(一)数据处理者将在境内运营中收集和产生的数据传输、 存储至境外。如境内的数据处理者通过传输、存储、上载、递送等动作,将其在境内运营中收集和产生的数据提供至境外,包括通过软件或硬件介质等方式,如电子邮件、U盘、移动硬盘、笔记本电脑等。
(二)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出。如访问包含重要数据或个人信息的公开网页、境外主体在境外对存储于境内的数据进行访问、下载或调用。
(三)国家网信办规定的其他数据出境行为。
适用数据出境安全评估的场景数据处理者向境外提供数据应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
(一)数据处理者向境外提供重要数据;
(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。
数据出境监管下的重要数据、个人信息、人类遗传资源信息重要数据
依评估办法规定,重要数据是指“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”。2022年1月7日国家标准征求意见稿《信息安全技术 重要数据识别指南》中,重要数据(critical data)是指“以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据“。应注意的是,重要数据不包括国家秘密和个人信息。而基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。
识别重要数据,应遵循包括聚集安全影响、突出保护重点、衔接既有规定、综合考虑风险、定量定性结合、动态识别复评等基本原则 。例如从聚集安全影响原则出发,从国家安全、经济运行、社会稳定、公共健康和安全等角度识别重要数据,而仅对组织自身而言重要或敏感的数据,例如企业内部管理相关数据,则不属于重要数据。识别重要数据的考量因素 ,还包括反映国家战略储备、应急动员能力的情形,如战略物资产能、储备量属于重要数据;还包括反映群体健康生理状况、族群特征、遗传信息等的基础数据的情形,如人口普查资料、人类遗传资源信息、基因测序原始数据属于重要数据;包括其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据等。
在描述重要数据时,除基本信息(如数据处理者、系统或应用、地区或部门)之外,应对以其重要性描述为重点,包括该等数据对国家安全、公共利益的影响,即重要数据之所以“重要”的理由;该等数据在保密性、完整性、可用性、真实性、准确性等方面可能面临的安全威胁;该等数据维持“重要性”的时间长度,时效过后便不再属于重要数据等。同时应对重要数据的数量、来源、用途、共享情况及保护情况予以说明。
个人信息
“个人信息” 在《个人信息保护法》中的定义为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。处理个人信息应采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。“敏感个人信息” 定义为“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”,包括生物识别、宗教信仰、医疗数据、金融信息、旅行记录等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
人类遗传资源信息
人类遗传资源信息是指利用含有人体基因组、基因等遗传物质的器官、组织、细胞等人类遗传资源材料产生的数据等信息资料。《人类遗传资源管理条例》第二十八条规定,将人类遗传资源信息向外国组织、个人及其设立或者实际控制的机构或者开放使用,不得危害我国公众健康、国家安全和社会公共利益;可能影响我国公众健康、国家安全和社会公共利益的,应当通过国务院科学技术行政部门组织的安全审查。将人类遗传资源信息向外国组织、个人及其设立或者实际控制的机构提供或者开放使用的,应当向国务院科学技术行政部门组织备案并提交信息备份。
关键信息基础设施运营者
关键信息基础设施运营者CIIO向境外提供个人信息的,按评估办法第四条规定,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。关键信息基础设施 运营者CIIO是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等的运营者。关键信息基础设施运营者CIIO的认定,需要通过国家网信部门与国务院电信主管部门公安部门等部门指定的关键信息基础设施识别指南。国家行业主管或监管部门按照关键信息基础设施识别指南,识别本行业本领域的关键信息基础设施。向CIIO提供网络产品和服务的公司,有配合网络安全审查的义务,包括签订含有网络安全审查内容的采购文件、协议、合同,提供材料和补充材料等,但并不必须要开展数据出境风险评估申报。
数据出境安全自评估的重点评估事项数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;与境外接收方拟订立的数据出境相关合同等法律文件是否充分约定了数据安全保护责任义务;其他可能影响数据出境安全的事项。
在线客服
微信
