埃森哲：2023数据出境合规白皮书（18页）.pdf

《埃森哲：2023数据出境合规白皮书（18页）.pdf》由会员分享，可在线阅读，更多相关《埃森哲：2023数据出境合规白皮书（18页）.pdf（18页珍藏版）》请在三个皮匠报告上搜索。

1、埃森哲数据出境合规白皮书目录03中国数据出境安全的法律环境和要求03数据出境安全评估办法的要求07埃森哲数据出境安全合规服务05数据出境场景下的企业痛点10数据安全保障能力建设服务15埃森哲的安全服务能力06数据发现与分类难08数据发现和分类分级服务06数据流梳理和风险识别难09数据安全风险评估服务09为客户合规持续提供安全服务06持续合规和技术落地难111214构建数据安全治理体系的能力构建全场景的数据安全技术防护能力构建持续改进数据安全运营管控能力090909个人信息保护影响评估 数据安全保障能力评估数据出境安全评估2 埃森哲数据出境合规白皮书中国据的律环和据评估办的随着数字经济的发展，数

2、据跨境活动日益频繁，数据出境需求也在快速增长。但因不同国家和地区法律制度和保护水平等存在差异，数据出境安全风险也随之激增。数据跨境活动不仅影响个人信息权益，还事关国家安全和社会公共利益。为了规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动，国家网信办依据 中华人民共和国网络安全法（下文简称 网安法）、中华人民共和国数据安全法（下文简称 数安法）、中华人民共和国个保法（下文简称 个保法）有关数据出境规定，制定了 数据出境安全评估办法。上述三部基础法律都有对数据本地化和数据跨境的要求。2017 年生效的 网安法 首次以法律的形式规范了数据跨境传输活动，即关

3、键信息基础设施运营者(“CIIO”)应当将其收集的个人信息和重要数据存储在境内，若确因业务需要向境外传输，需要依法进行安全评估。此后，数安法 和 个保法 分别对重要数据和个人信息的出境安全评估提出要求，同时其他相关规范性文件、国家标准等陆续出台，对个人信息、重要数据等不同数据类型涉及的法律风险和所需的保护提出不同要求，形成宽严不同的数据跨境流动管控政策。国家互联网信息办公室公布并于 2022 年 9月 1 日生效的 数据出境安全评估办法（以下简称“办法”），明确了需要申报数据出境安全评估的情形，并且将个人信息和重要数据均视为规制对象，落实了三部上位法的数据出境管理规定和要求，为数据处理者申报数

4、据出境安全评估提供了确定性的法律依据。图 1：数据出境场景任何主体任何数量个人信息1.关键信息基础设施运营者；2.处理100万人以上个人信息；3.自上年1月1日起累计向境外提供10万人个人信息敏感个人信息自上年1月1日起累计向境外提供1万人敏感个人信息的数据处理者向境外提供个人信息涉及个人信息处理数据出境场景场景一：场景二：向境外提供数据处理者收集和产生的数据在境内，境外的机构、组织或者个人可以访问或者调用数据处理者将在境内运营者收集和产生的数据传输、存储至境外涉及重要数据处理网信办认为的其他情形3 埃森哲数据出境合规白皮书办法涉及了两类主体和两类数据。两类主体：关键信息基础设施运营者：关键信

5、息基础设施是指面向公众提供网络信息服务，或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统，且这些系统一旦发生网络安全事故，会影响重要行业正常运行，对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。一般网络运营者：其他非关键信息基础设施运营者的企业和组织被作为一般网络运营者。两类数据：个人信息：根据中国个保法和国家标准 个人信息安全规范（GB/T-35273-2020）中对个人信息的定义，“识别性和关联性”是判断个人信息的根本依据。可识别性的例子如姓名，关联性的例子如个人浏览记录。法律还区分了普通个人信息和敏感个人信息，对于敏感个人信息需加强

6、保护。敏感个人信息如指纹、声纹、虹膜、面部识别特征等生物识别数据。重要数据：2017 年中国网络安全法第三十七条首次提出了“重要数据”的概念。数据出境安全评估办法中明确定义了重要数据：一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。办法明确了数据出境活动的两种场景：一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出。办法规定了两种评估形式：出境风险自评估和申报数据出境安全评估。且出境风险自评估是申报数据出境安全评估的前置程序。为了