跨境数据流动是否会被一刀切?不会。2020版互联网区域政策的核心思路是“分级管理+动态清单”,既保护国家安全,又为企业留出合规通道。
(图片来源网络,侵删)
政策出台背景:从“宽松”到“精准”
过去十年,我国对跨境数据采取“原则允许、例外禁止”的宽松态度;随着全球数字主权竞争加剧,2020年调整为“原则评估、例外允许”。关键转折点包括:
- 2019年《个人信息保护法(草案)》首次提出“敏感个人信息出境安全评估”;
- 2020年6月《网络安全审查办法》将数据出境纳入审查范围;
- 2020年9月《出口管制法》把“关键数据”列入两用物项。
核心框架:三大清单+四级评估
1. 数据分级清单
政策把数据分为公开、内部、重要、核心四级。只有“重要”及以上级别才触发强制评估。
2. 区域清单
并非所有国家都一视同仁。官方每季度更新“可信区域白名单”,在白名单内的接收方只需备案,无需逐笔审批。
3. 场景清单
科研合作、跨国诉讼、集团内共享等七类场景可走简化通道,提交自评报告即可。
企业合规五步法
- 数据测绘:用自动化工具扫描所有数据库,标记敏感字段。
- 差距分析:对照《数据出境安全评估指南》找出缺口。
- 整改加固:加密、脱敏、匿名化三选一,必须可验证。
- 模拟演练:邀请第三方机构做渗透测试,出具报告。
- 持续监测:每半年更新一次风险评估,动态调整。
常见疑问解答
Q:云服务厂商在海外有节点,是否算数据出境?
A:只要境内用户数据被境外运维人员访问,即视为出境,需要评估。
(图片来源网络,侵删)
Q:加密后的数据出境是否豁免?
A:加密是必要非充分条件,仍需评估密钥管理、算法强度及接收方解密能力。
Q:外企在华子公司向母公司回传员工数据,如何申报?
A:可走集团内部共享简化通道,但须证明母公司所在国在白名单内,且已签署标准合同条款。
处罚案例与启示
2021年某头部社交平台因未申报“核心数据”出境,被网信办处以5000万元罚款并暂停新用户注册。教训有三:
- 把“算法模型参数”误认为非敏感数据;
- 未在合同中限定数据用途;
- 缺少接收方所在国法律环境尽调。
未来趋势展望
2023年底,官方已就“跨境数据流动负面清单”征求意见,预计2024年发布。届时,清单外数据可自由流动,清单内仍需一事一议。企业应提前布局:
- 建立数据出境合规官(DPO)岗位;
- 引入隐私计算技术,实现“数据可用不可见”;
- 参与行业自律联盟,共享白名单更新信息。
(图片来源网络,侵删)
评论列表