2022年9月1日,由國家互聯網信息辦公室公布的《數據出境安全評估辦法》(以下簡稱《評估方法》)正式實施。《評估辦法》從去年10月29日發布征求意見稿,到今年7月7日公布,再到9月1日實施,給企業數據出境安全合規指明了方向。尤其是《評估辦法》對數據出境管理中最為重要的“安全評估”手段予以明確,實現了規則性立法落地,是完善數字治理頂層制度設計的重要配套性規章。
為推動《評估方法》更好落地實施,8月31日,國家互聯網信息辦公室編制了《數據出境安全評估申報指南(第一版)》,對數據出境安全評估申報方式、申報流程、申報材料等具體要求作出了說明,為企業數據出境安全合規提供了更具體的實操指導和幫助。
奇安信集團網絡探針事業部、數據跨境衛士負責人劉洪亮表示,數據出境是我國數據合規領域的典型話題。《評估方法》、《個人信息出境標準合同規定(征求意見稿)》等法規的相繼發布,標志著《網絡安全法》《數據安全法》《個人信息保護法》規定的數據出境安全評估制度正式落地,也意味著數據出境監管的細化和加強。
劉洪亮特別提醒,涉及數據出境的絕不僅限于擁有國際業務的企業,數據交互和應用系統的增多令大量的政企機構都可能面臨數據出境的安全風險問題。例如,國內某些電商企業,因使用了第三方平臺或者軟件,不知不覺間部分業務數據已經跨境流出;在開展數據跨境分析時,國內某市的區政府,被發現有重要數據被海外下載的情況,成為數據被動出境的案例。
對廣大政企機構來說,經常面對數據資產不清、數據流向不清、數據流向變化不清的局面,劉洪亮表示,數據出境事關國家安全,企業及相關機構在合規建設上,需把握三個階段,解決好三大難題。
數據出境事關國家安全 三類企業機構存在風險
目前,跨境數據已從個人信息泛化到包括了非個人信息的一切數據范圍。數據不受限制的跨境流動,可能會引發用戶數據易被泄露、濫用等問題,給企業帶來技術管理、資產管理和組織管理上的問題;尤其是關鍵信息基礎設施數據等重要數據,涵蓋了國計民生的方方面面。一旦處理不當在出境過程中被非法獲取、非法利用,將給國家安全帶來嚴重威脅。
行業專家普遍認為,確保數據跨境流動安全,成為維護國家安全和推進國際數據治理的重要課題。但目前數據跨境的方式多樣,既包括將數據傳輸、存儲至境外,也包括從境外可以訪問、調用境內數據的情形。對大量的政企機構來說,需要改變“數據出境安全風險”僅涉及擁有國際業務的企業,這一錯誤認識。
總結奇安信所處理的事件和案例,目前涉及數據出境安全風險的主要有三種類型企業機構,分別是擁有跨國業務的企業、由于防護不當導致數據被動跨境的政企機構,以及使用第三方平臺或者軟件導致部分數據被動跨境的機構。
從涉及用戶的類型來看,很多政企用戶涉及第二類被動出境的情況,其中包括不少的政府機構。奇安信在相關機構分析運營商IDC流量時,發現很多政府相關信息和文件被下載的情況。第三類情況則在中小型電商平臺比較普遍。
出境合規建設的三個重要階段
根據對《評估辦法》的解讀,以及數據出境安全評估流程的梳理,奇安信將數據出境安全合規建設分為三個重要階段,分別是事前的風險自評估階段、安全評估階段以及持續監督階段。
第一階段:風險自評估階段
摸清家底、了解現狀是第一步。企業的業務系統與數據資產眾多且復雜,進行數據資產的全面盤點非常重要。此后,需要有技術手段對流出境外的數據進行全面的梳理和監測,清晰的看到自己都有哪些數據流出境外,當前流出了多少,都流向了哪里,進而摸清當前數據出境的實際情況。
第二階段:安全評估
進行全面的風險自評估并申請安全評估,并形成申請報告,并通過省網信辦上送國家網信部門。
國家網信部門受理申報后,根據申報情況組織國務院有關部門、省級網信部門、專門機構等進行安全評估,數據出境安全評估的結果有效期為2年。
第三階段:持續監測監督階段。
企業的業務是持續發展的,數據是動態變化的,只有事前自評估是無法滿足企業持續合規的要求。《評估辦法》中也有明確要求,事前評估和持續監督相結合,實現數據出境的持續合規。
數據出境合規建設需解決三個難題
對于政企機構來說,確保數據能滿足《數據安全法》、《個人信息保護法》、《評估辦法》等法規的合規要求,需要能清晰掌握業務數據、個人信息、重要數據等敏感數據的跨境流動情況——在看清數據流向的同時,能清晰、直觀的看到帶有個人信息、重要數據的敏感數據是通過什么人、在什么時間、在什么地點、通過什么方式發送到哪里。
但隨著數字化轉型的深化,業務上云和大數據的應用,使IT環境越來越復雜,應用系統越來越多,數據交互越來越多龐雜。再加上更多的數據來源、更多應用數據調用、更多的外部合作,政企機構存在數據資產不清、流向不明的情況。
因此,政企機構在數據出境領域面臨著三個難題:第一個難題就是如何厘清數據資產,明確自己數據資產的屬性、量級;第二個難題是如何明細數據流向;第三個難題是從網絡上流動的數據如何持續監測,同時避免數據被動出境。
合規建設離不開技術手段支撐
無論是風險自評估階段,還是持續監督階段,都需要有技術手段進行支撐,否則企業就無法在事前了解現狀,日常運行中由于業務變化導致出境數據發生變化也無法及時掌握。
2022年5月18日,奇安信對外發布了數據跨境衛士,它是基于政企的訴求研發的一款產品,可以在兩個重要階段協助企業進行數據出境的合規建設,幫助企業清晰掌握業務數據、重要數據、個人信息等敏感數據跨境流動詳情,做到對跨境數據流轉的可知、可視、可查。
憑借領先流量采集與還原能力、數據跨境傳輸檢測能力、數據跨境內容識別能力、數據跨境敏感數據檢測能力,數據跨境衛士可以幫助政企機構實現保障合規、可查可驗、看清流向、持續監測等四方面價值。
首先是助力合規,根據《數據安全法》、《個人信息保護法》、《網絡安全法》、《數據出境安全評估辦法》跨境數據監管等合規要求,進行網絡流動數據的發現和合規性檢查;其次是可查可驗,清晰掌握業務數據、重要數據以及個人信息等敏感數據跨境流動詳情;第三是看清流向,可以全面了解WHO(什么人)、WHEN(什么時間)、WHERE(什么地點)、HOW(什么方式)、WHAT(什么數據)等整個數據跨境流轉的整個過程,實現全局掌控;最后是持續監測,持續監測企業通過網絡的數據跨境流動的詳情,及時發現出境數據的變化情況,助力企業持續合規。
當前,我國數據跨境需求逐漸凸顯。根據國家互聯網信息辦公室對外的數據顯示,從2017年到2021年,我國數字經濟規模從27萬億元增長到超45萬億元,穩居世界第二。數字經濟發展動能正在加速釋放,對外數字經濟將迎來極大的發展空間,數據跨境傳輸的需求逐漸增多,在經濟交流過程中合法合規使用數據,將成為國家安全和企業發展的重中之重。奇安信預計,數據跨境安全將有上百億元的市場規模。