数据跨境流动事关经济开放大局,同时又与数据主权、国家安全、地缘政治博弈紧密相关。从全球范围看,数据流动对全球经济增长的贡献已经超过传统的国际贸易和投资,数据跨境流动是经济全球化的必然要求。
数据跨境流动,不仅有利于人类命运共同体的建设,也有助于促进国际投资、贸易的往来和合作。
数据出境需要关注的问题
在保障数据安全出境之前,我们需要了解哪些企业会涉及到数据出境?
✅ 哪些数据属于出境规制对象
通过《网络安全法》、《个人信息保护法》和《数据出境安全评估办法(征求意见稿)》三部法律法规我们可以清晰地看出,“重要数据”和“个人信息”均属于出境的规制对象。
比如:地图信息、基因信息、疫苗信息、身份信息、银行信息、遗传数据、生物识别数据、政治观点等。
个人信息和重要数据原则上应当存储在中国境内,只有因业务需要,“确需向境外提供的”,通过安全评估后方可跨境传输。
✅ 数据出境涉及的企业
CIIO企业属于数据出境管控对象,如:中国联通、股份制商业银行-中信银行、中电科、滴滴、Tiktok 、微软中国等。但是,不是CIIO企业并不代表您可以高枕无忧,数据安全一样需要重点关注。
✅ 如何辨别企业是否属于约束范围
根据《信息安全技术 数据出境安全评估指南》,我们得出以下结论:
数据出境受到我国监管的核心不单是网络运营者的注册地是否在境内,只要数据的生产和收集在我国境内,或数据的生产和收集未在我国境内,但经过了加工和处理,皆为我国监管的数据出境范围。
例如,在中国境内注册的健身房,将中国境内收集的会员个人信息传输给其美国母公司的;又比如,该健身房虽未向美国母公司传输会员个人信息,但美国母公司可以通过访问、查看该健身房的内网获取会员个人信息的。
数据出境面临的挑战
近年来,随着云计算、大数据技术的快速发展,数据跨境转移变得更加轻而易举,数据跨境流动的安全问题日益凸显。大规模的数据跨境存储在全球各地的数据中心,存在较大的安全风险,一旦违规出境,将会面临致命的惩罚。
特别需要注意的是,对于掌握超过100万用户个人信息的运营者赴国外上市的,还必须向网络安全审查办公室申报网络安全审查,具体要求可参见《网络安全审查办法》。近期被网络安全审查的“滴滴出行”、“货车帮”、“BOSS直聘”都在前不久赴美上市,且活跃用户均远超100万,监管态度可见一斑。
我们能帮用户解决的难题
推动数据跨境合规有序、高质量流转应成为数据治理政策的主方向。为此,我们既要加强数据跨境流动制度建设,又要运用各类先进技术手段,以实现数据跨境流动与风险防控的最佳平衡。天空卫士的数据安全方案可以做到:
NO.1 提供五项超能力
✅ 能识别
全面识别敏感数据的分布,
防止敏感信息的违规存储
安全管理人员的工作目标是确保存储的数据是明确受保护的数据,如个人隐私数据或个人信息数据,并实现必要的数据安全控制。而此目标的前提是了解敏感数据的分布,确保这些需要保护的数据存储在合理的位置。
利用天空卫士的UCSS对境外服务器或境外SaaS应用上是否留存了PII、SPI或重要数据进行检测,确保或证明没有违规的数据被存储到境外,从而实现企业跨境数据流转的安全自评估。
