《数据出境安全评估办法》开始实施 可能给网络信息安全产业链带来什么危害?
2022年9月1日,我国互联网信息办公室公布的《数据出境安全评估办法》(下称《评估办法》)开始实施。《评估办法》致力于标准数据出境主题活动,保护个人信息利益,推动数据跨境安全性、自由化。这篇文章主要是剖析《评估办法》其价值特性、《评估办法》具体内容以及对推动网络信息安全行业发展的思索。
一、《评估办法》使用价值特性剖析
《评估办法》做为行政法规,其政策法规使用价值取决于贯彻落实《网络安全法》《数据安全法》《个人信息保护法》等上位法搭建的数据出境安全风险评估规章制度,它的价值特性可概括为下列三方面:
一是促进规章制度闭环控制。《网络安全法》(第37条)、《数据安全法》(第31条)、《个人信息保护法》(第40条)针对核心数据和个人信息的出国安全风险评估作出了规章制度受权并预留了政策法规优化室内空间。《评估办法》针对数据出境安全风险评估的具体内容工作方案等作出明确的规定,是并对上位法有关制度框架的优化快速发展,切实推进了数据出境安全风险评估体制的闭环控制。
二是完成标准划一。先前《数据安全法》在指定“关键数据出境安全风险评估”时,将“关键基础设施核心数据”和其它核心数据开展区别,即:重要信息基础设施运营人的主要数据出境安全工作,可用《网络安全法》,别的数据处理者的主要数据出境安全工作,由国家网信部门会与国务院令相关部门制订核心数据的出国安全管理办法。《评估办法》的施行,在关键数据主体层面不会再突显注重重要信息基础设施运营人和其它核心数据运营主体的区别,并把“关键数据出境的管理条例”进一步明确为“数据出境安全风险评估方法”,有益于推动标准合一并提升法律高效率。
三是确立范畴定义。我国互联网办公室对数据出境安全风险评估有关管理条例进行过三次公开征求意见,各是:2017版《个人信息和重要数据出境安全评估办法(征求意见稿)》、2019版《个人信息出境安全评估办法(征求意见稿)》及2021版《数据出境安全评估办法(征求意见稿)》。可以看出,本次《评估办法》的施行,将私人信息、关键信息等统一列入数据出境评定的范围,进一步统一和确定了需评定数据的范畴,有利于推动数据出境评估工作的统一性。
二、《评估办法》关键内容梳理
《评估办法》确定了数据出境安全风险评估的监管主体、评估对象和实施流程等,主要内容剖析如下所示。
监管主体
《评估办法》针对不同评定环节对相关行为主体明确提出明确规定。在评定申请环节,由省级网信部门承担申请材料的完备性查验,申请材料不全理应退还并通知数据处理者需要补的原材料;在评定审理环节,由国家网信部门在7个工作日后确定是不是审理安全风险评估;在评定实施阶段,由国家网信部门机构国务院令相关部门、省部级网信部门、主管机关等方面进行安全风险评估。
与2021版《征求意见稿》对比,《评估办法》删掉了主管部门,一是防止主管部门和国务院相关部门词义反复;二是保证涉及到关键数据出境的情况仍由国家网信部门核心鉴定。
评估对象
从数据处理方法目标而言,评估对象分成关键数据处理者、自己信息资源管理者和关键信息基础设施运营人三类;从数据处理方法具体内容而言,评估对象可以分为给予核心数据和私人信息两类,在其中本人信息提供者也可划分为重要信息基础设施运营人、解决100万人以上本人信息资源管理者、自去年1月1日起总计向海外给予10数万人本人信息资源管理者和总计向海外给予1数万人比较敏感本人信息资源管理者四种种类。
比照2021版《征求意见稿》,《评估办法》一方面优化了数据处理方法行为主体,删掉单列的重要信息基础设施运营人处理数据主题活动;另一方面优化了评定适用范围,确定了向海外给出的数据的时间节点。
实施流程
《评估办法》对申请数据出境安全风险评估全过程作出详尽要求,根据评定需要经过“自评定 安全风险评估 再次评定”等一系列阶段,实际步骤如图所示。
与2021版《征求意见稿》对比,《评估办法》关键规范了下列三方面步骤:一是确立省部级网信部门的完备性检查义务,要求省部级网信部门在5个工作日后进行检查,并有责任告之数据处理者需填补的原材料;二是提升数据处理者申请办理复审步骤,数据处理者可以从接到评价结果15个工作日后申请办理复审,复审结果为最后结果;三是设置数据出境评估活动整改期限,不符方法所规定的数据处理者理应于2023年2月28日前完成整顿。
三、《评估办法》促进产业发展思索
《评估办法》在加强数据出境安全工作的前提下,针对推动网络信息安全产业发展一样具有极强的指导作用。主要表现在其可以推动和指导下列两大类要求发展趋势。
一是推动数据出境安全风险评估服务项目。《评估办法》明确了数据处理者“理应进行数据出境风险性自评定”的责任义务,这对网络安全行业来讲,毫无疑问会促进数据出境评定服务内容的高速发展。一方面,推动面对数据处理者专业化的数据出境安全保障,如数据出境自评估咨询、出国数据信息资产审计、数据信息安全风险管理、数据脱敏、及其数据出境安全风险评估一体化解决方法等。另一方面,推动面对数据评估权威机构的支撑服务发展趋势,如出国关键数据识别、数据出境安全隐患鉴别、数据出境安全事故处理等常用工具产品研发等。除此之外,能促进网络信息安全出国有关培训业务的高速发展,如网络信息安全经营资质和技术培训、数据信息风险评估与应急培训等。
二是推动数据出境安全管理支撑服务。《评估办法》明确了我国相关职能部门所需承担的监管职责,这对有关监管的支撑服务也具备积极主动推动作用。主要包含:数据出境风险监测、隐秘数据威胁情报适用、数据出境安全性协同管理平台等。
综上所述由此可见,《评估办法》是中国数据安全制度管理体系不可或缺的一部分,都是全面提高在我国数据安全保障的能力重要保障一环,而且伴随着数据出境安全风险评估体制的逐渐贯彻落实推动,网络信息安全产业链也必将随着获得深层次促进发展。《评估办法》的出台,不但是中国网络信息安全法制建设的里程碑式,也是印证保护和网络信息安全产业链高质量发展新的征程。
相关阅读:
本文经41sky股票入门网自动排版过滤系统处理!