首页 / 文章发布 / 君合法评 / 君合法评详情

m88 casino评估指南征求意见

2017.06.05 董潇 蔡克蒙 郭静荷

全国信息安全标准化技术委员会(以下简称“信标委”)于2017年5月27日公布了《信息安全技术m88 casino安全评估指南(征求意见稿)》(以下简称“《指南》”),并进行为期一个月的公开征求意见。


一、背景


国家互联网信息办公室(以下简称“网信办”)于2017年4月11日公布了《个人信息和重要m88 casino安全评估办法(征求意见稿)》(以下简称“《m88 casino办法》”)。《m88 casino办法》是《中华人民共和国网络安全法》(以下简称“《网络安全法》”)重要的配套实施办法,提出了数据安全评估的基本制度框架。根据《评估办法》,网络运营者向境外提供在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当进行安全评估。m88 casino安全评估包括自行评估及监管机构评估。《指南》在《评估办法》的基础上,对安全评估的流程、评估要点、评估方法等做出了进一步细化的规定,并界定了各行业和领域“重要数据”的范围和类型。


二、适用范围


《指南》适用于网络运营者开展的个人信息和重要m88 casino安全评估工作,也适用于行业主管或监管部门对网络运营者开展个人信息和重要m88 casino安全评估进行的指导、监督等工作。网信部门、行业主管或监管部门依职权开展m88 casino安全评估亦可参照《指南》执行。


三、安全m88 casino流程


根据《指南》,安全评估流程包括自评估启动、制定m88 casino计划、评估m88 casino计划的合法正当和风险可控、完成评估报告、检查修正等步骤。


产品或服务涉及向境外提供数据的网络运营者应制定m88 casino计划,计划的内容包括但不限于:(1)m88 casino目的、范围、类型、规模;(2)涉及的信息系统;(3)中转国家和地区(如存在);(4)数据接收方及其所在的国家或地区的基本情况;(5)安全控制措施等。


网络运营者应参照《指南》附录B的评估方法评估m88 casino计划是否合法正当和安全可控,并形成评估报告。如经评估出境安全风险为极高或高的,个人信息和重要数据不得出境。评估报告应至少保存5年。如m88 casino计划不满足合法、正当要求,或经评估后不满足风险可控的要求,网络运营者可修正m88 casino计划,或采用相关措施降低m88 casino风险(如数据脱敏),并重新开展自评估。


四、m88 casino要点


m88 casino自行评估主要包括合法正当和安全可控两个评估要点。


评估m88 casino的合法性、正当性所考虑的因素包括个人信息主体是否已经授权同意个人信息出境;m88 casino是否符合我国政府与其他国家、地区签署的相关条约的约定;m88 casino是否为网络运营者在合法的经营范围内从事正常业务活动或履行合同义务所必需;m88 casino是否为司法协助需要等。


评估m88 casino计划的风险可控,应综合考虑出境数据的属性和m88 casino发生安全事件的可能性。出境数据的属性包括个人信息或重要数据的数量、范围、类型、敏感程度和技术处理情况等。对m88 casino发生安全事件的可能性的评估要点包括:(1) 发送方m88 casino的技术和管理能力;(2) 数据接收方的安全保护能力、采取的措施;(3) 数据接收方所在国家或区域的政治法律环境。


五、m88 casino方法


《指南》从个人信息出境对个人权益产生的影响等级、重要m88 casino对国家安全及社会公共利益产生的影响等级,以及安全事件的可能性等级等方面规定了相关评估方法及标准。根据对上述内容的综合评价,m88 casino活动整体的安全风险分为极高、高、中、低四个等级。经评估,出境安全风险为极高或高的,个人信息和重要数据不得出境。


六、重要m88 casino的识别


《指南》对包括石油天然气、煤炭、石化、电力、通信、电子信息等28个行业和领域的重要数据进行了界定,并留待行业主管部门参照《指南》对本行业或领域的重要数据的定义、范围或判定依据作出规范。《指南》所规定的重要数据体现了现有法规中对某些类型的m88 casino的限制(如人口健康信息、个人金融信息、征信信息、地图信息等),并在此基础上增加了新的限制出境的数据,如电子商务平台的注册信息和电子商务交易记录等。


七、简评


《指南》是《网络安全法》的重要配套标准,对m88 casino评估的流程、方法和要点提出了具体建议。《指南》虽然不具有强制性法律效力,但由于相关法律法规缺乏细节指导规范,《指南》将可能被各行业网络运营者在进行数据跨境传输时所采用和参考。企业需要综合考虑个人数据主体同意、m88 casino必要性、数据提供方和接收方安全保障措施、数据接收方所在国家/地区政治法律环境等多方面因素对m88 casino进行评估。这些全面、细致的评估要求对企业的跨境数据活动带来了新的挑战。一旦经评估发现存在数据不得出境的情况,企业可能需要考虑采取调整其数据跨境传输实践、完善数据提供方和接收方的安全保障措施、对数据进行脱敏等技术处理等方式以满足合规要求。目前《指南》仍处于征求意见阶段,我们将密切关注《指南》的后续发展及实施情况。

北京绿化基金会与君合共同发起的“北京绿化基金会碳中和专项基金”,是中国律师行业参与发起设立的第一支碳中和专项基金。旨在充分利用公开募捐平台优势,积极联合社会力量,宣传碳中和理念,鼓励和动员社会单位和个人参与“增汇减排”、“植树造林”等公益活动。