阅读时长:13min
年8月19日,中伦律师事务所数据跨境“法律+技术一站式”落地方案研讨会在京举办并取得圆满成功。近百家大型跨国公司及头部互联网企业的法务和合规人员踊跃参与了现场问答环节。“首席风控合规官”出席参会,满载而归。
此次研讨会由中伦律师事务所、USITO、北京天空卫士网络安全技术有限公司主办,由USITO网络安全工作组主席张凡博士担任主持。中伦律所合伙人陈际红律师庖丁解牛,从法律的角度为到会嘉宾讲解了数据跨境的3种机制,即申报数据出境安全评估、完成个人信息跨境处理活动安全认证以及签订标准合同,并从实操的角度提供了出境项目规划与管理的建议。北京天空卫士网络安全技术有限公司董事、合伙人、高级技术总监杨明非则从技术的角度切入,创新性地提出了数据合规的“五能”理论,即“能识别”、“能控制”、“能阻断”、“能追溯”以及“能审计”。
主题演讲之后,陈际红律师和杨明非总监与现场参会嘉宾进行了现场问答沟通,并与报名参加“一对一”讨论的企业就风险诊断与落地路径展开针对性探讨,为企业数据跨境合规落地提供了更多宝贵的意见。
中伦律所合伙人陈际红律师指出,今年9月1日即将生效的《数据出境安全评估办法》虽然给企业提供了6个月缓冲期,即企业应在年3月1日之前完成整改及申报安全评估,但是企业需要完成数据盘点与分类分级、全量出境场景的识别以及适配出境机制的评估,可能还需要进行整改,甚至包括技术性的整改,时间是非常紧迫的。
那么什么是数据出境?简单来说,即境内和境外的两个主体,通过物理传输或者在线访问的方式,将我国境内运营中收集和产生的个人信息或者重要数据向境外进行了分享。从中国大陆传输到中国港澳台地区,也是属于数据跨境的情形。即便数据仅仅是使用了境外的服务器、云服务等,传输方和接收方都在境内,也是构成数据跨境的。
数据跨境有几种常见的情形,包括:
跨国公司向境外的母公司或者境外的合作伙伴提供数据;
境内数据处理者向境外委托处理商提供数据,以便使用境外的云服务等;
为了销售产品、服务,境外机构去境内直接收集个人信息(涉及跨境,是否需要申报数据出境安全评估有待观察);
境内公司跟境外公司签订条款,境外方获得数据之后再向第三国传输;
向境内的大使馆或者不受中国法管辖的机构传递数据……
数据跨境想要合规,有以下3种机制。其一是数据出境安全评估,与其他2种不同,一旦事件触发安全评估,大多涉及到国家安全和公共利益,比如境内主体为关键基础设施运营者(CIIO)、跨境的数据涉及大量个人信息或重要数据等。
*法律文件原文:
(二)关键信息基础设施运营者和处理万人以上个人信息的数据处理者向境外提供个人信息;
(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
针对数据出境安全评估,网信办已经开展试点工作,提供模板和指导,给企业进行评估、沟通和测试。此外,网信办还开通了安全评估的网上申报系统。考虑到评估的工作量比较大,且技术性比较强,因此网信办也把国家互联网应急中心纳入评估体系,由其作为一个支撑单位执行评估工作。
其二是个人信息跨境处理活动安全认证。适用认证机制的有以下几种场景,比如跨国公司境内外的平级公司、跨国公司境内外的上下级公司、通过股权或者业务相关联的关联公司等。这种场景的特点在于,数据的传输处理有利用性,各方关系稳定,比较容易达成方面协议、组织设施和数据处理的规则。
认证机制具有自愿和长效的特点。自愿的情况下,一旦认证成功,集团公司间的数据传输,都可以依赖这样一个认证机制进行数据传输。此外,认证的有效期较长,除非发生公司架构、公司规章或者认证事项的变化,否则有效期内不需要重新认证。
虽然《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》已经发布,但是指定机构和认证程序目前仍不明确。不过,从该实践指南来看,中国网络安全审查技术与认证中心、中国电子技术标准化研究院成为最终的指定机构也有合理性。至于认证程序方面,预计也将和欧盟的GDPR项下的“约束性公司规则”(BindingCorporateRules,“BCR”)类似。
其三是签订标准合同。尽管数据接收方不受中国法律管辖,但是可以将中国的《个保法》《数安法》等法律要求,以合同条款的形式写上去,对方接受合同约束,就等于接受中国法的约束。在签署合同之后,上述条款立即生效,但境内方仍需在标准合同生效之日起10个工作日内,向所在地省级网信部门备案。
但是选择标准合同这种机制是有条件的,比如签订条款之前,要做PIA(个人信息保护影响评估),同时PIA报告也应与标准合同一起提交备案。此外,要求数据接收方服从中国法律的管辖、接受中国监管机构的问询,也要考虑实际情况当中合同双方的谈判地位。
数据跨境合规的落地,陈际红律师给广大企业提供了“七步走”的项目管理建议。 步盘点数据,完成数据分类分级。第二步全量识别出境场景,包括出境的目的、系统、数据流、频次等等。第三步适配出境机制,评估、标准合同或者认证的机制“3选1”。第四步开展整改前风险自评估,若选择标准合同机制需要有个人信息保护评估。第五步合规整改。整改的话可能分两部分,一部分是管理措施、组织建设或者法律文件,另一部分是技术性整改。第六步,结合合规整改后的业务及合规管控现状,再次进行数据出境风险自评估。第七步,合规落地,或申报网信办安全评估;或申请跨境认证;或签订标准合同并备案。
北京天空卫士网络安全技术有限公司董事、合伙人、高级技术总监杨明非指出,技术要结合制度、流程、管理能力等整个体系来看,离开管理空谈技术,是无法保证安全的。
此外,数据跨境的安全与以往不同,以往谈数据安全是“防不防得住”,而出镜则意味着数据就是“防不住”、要出去,中间环节隐藏着各种各样的风险,只能通过管理、技术、能力等保护数据安全。除了自己传送方之外,还要看境外的接收方,防止数据在出境中和出境后,遭到篡改、破坏、泄露、丢失、转移或者被非法获取非法利用。从技术方向去分析的话,这是非常重要的一个点。
了解数据出境的路线之后,从技术的角度出发,有哪些事情可以保障数据跨境的安全呢?杨明非首先建议遵循“两个文件”、把握“三个主体”。“两个文件”即《个人信息保护法》和《个人信息跨境处理活动认证技术规范》,“三个主体”即个人信息所有者本人、境内的个人信息控制者以及境外的个人信息处理者。在此基础上,技术层面需要做到“五能”,即“能识别”、“能控制”、“能阻断”、“能追溯”以及“能审计”。
如何将一串数字识别出是手机号、身份证号还是信用卡号?杨明非提到了关键词正则表达式,这背后的原理是奇偶校验位,把一串数字拿出来做计算, 确认是代表一个地址还是银行卡号,这是实现“能识别”的其中一种技术手段。其他技术手段还包括通过机器学习,例如将某一类型的数据定义为敏感数据,由“人工智能”将数据库中的大量文件过一遍,提取出指纹的共性,这个共性会生成一个“指纹”,这是建立敏感数据模型的基础。之后在任何地方遇到类似数据,系统会通过共性去判断识别这是否是一个指纹敏感数据。
与之类似的,识别敏感信息和非敏感信息,也需要敏感数据内容识别分类分级的识别模板,这种模板当中的个人信息会包括住宅、姓名、身份证、生物识别信息等。
那何为“能控制”?文件是否有权限访问,是否涉及到个人信息出境,这些是法律给技术提出的要求,落地到数据本身,“能控制”的就是网络通路的传输。 个技术手段叫做可信网络,即可以信任的、安全的、网络传输的方式,比如移动通信系统EPS(EvolvedPacketSystem,演进的分组系统)、大部分企业的专线。如今,实践当中人们用到更多的是互联网及办公网,这种网络要采取加密的手段去做传输。
第二个技术手段就是脱敏, 传输脱敏的数据,而不是原始信息本身,这是除账号和密码之外,需要去做控制和管理的地方。
即便达到了“能控制”,但是数据出境过程中出现了非法使用、不正常使用、非合规的使用,超出了最小必要性原则等,例如仅仅申报个人信息出境,却产生了个人敏感信息出境,此时就还需要技术做到“能阻断”,及时切断通道,终止数据继续以不合规的方式出境。
法律还有一个要求是,个人信息处理的整个过程,包括收集、使用、变更,都要能清晰还原。数据全生命周期的流动过程中,每一个步骤数据到哪里去了,被谁做了什么操作,被谁传给了谁,在什么地方更改、外发了,这些各种各样的操作,需要技术做到“能追溯”。
个是离开网络边界的追溯。当我的数据离开了我的网络边界之后,比如屏幕上的数据被人拍照之后携带走,那么我可能在屏幕上设置了一个可见或者不可见的水印,如果对方将拍摄下来的照片传到了网盘,我们的系统通过回溯图上的水印,能够得出违规操作出现的时空情形,至少嫌疑对象追溯范围缩小。
第二个可以依赖企业内部支持。信息怎么在企业内部流动,目前大多企业在这方面还是“两眼一摸黑”,这里有技术的限制,也有成本的限制。具体追溯数据的载体文件,还是数据的本身,也是技术人员面临的一个选择。针对数据在企业内部的流转,天空卫士的答案是“可视化”,即将个人PC电脑、办公环境内容以及所有业务环节整个后台体系(邮件、即时通讯、网盘等)等系统数据流转的过程进行“可视化”,追溯出完整、清晰的整个流程。
当上述所有都实现的时候,“能审计”也是水到渠成的问题了。《个人信息跨境处理活动认证技术规范》对数据的非授权访问、滥用等问题有严格的规定。比如企业在任何时候,输出任何一个文件或者一个号,企业都能知道其中哪些人对数据进行了处理,通过什么系统进行了外发,能够自证清白。这个就是通过审计日志流程,自证符合国家法律要求,即所谓“能审计”。
在问答环节中,现场企业参会人员对数据出境安全评估的时间节点提出了困惑。对于企业而言,自9月1日起有6个月的缓冲时间,那么年的3月1日是企业必须提交申报的期限,还是企业必须完成整改的期限?企业开展自评估和申报的具体时间节奏如何把控?
陈际红律师提出了“一看二慢三通过”的建议。他指出,对于触发数据出境安全评估的企业,无需扎堆申报,因为9月1日相关文件正式生效之时,操作层面仍有许多细致的要求尚不明确,包括不同行业的评估模板等,企业可以先行观望,以免反复波折。但观望并不意味着评估就可以束之高阁了,待10月、11月实操问题都明细之后,内部需要慢慢展开自评估,甚至可能需要做出制度整改和技术整改,才能够在申报的时候顺利通过。此外,年3月1日虽然是申报的截止日期,但是企业也不能过于大意懈怠,一旦申报不通过的结果出来,最多拥有1次向国家网信部门申请复评的机会不说,企业能否继续原来的日常运营也有很大困难。
-End-
本文撰写所需的信息采集自合法公开渠道,我们将尽力核实信息的真实性与可靠性,但不对信息的完整性、准确性、时效性提供任何形式的保证,且不对因信息错误或遗漏导致的任何损失或损害承担责任。本文系原创文章,版权归作者所有,如需开白、转载或出版,请联系后台。