》,该办法自2022年9月1日起正式施行,从去年10月29日发布征求意见稿到今年的正式发布、实施,这给企业数据出境安全合规指明了方向。
国内很多企业的业务日益国际化,国内的数据经常需要出境流向全球其他各分支机构、或者业务伙伴,对公司数据出境具体需要要做哪些工作,很多企业的IT负责人始终没清晰的思路,笔者今天以制药行业为例和大家聊聊数据出境那些事。
第三十七条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人隐私信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当依照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
第六十六条关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法来得到的,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第十一条国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。
第三十一条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
第三十六条中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
第四十六条违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
第三十六条国家机关处理的个人隐私信息应当在中华人民共和国境内存储;确需向境外提供的,应进行安全评估。安全评估能要求有关部门提供支持与协助。
第三十八条个人隐私信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备以下条件之一:
3) 依照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人隐私信息的条件等有规定的,可根据其规定执行。
个人隐私信息处理者应当采取必要措施,保障境外接收方处理个人隐私信息的活动达到本法规定的个人隐私信息保护标准。
第三十九条个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、解决方法、个人隐私信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。
第四十条关键信息基础设施运营者和处理个人隐私信息达到国家网信部门规定数量的个人隐私信息处理者,应当将在中华人民共和国境内收集和产生的个人隐私信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
第四十一条中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人隐私信息的请求。非经中华人民共和国主管机关批准,个人隐私信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人隐私信息。
第四十二条境外的组织、个人从事侵害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。
第五十五条有以下情形之一的,个人隐私信息处理者应当事前进行个人信息保护影响评估,并对处理情况做记录:
第三十五条数据处理者因业务等需要,确需向中华人民共和国境外提供数据的,应当具备以下条件之一:
2)数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人隐私信息保护认证;
3)依照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同,约定双方权利和义务;
数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人隐私信息的,或者为保护个人生命健康和财产安全而必须向境外提供个人隐私信息的除外。
第三十六条数据处理者向中华人民共和国境外提供个人隐私信息的,应当向个人告知境外数据接收方的名称、联系方式、处理目的、解决方法、个人隐私信息的种类以及个人向境外数据接收方行使个人隐私信息权利的方式等事项,并取得个人的单独同意。
收集个人隐私信息时已单独就个人隐私信息出境取得个人同意,且按照取得同意的事项出境的,无需再次取得个人单独同意。
第三十七条数据处理者向境外提供在中华人民共和国境内收集和产生的数据,属于以下情形的,应当通过国家网信部门组织的数据出境安全评估:
2)关键信息基础设施运营者和处理一百万人以上个人隐私信息的数据处理者向境外提供个人隐私信息;
第三十八条中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可根据其规定执行。
1) 不得超出报送网信部门的个人隐私信息保护影响评估报告中明确的目的、范围、方式和数据类型、规模等向境外提供个人隐私信息;
2) 不得超出网信部门安全评估时明确的出境目的、范围、方式和数据类型、规模等向境外提供个人隐私信息和重要数据;
3) 采取合同等有效措施监督数据接收方按照双方约定的目的、范围、方式使用数据,履行数据安全保护义务,保证数据安全;
4) 接受和处理数据出境所涉及的用户投诉;5)数据出境对个人、组织合法权益或者公共利益造成损害的,数据处理者应当依法承担责任;
7) 国家网信部门会同国务院有关部门核验向境外提供个人信息和重要数据的类型、范围时,数据处理者应当以明文、可读方式予以展示;
8) 国家网信部门认定不得出境的,数据处理者应当停止数据出境,并采取比较有效措施对已出境数据的安全予以补救;
9) 个人隐私信息出境后确需再转移的,应当事先与个人约定再转移的条件,并明确数据接收方履行的安全保护义务。
非经中华人民共和国主管机关批准,境内的个人、组织不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
第四十条向境外提供个人隐私信息和重要数据的数据处理者,应当在每年1月31日前编制数据出境安全报告,向设区的市级网信部门报告上一年度以下数据出境情况:
4) 涉及向境外提供数据的用户投诉及处理情况;5)发生的数据安全事件及其处置情况;
第四十一条国家建立数据跨境安全网关,对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播。
任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等,不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术上的支持、传播推广、支付结算、应用下载等服务。
第四十二条数据处理者从事跨境数据活动应当依照国家数据跨境安全监督管理要求,建立完整有关技术和管理措施。
第二条数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人隐私信息的安全评估,适用本办法。法律、行政法规另有规定的,依照其规定。
第三条数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。
第四条数据处理者向境外提供数据,有以下情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
2) 关键信息基础设施运营者和处理100万人以上个人隐私信息的数据处理者向境外提供个人隐私信息;
3) 自上年1月1日起累计向境外提供10万人个人隐私信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
第八十条违反本法规定,境外组织、个人及其设立或者实际控制的机构在我国境内采集、保藏我国人类遗传资源,或者向境外提供我国人类遗传资源的,由国务院科学技术主管部门责令停止违背法律规定的行为,没收违法来得到的和违法采集、保藏的人类遗传资源,并处一百万元以上一千万元以下的罚款;违法来得到的在一百万元以上的,并处违法来得到的十倍以上二十倍以下的罚款。
人类遗传资源,包括人类遗传资源材料和人类遗传资源信息。人类遗传资源材料是指含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料。人类遗传资源信息是指利用人类遗传资源材料产生的数据等信息资料。
第七条外国组织、个人及其设立或者实际控制的机构不得在我国境内采集、保藏我国人类遗传资源,不得向境外提供我国人类遗传资源。
第二十二条利用我国人类遗传资源开展国际合作科学研究的,应当符合条例要求的条件,并由合作双方一同提出申请,经国务院科学技术行政部门批准:
第二十八条将人类遗传资源信息向外国组织、个人及其设立或者实际控制的机构提供或者开放使用,不得危害我国公众健康、国家安全和社会公共利益;可能会影响我国公众健康、国家安全和社会公共利益的,应当通过国务院科学技术行政部门组织的安全审查。
将人类遗传资源信息向外国组织、个人及其设立或者实际控制的机构提供或者开放使用的,应当向国务院科学技术行政部门备案并提交信息备份。
利用我国人类遗传资源开展国际合作科学研究产生的人类遗传资源信息,合作双方可以使用。
2) 数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人隐私信息保护认证;
3) 依照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同,约定双方权利和义务;
数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。
2)数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人隐私信息保护认证;
3)依照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同,约定双方权利和义务。
但是如果出境的数据满足下面条件之一,必须要通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
2)关键信息基础设施运营者和处理100万人以上个人隐私信息的数据处理者向境外提供个人隐私信息;
3)自上年1月1日起累计向境外提供10万人个人隐私信息或者1万人敏感个人隐私信息的数据处理者向境外提供个人信息;
同时,凡是涉及数据出境,均需做个人信息保护影响评估、和数据出境风险自评估。
身份证、军官证、护照、驾驶证、工作证、出入证、社保卡、居住证、港澳台通行证等
金融账户及金融账户相关信息,包括但不限于支付账号、银行卡磁道数据(或芯片等效信息)、证券账户、基金账户、保险账户、其他财富账户、公积金账户、公积金联名账号、账户开立时间、开户机构、账户余额以及基于上述信息产生的支付标记信息等
个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等
基于实时地理位置形成的个人行踪和行程信息,例如实时精准定位信息、GPS车辆轨迹信息、出入境记录、住宿信息(定位到街道、小区甚至更精确位置的数据)等
用于验证主体有没有访问或使用权限的信息,包括但不限于登录密码、支付密码、账户查询密码、交易密码、银行卡有效期、银行卡片验证码(CVN 和 CVN2)、口令、动态口令、口令保护答案、短信验证码、密码提示问题答案、随机令牌等
1) 反映国家战略储备、应急动员能力,如战略物资产能、储备量属于重要数据;
2) 支撑关键基础设施运行或重点领域工业生产,如直接支撑关键基础设施所在行业、领域核心业务运行或重点领域工业生产的数据属于重要数据;
3) 反映关键信息基础设施网络安全保护情况,可被利用实施对关键信息基础设施的网络攻击,如反映关键信息基础设施网络安全方案、系统配置信息、核心软硬件设计信息、系统拓扑、应急预案等情况的数据属于重要数据;
4) 关系出口管制物项,如描述出口管制物项的设计原理、工艺流程、制作的过程等的信息以及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告属于重要数据;
5) 可能被其他几个国家或组织利用发起对我国的军事打击,如满足一定精度要求的地理信息属于重要数据;
6) 反映重点目标、重要场所物理安全保护情况或未公开地理目标的位置,可能被、犯罪分子利用实施破坏,如反映重点安保单位、重要生产企业、国家重要资产(如铁路、输油管道)的施工图、内部结构、安防等情况的数据,以及未公开的专用公路、未公开的机场等的信息属于重要数据;
7) 可能被利用实施对关键设备、系统组件供应链的破坏,以发起高级持续性威胁等网络攻击,如重要客户清单、未公开的关键信息基础运营者采购产品和服务情况、未公开的重大漏洞属于重要数据;
8) 反映群体健康生理状况、族群特征、遗传信息等的基础数据,如人口普查资料、人类遗传资源信息、基因测序原始数据属于重要数据;
9) 国家自然资源、环境基础数据,如未公开的水情信息、水文观测数据、气象观测数据、环保监测数据属于重要数据;
10) 关系科学技术实力、影响国际竞争力,如描述与国防、国家安全相关的知识产权的数据属于重要数据;
11) 关系敏感物项生产交易以及重要装备配备、使用,可能被外国政府对我实施制裁,如重点企业金融交易数据、重要装备生产制造信息,以及国家重大工程项目施工过程中的重要装备配备、使用等生产活动信息属于重要数据;
12) 在向政府机关、军工企业及其他敏感重要机构提供服务过程中产生的不宜公开的信息,如军工企业较长一段时间内的用车信息;
13) 未公开的政务数据、工作秘密、情报数据和执法司法数据,如未公开的统计数据;
14) 别的可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、、海外利益、生物、太空、极地、深海等安全的数据。
扫一扫 了解更多