一文看全数据跨境合规

简介: 于9月1日正式实施的《数据安全法》再次加码数据出境安全。基于8月27日《数据安全法》解读与阿里云三大合规方案线上直播活动,阿里云解决方案架构师锅涛分享的《数据跨境流转安全》主题内容,整理出数据出境安全的九问九答,为企业数据跨境流转送上安全锦囊。

于9月1日正式实施的《数据安全法》再次加码数据出境安全。


基于8月27日《数据安全法》解读与阿里云三大合规方案线上直播活动,阿里云解决方案架构师锅涛分享的《数据跨境流转安全》主题内容,整理出数据出境安全的九问九答,为企业数据跨境流转送上安全锦囊。



01

什么是数据出境?


数据出境是指网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。


这里需要关注两个关键词“个人信息”和“重要数据”。


个人信息:是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。


重要数据:是指相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)。



02

什么样的业务场景属于数据跨境?


  • Go-China外企入华

国外企业进驻中国,将在中国收集的用户数据传输到国外。


  • Go-Global中资出海

中国企业出海,将在中国收集的用户数据传输到国外。



03

数据出境有哪些相关法律法规要求?


主要相关法律包括:


  • 2017年6月正式施行的《网络安全法》第四章中首次提出重要数据和个人信息两大类数据的保护及跨境传输管理要求;

  • 2017年8月推出《信息安全技术 数据出境安全评估指南(征求意见稿)》;

  • 2019年网信办发布《个人信息出境安全评估办法》征求意见稿;

  • 2021年6月《数据安全法》再次提到数据出境需满足相关法律法规要求。


下图是关于数据出境监管要求历史时间轴:


image.png


可以看出,数据出境监管越来越完善和严格。



04

数据出境需要做哪些自查工作?


按照《数据安全法》第三十一条规定,如果是关键信息基础设施的运营者,重要数据出境安全管理适用《中华人民共和国网络安全法》规定;其他数据处理者收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。


《个人信息和重要数据出境安全评估办法(征求意见稿)》第八条对数据出境安全评估做了相应规定:


  • 要判断数据出境的必要性。

  • 涉及个人信息情况,包括个人信息的数量、范围、类型、敏感程度,以及个人信息主体是否同意其个人信息出境等,如果个人不同意,数据不能出境。

  • 涉及重要数据情况,包括重要数据的数量、范围、类型及其敏感程度等;不同敏感程度的数据相关的数据出境要求规定不同。

  • 数据传输给对方的时候要重点评估接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等;如果接收方有数据泄露风险,需要降低风险

  • 数据出境及再转移后被泄露、毁损、篡改、滥用等风险;



05

数据出境需要上报监管部门吗?


《个人信息和重要数据出境安全评估办法(征求意见稿)》第九条规定,出境数据存在以下情况之一的,网络运营者应报行业主管或监管部门组织进行安全评估:


1) 含有或累计含有50万人以上的个人信息;


2) 数据量超过1000GB


3) 包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;


4) 包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;


5) 关键信息基础设施运营者向境外提供个人信息和重要数据;


6) 其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。行业主管或监管部门不明确的,由国家网信部门组织评估。”



06

哪些情况不属于数据出境?


  • 非在中华人民共和国境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动加工处理的,不属于数据出境;

  • 非在中华人民共和国境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集产生的个人信息和重要数据的,不属于数据出境。


以上两种情况不需要按照数据出境相关要求开展自查工作。



07

什么样的情况属于数据出境?


属于数据出境的有三种情况:


1) 向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据;


2) 数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外);


3) 网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。



08

哪些情况下的数据是禁止出境的?


1) 个人信息出境未经个人信息主体同意,或可能侵害个人利益;


2) 数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益;


3) 其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的;


4) 网络运营者按照《信息安全技术 数据出境安全评估指南》评估方法进行安全自评估过程中,发现风险等级属于高或者极高的情况,是禁止数据出境的;如果按照对应要求进行整改后,风险等级降低为低,方可出境。



在数据跨境流转安全方面,阿里云提供什么服务?

阿里云为客户提供数据出境管理咨询服务和数据安全咨询服务,该服务由从事安全行业近20年资深专家一对一提供。


在数据出境管理咨询服务方面,可以依据数据出境的相关合规要求,梳理数据出境的合法性和正当性,出境数据的属性、类型、范围、数量、技术处理、发生安全事件的可能性,技术和管理制度的保障能力等,同时评估数据接收方的安全保护能力,法律政治环境等,配合客户完成数据出境的的合规整改工作


在数据安全咨询服务方面,为客户全面评估数据安全现状,输出《企业数据安全能力成熟度认证评估报告》,让企业全面了解数据生命周期安全过程域中的风险情况,协助企业做好数据安全治理的整改工作,满足国家监管合规。


点击“阅读原文”查看更多数据安全相关内容


 阿里云安全  


国际领先的云安全解决方案提供方,保护全国 40% 的网站,每天抵御 60 亿次攻击。


2020 年,国内唯一云厂商整体安全能力获国际三大机构(Gartner/Forrester/IDC)认可,以安全能力和市场份额的绝对优势占据领导者地位。


阿里云最早提出并定义云原生安全,持续为云上用户提供原生应用、数据、业务、网络、计算的保护能力,和基础设施深度融合推动安全服务化,支持弹性、动态、复杂的行业场景,获得包括政府、金融、互联网等各行业用户认可。


作为亚太区最早布局机密计算、最全合规资质认证和用户隐私保护的先行者,阿里云从硬件级安全可信根、硬件固件安全、系统可信链、可信执行环境和合规资质等方面落地可信计算环境,为用户提供全球最高等级的安全可信云。

相关文章
|
安全 数据处理 数据安全/隐私保护
企业出海数据合规:何为数据脱敏
数据脱敏并非简单技术手段,其涵盖法律与技术双重维度。法律上,脱敏是保护个人隐私的一种效果,技术上则是采用不可逆或难以还原的方法,降低数据泄露风险。GDPR下,个人身份、账户和健康信息等应脱敏处理,程度可根据数据敏感性确定。脱敏常见方法包括随机化、掩码、加密等,旨在保护数据安全与隐私。
1724 0
|
安全 Shell 网络安全
【服务器】Xshell与Xftp软件的使用指南
【服务器】Xshell与Xftp软件的使用指南
1801 0
|
存储 安全 数据处理
从GDPR“天价罚单”到数据安全法“安全评估”:代购系统的合规“避雷指南”
代购系统面临欧盟GDPR与中国《数据安全法》双重合规挑战。本文从法律框架、合规要点、技术工具与操作流程四方面,解析跨境数据处理的应对策略,助力企业实现安全合规的数据跨境流动。
|
11月前
|
存储 人工智能 算法
AI 图纸表格识别与智能文档协同处理技术介绍
针对制造业、工程建设等领域图纸表格数据提取效率低、误差高的问题,本文介绍了一套涵盖表格识别、数据导出、EBOM转MBOM及智能文档协同处理的技术方案,实现图纸数据结构化与全生命周期管理。
824 0
|
7月前
|
机器学习/深度学习 文字识别 算法
OCR与语义分割技术详解:法小师如何智能解析纸质合同
语义分割结合OCR,实现文档像素级理解,精准识别标题、表格、签名等元素,破解传统OCR无法解析版面的难题。通过深度学习与多模态融合,将复杂合同转化为可编辑、可分析的结构化数据,助力智能文档处理迈向“机器认知”新阶段。(238字)
|
11月前
|
机器学习/深度学习 监控 算法
摊位货摊自动识别与监控系统识别系统开箱即用教程 (YOLOv8)| 完整源码与部署教程
本项目展示了如何通过 YOLOv8 深度学习模型与 PyQt5 图形界面结合,开发一个 摊位货摊自动识别与监控系统。该系统能够高效地检测摊位上的商品,并对周围的行为进行实时监控,为摊位管理带来极大的便利。系统支持多种输入方式,如图像、视频和摄像头,并具备异常行为检测和报警功能。
摊位货摊自动识别与监控系统识别系统开箱即用教程 (YOLOv8)| 完整源码与部署教程
|
12月前
|
数据安全/隐私保护
阿里云的国内云与国际云差异
本文对比了阿里云国内云与国际云的核心差异,从用户群体、合规要求、数据安全、延迟等方面提供决策参考,帮助企业根据业务需求选择合适的云服务。
阿里云的国内云与国际云差异
|
11月前
|
机器学习/深度学习 存储 分布式计算
Java 大视界 --Java 大数据机器学习模型在金融风险压力测试中的应用与验证(211)
本文探讨了Java大数据与机器学习模型在金融风险压力测试中的创新应用。通过多源数据采集、模型构建与优化,结合随机森林、LSTM等算法,实现信用风险动态评估、市场极端场景模拟与操作风险预警。案例分析展示了花旗银行与蚂蚁集团的智能风控实践,验证了技术在提升风险识别效率与降低金融风险损失方面的显著成效。
|
编解码 测试技术 开发工具
绘梦有形,快手开源「可图 Kolors」,等你来玩
近期,快手开源了名为Kolors(可图)的文本到图像生成模型,该模型具有对英语和汉语的深刻理解,并能够生成高质量、逼真的图像。
|
存储 SQL 负载均衡
OceanBase
OceanBase是一款由蚂蚁集团和阿里巴巴完全自主研发的分布式关系型数据库,自2010年创始以来,一直致力于提供高效、稳定、可靠的数据存储和管理解决方案。该数据库具有数据强一致、高可用、高性能、在线扩展、高度兼容SQL标准和主流关系型数据库、低成本等特点,已经成为了许多企业和组织在处理大规模数据时的首选。 OceanBase采用分布式架构,可以将数据分布在多个节点上,实现了数据的负载均衡和容错处理。同时,它还具备数据强一致性的特点,可以保证数据在多个节点上的一致性,避免了数据不一致的问题。这使得OceanBase成为了金融、电商等对数据一致性要求极高的领域的理想选择。 除了在蚂蚁集团和阿里巴
723 7