原标题:数据出境五种情形需申报安全评估
本报记者徐一鸣
10月29日,国家互联网信息办公室就《数据出境安全评估办法(征求意见稿)》(下称《办法》),公开向社会征求意见。此举意在规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动。
《办法》明确,数据处理者向境外提供数据,符合以下情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:一是关键信息基础设施的运营者收集和产生的个人信息和重要数据;二是出境数据中包含重要数据;三是处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;四是累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;五是国家网信部门规定的其他需要申报数据出境安全评估的情形。
数据作为一种资产,涵盖的信息包罗万象,保护数据安全亦是为了保护数据权属人的利益。然而,不得不面对的一个问题是,数据受到侵害的现象时有发生。FreeBuf咨询研究数据显示,2020年,63.5%的受访企业遭受过网络攻击。其中,45.9%的企业曾遭受过3次以上攻击。
中南财经政法大学数字经济研究院执行院长、教授盘和林在接受《证券日报》记者采访时表示,一方面,企业要在内部建立数据管理机制体制,包括存储数据国内服务器在使用之前进行数据脱敏,在获得授权之后使用数据等。另一方面,要将数据存储在国内,在跨国数据交易,或者数据用于跨国技术开发的时候,需要遵循法律规则。此外,需要建立专门的数据安全部门来处置数据安全问题。
“当前我国互联网公司,掌握个人信息量大多超过一百万条量级。建议互联网公司单独管理国内用户信息,或者将信息存放在国内。”盘和林认为,这是为了保护个人信息不受侵害,打击跨国个人信息贩卖行为。同时,为互联网公司跨国经营提出了更高的要求。
“出境数据安全评估,不只是必须遵循的程序要求,也是企业必须达标的能力。”盘和林说。
贵州数据宝产品研究院院长李可顺对《证券日报》记者表示,商业经济范畴主体是企业,互联网巨头掌握着相关行业领域部分深度数据。出海企业需要在数据采集端做好授权,合规合理地采集,数据存储环节需要对数据加密及分布式存储,在数据应用环节需要加强数据应用场景合规性识别,防止对国家、社会及民众造成损害。
