条款为“履约所必须”)
(二)按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的;(下文简称本条款为“内部员工管理”)
(三)紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的。(下文简称本条款为“紧急情况”)在履约所必须、内部员工管理、紧急情况这三种情况下,数据处理者可凭借用户的单独同意直接将个人信息传输往境外。但请注意《规定》未免除《数安法》及《个保法》对数据安全、个人信息安全提出的要求!企业仍需签署数据传输协议、开展个人信息保护影响评估等基础工作,确保合规风险的可控性。
在履约所必须方面,需着重注意本条款仅限“个人作为一方当事人的合同”,实际运营场景中,如法规中列举的机票酒店、跨境购物等场景,消费者往往是和OTA平台、中介签订合同,此类中介机构再将订单及个人信息打包交给供应商、航空公司,此类情况下航空公司与消费者间并不属于“个人作为一方当事人的合同”!
企业需确定个人信息关联的合同是否为直签,这对企业内部数据资产管理提出了更高的要求,内部传统数据管理系统恐怕已无法胜任。同时企业需要梳理自身那些业务场景符合新规要求,管理此类业务场景的行政人员、IT人员是否了解数据跨境要求,应尽快准备数据出境合规治理平台,协助管理出境资产 ,进行出境前风险自评估 、风险治理以及持续监测。在内部员工管理方面,需注应聘者、外包与企业无劳动合同不属于本条法规的豁免范围。劳动法规定可企业应建立职工名册,职工名册中应包含姓名、性别、身份证号码、户籍地址及现住址、联系方式、用工形式、用工起始时间、劳动合同期限。此外还可收集与劳动合同相关内容,如学历、从业经历、能力证明等。
在不同工作行业、场景中的特定信息符合《规定》要求,可免审核数据跨境传输。如《食安法》要求患有有碍食品安全疾病,不得从事接触直接入口食品的工作。企业可将涉及入口食品的工作岗位劳动者“有碍食品安全疾病”信息与健康证类信息免审核跨境。此类信息需有法律法规支持,企业内部自行向劳动者索取的信息,如婚育状况、民族种族等与劳动合同无关的信息无法按照本条款执行。在企业履行对员工的法定义务方面,可跨境传输与休假相关信息,如婚育假场景下收集婚育信息。《规定》发布后,数据出境流动管理体系颗粒度再次提升,明确了无需出境审核的几种情况,企业如想减轻审核压力,需要尽快借助数据出境合规治理平台,加强数据出境管理能力与管理精细度,降低违规风险。
爱加密持续跟进监管动态致力于数据流动安全的防护与治理,为解决企业数据出境备案痛点,推出爱加密数据出境合规治理平台,产品遵循《规定》第十条强调的“事前评估、事中监测、事后留档”的治理思路。
事前对出境数据资产进行合规风险评估,事中对出境行为变化进行实时数据监测并将风险事件纳入处置中心,事后可依据实际情况决定是否采纳治理或再次进行评估,生成报告会存档以便后期进行对比分析和整改。可帮助企业持续有序地治理出境业务,提供出境资产管理 、出境前风险自评估 、风险治理以及持续监测等功能、从而达到规范数据出境活动,构建全流程的数据跨境流动安全治理体系,满足合规监管要求。
产品采用自动化接口发现技术,聚合归类网络流量中大量的URL,提取参数配置, 实现出境场景识别、出境资产梳理。可实现对出境资产合规自评估,并根据评估结果生成数据出境风险评估报告及根据风险点生成合规风险事件。
可对数据合规事件以及风险监测事件进行治理并进行跟踪,根据合规评估结果,形成数据安全基线指标,持续对数据出境行为进行风险监测。爱加密拥有数据事实/数据安全监测能力,可识别新增出境接口,监测数据出境接口风险、出境数据类型及出境国家范围、出境事件、敏感数据出境行为等。
爱加密作为国内知名的移动信息安全综合服务提供商,将持续加强技术创新与研究,持续关注数据安全领域最新监管要求与企业痛点。从法律、技术、规则等角度继续提升数据流动治理能力,帮助企业有效防范化解风险,为数字经济高质量发展保驾护航。
如若转载,请注明原文地址
