国家标准计划《信息安全技术 数据出境安全评估指南》由 TC260(全国网络安全标准化技术委员会)归口 ,主管部门为国家标准化管理委员会。
主要起草单位 上海华东电信研究院 、工业和信息化部电信研究院 、公安部第一研究所 、阿里巴巴(北京)软件服务有限公司等 。
35 信息技术、办公机械 |
35.040 字符集和信息编码 |
为降低跨境数据流动潜在的安全风险,保障国家安全、公共利益和公民权益,《中华人民共和国网络安全法》明确规定,关键信息基础设施运营者因业务需要,向境外提供在中国境内运营中收集和产生的个人信息和重要数据的,需按照国家网信部门会同国务院有关部门制定的办法进行安全评估。
为尽快落实有关规定,亟需制定有关国家标准,为国家网信部门、政府主管部门以及网络运营者开展数据出境主管部门评估以及数据出境安全自评估提供规范性指引,以健全数据出境安全评估框架,确保个人信息和重要数据合法流动的同时,避免其对国家安全、经济发展、社会公共利益和个人信息主体权益造成不利影响。
通过研究和制定《数据出境安全评估指南》,明确研究数据出境安全评估合法正当、风险可控两级评估体系。确定首先评估数据出境计划的合法性和正当性,数据出境计划不具有合法性和正当性,不得出境。在此基础上评估数据出境计划是否风险可控,将数据出境及再转移后被泄露、损毁、篡改、滥用等风险有效地降至最低限度的评估基本原理。同时,进一步细化风险可控中的评估要点,包括:个人信息属性评估、重要数据属性评估、数据发送方安全保护能力、数据接收方安全保护能力、数据接收方所在国家或地区的政治法律环境。并结合实际应用场景制定科学的、合理的、可操作的评估结果判定方法。此外,为保障《指南》的完备性、提高其指引性,还在《指南》中对数据出境评估管理的适用范围、评估启动条件、评估流程、重要术语和定义等进行了明确。