《評估辦法》規定,網絡運營者應每年開展安全自評估,具體啟動條件包括:涉及數據出境的;關鍵信息基礎設施運營者進行數據出境之前的;已完成數據出境安全自評估的產品或業務所涉及的個人信息和重要數據出境,在目的、范圍、類型、數量等方面發生較大變化、數據接收方變更或發生重大安全事件的;按照行業主管或者監管部門要求啟動的。
對于滿足上述啟動條件的,網絡運營者應當啟動自評估,并制定數據出境計劃,計劃內容包括但不限于:數據出境目的、范圍、類型、規模;涉及的信息系統;中轉國家和地區(如存在);數據接收方及其所在的國家或地區的基本情況及安全控制措施等。
數據出境安全評估首先應遵循以下步驟:首先評估數據出境計劃的合法性和正當性; 數據出境活動不具有合法性和正當性, 不得出境。在此基礎上再評估數據出境計劃是否風險可控,有效避免數據出境及再轉移后被泄露、損毀、篡改、濫用等風險。
具體而言,關于合法性,網絡運營者需關注數據出境計劃是否屬于法律法規明令禁止的內容;是否屬于我國政府簽訂的有關國際條約所約定的情形;是否已取得個人信息主體的授權同意,同時需注意,在危及公民生命財產安全的緊急情況下,不需符合前述條件;另外,還需關注計劃社否涉及國家網信部門、公安部門、安全部門等有關部門依法認定不能出境的內容。
關于正當性,則是指計劃涉及的出境數據是網絡運營者開展日常業務運營所必須的;是履行合同義務或我國法定義務所必須的;屬于司法協助需要的;及其他維護網絡空間主權和國家安全、社會公共利益、保護公民合法利益需要的。
風險可控也是數據出境的重要要求之一。對于個人信息與重要數據,都需分析其數據屬性,包括數據規模、技術處理程度等,個人信息需注意考察信息的敏感程度及個人信息主體是否同意其個人信息出境等。同時,網絡運營方需要結合數據發出方的管理能力與接收方的安全保障能力與數據接收區域的法律政策環境預估數據出境發生安全事件的概率與解決辦法。
版權申明:本內容來自于互聯網,屬第三方匯集推薦平臺。本文的版權歸原作者所有,文章言論不代表鏈門戶的觀點,鏈門戶不承擔任何法律責任。如有侵權請聯系QQ:3341927519進行反饋。
