朗言数安以专业数据安全评估服务助力企业出海

前车之鉴值得警惕

在过去一年里，国内企业在数据出境方面的违规案例包括了多个行业和公司。这些违规行为通常涉及未经授权非法传输用户信息至境外服务器、未进行个人信息出境安全评估的情况下转移用户数据、未能有效保护用户数据安全导致数据泄露、未按规定报备数据出境、以及在国际业务中违规传输用户交易数据等。

某科技公司：该公司因未经授权非法传输用户信息至境外服务器，被处以罚款，并对相关责任人给予警告，同时责令限期改正。具体罚金数额未披露。

某金融信息服务公司：在未进行个人信息出境安全评估的情况下，将用户数据转移至海外，相关责任人除了被处以罚款外，还受到了行政处罚，并要求立即整改。具体罚金数额未披露。

某电信运营商：由于未能有效保护用户数据安全，导致大量用户数据泄露至境外，该公司不仅被重罚，相关责任人也被责令加强内部数据安全管理措施。具体罚金数额未披露。

某互联网公司：未按照《数据安全法》的规定报备数据出境，且数据处理活动不符合国家法律法规的要求，相关责任人因此受到了行政处罚，并被要求整改。具体罚金数额未披露。

某电子商务平台：在国际业务中违规传输用户交易数据至境外实体，相关责任人被有关部门查处并依法予以处罚，包括罚款和责令限期改正。具体罚金数额未披露。

这些案例中的企业因违反了《数据安全法》等相关法律法规，受到了不同程度的处罚。根据公开资料整理后发现已有21家企业完成数据出境安全评估、个人信息出境标准合同备案。已查明造成数据泄露或其他后果的数据安全事件罚款为10万至100万，共6例，占比19%。有1例数据安全事件对社会和国家造成极大影响，根据其造成的严重后果，罚款金额从几千到上百万不等。

对于这些违规行为，国家采取了以下处罚措施：

经济处罚：涉事公司通常会被处以罚款，金额根据违规行为的严重程度而定。例如，滴滴公司因个人信息及数据处理活动违规被处以80.26亿人民币的罚款。

整改要求：除了罚款之外，公司还可能被要求立即整改，停止违规行为，并采取措施加强内部数据安全管理。

声誉影响：受到处罚的企业可能会遭受公众信任度下降和品牌形象受损，这对于企业的长期发展有着不利影响。

数据出境 企业出海必经之路

数据安全是企业国际化发展的基石。一方面，良好的数据安全措施可以保护企业免受数据泄露、黑客攻击和其他安全威胁的影响，维护企业的知识产权和商业秘密。另一方面，数据安全也是企业信誉和客户信任的基础。特别是在涉及个人数据处理时，如欧盟通用数据保护条例（GDPR）等法规对企业处理个人数据的方式提出了严格要求，企业必须确保数据的安全和合规性，以增强消费者信心并避免法律风险。

数据出境合规同样至关重要。随着世界各国对数据主权的重视加深，许多国家开始实施数据本地化政策，限制数据跨境流动。企业在国际扩展时，必须确保其数据处理活动符合目标国家的法律法规。这不仅涉及技术层面的加密和访问控制，还包括对数据处理流程的透明度和责任分配。

随着《数据安全法》等相关法律法规的实施，国家对数据出境的监管变得更加严格。企业需要遵守的规定包括但不限于：

数据出境行为界定：

 2024年03月22日，国家网信办公开发布《数据出境安全评估申报指南（第二版）》。以下情形属于数据出境行为：

（一）数据处理者将在境内运营中收集和产生的数据传输至境外；

（二）数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；

（三）符合《个人信息保护法》第三条第二款情形，在境外处理境内自然人个人信息等其他数据处理活动。

出境数据类型界定：

重要数据：《数据出境安全评估办法》第十九条规定，重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。聚焦安全影响、突出保护重点、综合考虑风险、定性定量结合、动态识别复评。根据《促进和规范数据跨境流动规定》第二条 数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。

个人信息：《个人信息保护法》第四条、第二十八条规定，界定了个人信息包括个人基本资料、网络身份标识信息、个人教育工作信息、个人通信信息、联系人信息等。《促进和规范数据跨境流动规定》第十条 数据处理者向境外提供个人信息的，应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。

数据出境合规路径选择：

1、依据《网络安全法》第三十七条　关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

2、依据《个人信息保护法》第三十六条 国家机关处理的个人信息应当在中华人民共和国境内存储；确需向境外提供的，应当进行安全评估。安全评估可以要求有关部门提供支持与协助。

3、依据《个人信息保护法》第五十五条 和《信息安全技术—个人信息安全影响评估指南》的相关要求，上述内容涉及向境外提供个人信息和处理敏感个人信息的还需要进行个人信息保护影响评估，即PIA。

《个人信息保护法》第五十五条　有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：

（一）处理敏感个人信息；

（二）利用个人信息进行自动化决策；

（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；

（四）向境外提供个人信息；

（五）其他对个人权益有重大影响的个人信息处理活动。

4、《网络安全法》第三十条　重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。

5、《个人信息保护法》第三十九条　个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

6、《个人信息保护法》第四十条　关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

数据出境豁免情况：

①未被相关部门、地区告知或者公开发布为重要数据的

②国际贸易、跨境运输 学术合作、跨国生产制造和市场营销等活动产生的

③境外收集和产生的个人信息传输至境内处理后向境外提供的

④自由贸易试验区内数据处理者向境外提供负面清单外的

⑤为订立、履行个人作为一方当事人的合同

⑥人力资源管理

⑦紧急情况下生命财产安全

⑧非关基数据处理者向境外提供不满10万人个人信息

朗言数安助力企业出海

数据出境服务在企业出海过程中的重要性不容忽视。随着全球化的不断推进，越来越多的企业开始拓展海外市场，而在这个过程中，数据安全和数据出境服务成为了企业不可或缺的一部分。

朗言数安深耕数据安全领域，为企业提供专业的数据出境安全评估服务：

辅助向境外提供在我国境内运营中收集和产生的重要数据和个人信息的数据处理者进行数据出境安全评估，以规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动。

注：依据《数据安全法》第三十一、三十六条、《数据出境安全评估办法》

数据安全是企业出海的基础。在全球化的背景下，企业需要处理大量的跨境数据，包括客户信息、交易数据、商业秘密等。这些数据的安全与否直接关系到企业的声誉和竞争力。如果数据安全得不到保障，企业可能面临数据泄露、黑客攻击等风险，导致重要信息被泄露或滥用，从而对企业造成严重的损失。因此，朗言数安等数据安全企业提供的专业数据保护和风险管理服务对于企业出海至关重要。

其次，数据出境安全评估服务也是企业出海的关键因素之一。不同国家和地区对数据出境有着不同的法律法规和标准，企业需要遵守目标国家的数据保护法规，确保数据的合法传输和处理。数据出境服务可以帮助企业了解目标国家的法规要求，提供相应的技术和咨询服务，确保数据出境的合规性。这样可以避免企业因违反当地法规而受到处罚或者限制，同时也可以增强企业在海外市场的竞争力和信誉。

数据出境安全评估服务对于企业出海具有重要的意义。企业应积极响应国家法律法规的要求，通过建立完善的数据安全管理体系和风险评估机制，确保数据处理活动的合法性和安全性。它们不仅可以帮助企业管理风险、保护数据安全，还可以提供专业的技术支持和咨询服务，确保企业遵守目标国家的法律法规，为企业在海外市场的发展提供强有力的支持。

来源：部分素材源自网络公开信息，朗言数安编辑整理。

免责声明：朗言数安（本账号）标注为转载的部分内容来自互联网公开渠道，版权归原撰写/发布机构所有，仅供学习参考之用， 禁止用于商业用途，如涉侵权，请联系删除；资讯为推荐阅读，仅供参考学习，如对内容存疑，请与原撰写/发布机构联系。