近日,国家互联网信息办公室公布《数据出境安全评估办法》(以下简称《办法》),自2022年9月1日起施行。三六零(行情7.94 +0.25%,诊股)(601360.SH,下称“360”)天枢智库安全专家表示,该《办法》的出台体现了国家对数据出境管控的高度重视,为数据出境提供了可操作、可落实的法律依据,并将促进数据处理者从多个方面积极建设和提升数据安全能力。
根据《办法》要求,数据出境活动主要包括两方面,一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外;二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。
对此,华安证券(行情4.43 +0.23%,诊股)发布研报指出,根据过去《网络安全法》及相关政策法规,“数据出境”的认定范围为网络运营者与其他机构及个人在境内收集或产生的个人信息或重要数据。 而《办法》强调,若数据处理者向境外传输数据或允许境外访问数据,则必须向国家网信部门申报。此举实质上扩大了“数据出境”的审查范围,其审查对象可包括我国境外上市企业和其他出海企业、来华外企以及外资投资的境内企业。因此,在强合规审查之下,未来数据安全赛道的下游市场空间巨大。华安证券认为,《办法》在执行层面上填补了数据安全法规的漏洞,有望成为市场增长的强大推力。
对于相关数据处理者而言,亟需健全自我数据安全风险防范能力、开展自评估工作,确认境外数据接收方的数据安全保护能力,并就双方数据安全保护责任义务达成一致,形成符合要求的法律文件,达成满足出境数据安全评估通过的条件,有效促进数据安全、有序地跨境流动。对此,360专家提出三点建议。
一是建立数据安全风险评估与审计机制,形成数据安全监督工作的常态化。建议数据处理者制定有效的数据安全风险评估和审计机制,实现数据安全监督的持续性,以便数据处理者对于是否满足数据出境安全评估的要求进行自证,并实现第三方的数据安全监管。
二是基于数据安全能力成熟度模型(DSMM)评估数据出境相关责任方的数据安全保护能力。建议国内数据处理者通过开展DSMM测评评估自身数据安全防护能力,并可以基于DSMM对问题项、潜在风险项进行能力完善与提升;推荐数据接收方基于DSMM进行数据安全能力评估,以证明其数据安全防护能力满足数据提供方要求,具备履行数据安全保护责任义务的能力,以有效保障出境数据的安全。
三是及时梳理数据出境相关业务,尽快达到《办法》明确的合规要求。由于数据出境安全评估需要事前进行,所以数据处理者要把握和利用好施行前的时间以及6个月的整改窗口期,厘清对于数据出境相关的合规要求、数据出境与重要数据等关键定义,盘点清楚自身涉及数据出境的业务及相关数据情况,达到满足《办法》要求的合规水平。
对于安全厂商而言,《办法》的施行令数据安全成为企业刚需,为数据安全赛道打开了增量空间,有利于安全厂商开展相关数据安全业务。据悉,360牵头建设的大数据协同安全技术国家工程研究中心,正是针对我国大数据环境下数据安全和系统安全监测、预警和控制处置能力不足等问题,围绕提升大数据安全分析能力和保障大数据系统自身安全的需求,建设大数据协同安全技术应用研究平台。
目前,大数据协同安全技术国家工程研究中心已在上海、贵州等地方,以及中国石油(行情5.07 -0.98%,诊股)、中国一汽等行业共同成立了十家联合研究机构,深入不同地方和行业的具体场景,开展数据安全创新和能力建设。
此外,国家工程研究中心联合贵州大数据安全工程研究中心等同行形成生态,提供DSMM咨询、测评和培训等服务,能够帮助客户提升数据安全能力和数据安全防护水平。
而且,为解决企业数据安全战略视野不足和人才短缺问题,该研究中心还联合多方机构开展注册数据安全官、注册数据安全工程师和DSMM测评师人才培训,壮大数据安全人才队伍,筑牢国家数据安全屏障,为我国数字经济发展保驾护航。