《评估办法》规定,网络运营者应每年开展安全自评估,具体启动条件包括:涉及数据出境的;关键信息基础设施运营者进行数据出境之前的;已完成数据出境安全自评估的产品或业务所涉及的个人信息和重要数据出境,在目的、范围、类型、数量等方面发生较大变化、数据接收方变更或发生重大安全事件的;按照行业主管或者监管部门要求启动的。
对于满足上述启动条件的,网络运营者应当启动自评估,并制定数据出境计划,计划内容包括但不限于:数据出境目的、范围、类型、规模;涉及的信息系统;中转国家和地区(如存在);数据接收方及其所在的国家或地区的基本情况及安全控制措施等。
数据出境安全评估首先应遵循以下步骤:首先评估数据出境计划的合法性和正当性; 数据出境活动不具有合法性和正当性, 不得出境。在此基础上再评估数据出境计划是否风险可控,有效避免数据出境及再转移后被泄露、损毁、篡改、滥用等风险。
具体而言,关于合法性,网络运营者需关注数据出境计划是否属于法律法规明令禁止的内容;是否属于我国政府签订的有关国际条约所约定的情形;是否已取得个人信息主体的授权同意,同时需注意,在危及公民生命财产安全的紧急情况下,不需符合前述条件;另外,还需关注计划社否涉及国家网信部门、公安部门、安全部门等有关部门依法认定不能出境的内容。
关于正当性,则是指计划涉及的出境数据是网络运营者开展日常业务运营所必须的;是履行合同义务或我国法定义务所必须的;属于司法协助需要的;及其他维护网络空间主权和国家安全、社会公共利益、保护公民合法利益需要的。
风险可控也是数据出境的重要要求之一。对于个人信息与重要数据,都需分析其数据属性,包括数据规模、技术处理程度等,个人信息需注意考察信息的敏感程度及个人信息主体是否同意其个人信息出境等。同时,网络运营方需要结合数据发出方的管理能力与接收方的安全保障能力与数据接收区域的法律政策环境预估数据出境发生安全事件的概率与解决办法。
版权申明:本内容来自于互联网,属第三方汇集推荐平台。本文的版权归原作者所有,文章言论不代表链门户的观点,链门户不承担任何法律责任。如有侵权请联系QQ:3341927519进行反馈。
