根据《评估办法》第五条以及《评估申报指南(第二版)》附件 4《数据出境风险自评估报告(模版)》,数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估,除了评估数据处理者自身的数据安全保障能力以外,还应将境外接收方“履行责任义务的管理和技术措施、能力等能否保障出境数据的安全”也列为重点评估事项。由此可见,正确对数据安全保障能力进行评估对企业完成数据出境至关重要,而如何正确、充分地评估数据安全保障能力往往是企业在开展数据出境风险自评估时的痛点。以下我们将以评估数据处理者的数据安全保障能力为例详细展开介绍。
《评估申报指南(第二版)》附件 4《数据出境风险自评估报告(模版)》中列举了评估数据处理者的数据安全保障能力所应包含的内容:
1. 数据安全管理能力,包括管理组织体系和制度建设情况,全流程管理、分类分级、应急处置、风险评估、个人信息权益保护等制度及落实情况(涉及个人信息出境的,需额外向网信办提供履行《个人信息保护法》第三十九条规定的情况说明及佐证材料,包括告知义务和取得个人的单独同意等,若企业在拥有《个人信息保护法》下豁免同意场景涉及的合法基础的前提下,不需取得个人同意);
2. 数据安全技术能力,包括数据收集、存储、使用、加工、传输、提供、公开、删除等全流程所采取的安全技术措施等;
3. 数据安全保障措施有效性证明,例如开展的数据安全风险评估、数据安全认证、数据安全检查测评、数据安全合规审计、网络安全等级保护测评等情况;
4. 遵守数据和网络安全相关法律法规的情况(如涉及受到行政处罚和监管整改的,可额外向网信办提供证明整改完成的相关佐证材料)。
对于以上评估内容,根据与监管机构的咨询来看,监管机构在进行材料审查时会对企业内部相关制度和数据传输过程中的安全技术进行综合审查。理论上来说,上述内容也均需要在企业提交的《数据出境风险自评估报告》中有所体现。监管机构表示企业提交的总结评估的内容越详细,越有助于监管机构正确评价企业的数据安全保障能力。
在实践中,一般着重从管理制度保障能力与技术手段保障能力两个方面对企业的“数据安全保障能力”进行评估:
(一)管理制度保障能力
企业应当根据相关法律法规详细描述数据安全有关的管理组织体系和制度建设情况20,例如企业内部的安全管理、人员管理、合同约束、审计机制、应急处理、个人信息权益保护等制度及落实情况21。一般来说,此部分的安全保障能力评估工作需要法务、安全、技术、审计等部门共同协作完成。
(二)技术手段保障能力
企业应当具备总体安全防护技术手段和数据安全技术防护体系以保障所传输数据的保密性、完整性和可用性。
企业应在评估事项中详细描述所采取的安全措施、所具备的数据安全事件的预防、检测及响应能力、数据传输过程中实施身份鉴别和访问控制的能力、保留数据发送日志的能力以及对数据发送、传输、销毁等各阶段进行审计的能力等。由于简单的书面文件审查无法对上述技术手段进行全方面的测评,建议企业在实际开展自评估时咨询相关领域技术专家的意见,对技术手段保障能力进行充分的评估并获取专业意见。
除这两方面的评估说明外,企业仍需提供数据安全保障措施有效性证明,例如开展的数据安全风险评估、数据安全认证、数据安全检查测评、数据安全合规审计、网络安全等级保护测评、ISO 认证等情况,进一步证实其整体的数据安全保障能力。
根据咨询监管机构的结果,企业在对境外接收方的数据安全保障能力进行评估时应与对数据处理者的数据安全保障能力进行评估时的维度一致,不因数据接收方为境外主体而有任何的变化。监管机构也表示,在进行材料审查时,也会依据境外接收方的数据管理制度及数据处理的安全技术措施来判断数据出境的风险情况。
来源:环球律师事务所等团队