网信办(bàn)于2023年9月28日发布《规范和促进数据跨境流动规定（征求意见稿）》（下文(wén)简称《规定》）。《规定》的出台，意味着监管机关正在打造更完善、细致的数据出境监管體(tǐ)系。《规定》第四条列出了3种数据可(kě)免审核出境的场景：（一）為(wèi)订立、履行个人作(zuò)為(wèi)一方当事人的合同所必需，如跨境購(gòu)物(wù)、跨境汇款、机票酒店(diàn)预订、签证办(bàn)理(lǐ)等，必须向境外提供个人信息的；（下文(wén)简称本条款為(wèi)“履约所必须”）（二）按照依法制定的劳动规章制度和依法签订的集體(tǐ)合同实施人力资源管理(lǐ)，必须向境外提供内部员工(gōng)个人信息的；（下文(wén)简称本条款為(wèi)“内部员工(gōng)管理(lǐ)”）（三）紧急情况下為(wèi)保护自然人的生命健康和财产(chǎn)安(ān)全等，必须向境外提供个人信息的。（下文(wén)简称本条款為(wèi)“紧急情况”）在履约所必须、内部员工(gōng)管理(lǐ)、紧急情况这三种情况下，数据处理(lǐ)者可(kě)凭借用(yòng)户的单独同意直接将个人信息传输往境外。但请注意《规定》未免除《数安(ān)法》及《个保法》对数据安(ān)全、个人信息安(ān)全提出的要求！企业仍需签署数据传输协议、开展个人信息保护影响评估等基础工(gōng)作(zuò)，确保合规风险的可(kě)控性。

在履约所必须方面，需着重注意本条款仅限“个人作(zuò)為(wèi)一方当事人的合同”，实际运营场景中(zhōng)，如法规中(zhōng)列举的机票酒店(diàn)、跨境購(gòu)物(wù)等场景，消费者往往是和OTA平台、中(zhōng)介签订合同，此类中(zhōng)介机构再将订单及个人信息打包交给供应商(shāng)、航空公(gōng)司，此类情况下航空公(gōng)司与消费者间并不属于“个人作(zuò)為(wèi)一方当事人的合同”！企业需确定个人信息关联的合同是否為(wèi)直签，这对企业内部数据资产(chǎn)管理(lǐ)提出了更高的要求，内部传统数据管理(lǐ)系统恐怕已无法胜任。同时企业需要梳理(lǐ)自身那些业務(wù)场景符合新(xīn)规要求，管理(lǐ)此类业務(wù)场景的行政人员、IT人员是否了解数据跨境要求，应尽快准备数据出境合规治理(lǐ)平台，协助管理(lǐ)出境资产(chǎn) ，进行出境前风险自评估 、风险治理(lǐ)以及持续监测。在内部员工(gōng)管理(lǐ)方面，需注应聘者、外包与企业无劳动合同不属于本条法规的豁免范围。劳动法规定可(kě)企业应建立职工(gōng)名(míng)册，职工(gōng)名(míng)册中(zhōng)应包含姓名(míng)、性别、身份证号码、户籍地址及现住址、联系方式、用(yòng)工(gōng)形式、用(yòng)工(gōng)起始时间、劳动合同期限。此外还可(kě)收集与劳动合同相关内容，如學(xué)历、从业经历、能(néng)力证明等。在不同工(gōng)作(zuò)行业、场景中(zhōng)的特定信息符合《规定》要求，可(kě)免审核数据跨境传输。如《食安(ān)法》要求患有(yǒu)有(yǒu)碍食品安(ān)全疾病，不得从事接触直接入口食品的工(gōng)作(zuò)。企业可(kě)将涉及入口食品的工(gōng)作(zuò)岗位劳动者“有(yǒu)碍食品安(ān)全疾病”信息与健康证类信息免审核跨境。此类信息需有(yǒu)法律法规支持，企业内部自行向劳动者索取的信息，如婚育状况、民(mín)族种族等与劳动合同无关的信息无法按照本条款执行。在企业履行对员工(gōng)的法定义務(wù)方面，可(kě)跨境传输与休假相关信息，如婚育假场景下收集婚育信息。《规定》发布后，数据出境流动管理(lǐ)體(tǐ)系颗粒度再次提升，明确了无需出境审核的几种情况，企业如想减轻审核压力，需要尽快借助数据出境合规治理(lǐ)平台，加强数据出境管理(lǐ)能(néng)力与管理(lǐ)精(jīng)细度，降低违规风险。爱加密持续跟进监管动态致力于数据流动安(ān)全的防护与治理(lǐ)，為(wèi)解决企业数据出境备案痛点，推出爱加密数据出境合规治理(lǐ)平台，产(chǎn)品遵循《规定》第十条强调的“事前评估、事中(zhōng)监测、事后留档”的治理(lǐ)思路。事前对出境数据资产(chǎn)进行合规风险评估，事中(zhōng)对出境行為(wèi)变化进行实时数据监测并将风险事件纳入处置中(zhōng)心，事后可(kě)依据实际情况决定是否采纳治理(lǐ)或再次进行评估，生成报告会存档以便后期进行对比分(fēn)析和整改。可(kě)帮助企业持续有(yǒu)序地治理(lǐ)出境业務(wù)，提供出境资产(chǎn)管理(lǐ) 、出境前风险自评估 、风险治理(lǐ)以及持续监测等功能(néng)、从而达到规范数据出境活动，构建全流程的数据跨境流动安(ān)全治理(lǐ)體(tǐ)系，满足合规监管要求。

产(chǎn)品采用(yòng)自动化接口发现技(jì )术，聚合归类网络流量中(zhōng)大量的URL，提取参数配置， 实现出境场景识别、出境资产(chǎn)梳理(lǐ)。可(kě)实现对出境资产(chǎn)合规自评估，并根据评估结果生成数据出境风险评估报告及根据风险点生成合规风险事件。

可(kě)对数据合规事件以及风险监测事件进行治理(lǐ)并进行跟踪，根据合规评估结果，形成数据安(ān)全基線(xiàn)指标，持续对数据出境行為(wèi)进行风险监测。爱加密拥有(yǒu)数据事实/数据安(ān)全监测能(néng)力，可(kě)识别新(xīn)增出境接口，监测数据出境接口风险、出境数据类型及出境國(guó)家范围、出境事件、敏感数据出境行為(wèi)等。

爱加密作(zuò)為(wèi)國(guó)内知名(míng)的移动信息安(ān)全综合服務(wù)提供商(shāng)，将持续加强技(jì )术创新(xīn)与研究，持续关注数据安(ān)全领域最新(xīn)监管要求与企业痛点。从法律、技(jì )术、规则等角度继续提升数据流动治理(lǐ)能(néng)力，帮助企业有(yǒu)效防范化解风险，為(wèi)数字经济高质(zhì)量发展保驾护航。

END

欢迎给我们留言或评论~

我们将持续发布技(jì )术解读、解决方案、行业报告

点击关注，不错过下次精(jīng)彩内容