哪些数据需要进行安全评估?
1)个人信息数据,则:
个人信息出境前达量必须进行安全评估:
1.处理个人信息达到100万人;
2.向境外提供超过10万人以上个人信息;
3、累计向境外提供超过1万人以上个人敏感信息;
2)重要数据, 出境前需要进行安全评估 :
重要数据界定:
1.《网络安全法》的规定, 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据 以境内存储为原则,确需出境的,需要进行安全评估。
2.的《汽车数据安全管理若干规定(试行)》,其中第三条[6]明确例举了构成汽车行业重要数据的数据, 例如重要敏感区域的地理信息、人员流量、车辆流量数据,车辆流量、物流等反映经济运行情况的数据 等。
3.国家互联网信息办公室于2021年11月14日发布的《网络数据安全管理条例(征求意见稿)》中列举:
(1)未公开的政务数据、工作秘密、情报数据和执法司法数据;(2)出口管制数据,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据;(3)国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等;(4)工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据;(5)达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据;(6)国家基础设施、关键信息基础设施建设运行及其安全数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据;(7)其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。
(二)数据信息出境:并不代表境内数据处理者对数据的义务的终结。 处理者应有境外数据情况清晰的了解和把控,负有报告义务。
参考《网络数据安全管理条例(征求意见稿)》第四十条的规定, 向境外提供个人信息和重要数据的数据处理者 ,应当在每年1月31日前编制数据出境安全报告,向设区的市级网信部门报告上一年度以下数据出境情况:(一)全部数据接收方名称、联系方式;(二)出境数据的类型、数量及目的;(三)数据在境外的存放地点、存储期限、使用范围和方式;(四)涉及向境外提供数据的用户投诉及处理情况;(五)发生的数据安全事件及其处置情况;(六)数据出境后再转移的情况;(七)国家网信部门明确向境外提供数据需要报告的其他事项。
(二) 核实第三方数据来源的合法性、正当性( 前期安全尽调、要求第三方签订承诺书、保证书等):
1)《数据安全法》第三十二条的规定,任何组织、个人收集数据,都必须采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。
2)《数据安全法》第五十一条的规定,窃取或者以其他非法方式获取数据,开展数据活动排除、限制竞争,或者损害个人、组织合法权益的,按照有关法律、行政法规的规定处罚,从而进一步援引至《网络安全法》、《刑法》、《反垄断法》、《个人信息保护法》等规定。
(三) 设立数据安全管理制度,采取技术和必要措施保障数据传输安全。
网络安全等级保护认证,采取数据分类分级管理、风险评估、监测预警和应急处置等数据安全管理各项基本制度;
1) 数据分级分类:网络安全标准实践指南——数据分类分级指引(征求意见稿)
分类:
a)个人信息:一般个人信息;敏感个人信息
b) 公共数据;
c) 法人数据;
2)数据出境安全评估 :无论数据处理者的数据出境活动是否触发安全评估申报的要求,其在向境外提供数据前均应事先开展数据出境风险自评估。—《数据出境安全评估办法(征求意见稿)》
第五条 数据处理者在向境外提供数据前,应事先开展数据出境风险自评估,重点评估以下事项:
(一)数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
(二)出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
(三)数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险;
(四)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
(五)数据出境和再转移后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;
(六)与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务。
第九条 数据处理者与境外接收方订立的合同 充分约定数据安全保护责任义务,应当包括但不限于以下内容:
(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;
(二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施;
(三)限制境外接收方将出境数据再转移给其他组织、个人的约束条款;
(四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区法律环境发生变化导致难以保障数据安全时,应当采取的安全措施;
(五)违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款;
(六)发生数据泄露等风险时,妥善开展应急处置,并保障个人维护个人信息权益的通畅渠道。
(四) 发生数据安全事件的报告义务
根据《数据安全法》第二十九条的规定,开展数据活动应当加强风险监测,在发现数据安全缺陷、漏洞等风险时,应当立即采取处置措施;发生数据安全事件时,应当按照规定及时告知用户并向有关主管部门报告。
《数据安全管理办法》第三十五条,即发生个人信息泄露、毁损、丢失等数据安全事件,或者发生数据安全事件风险明显加大时,网络运营者应当立即采取补救措施,及时以电话、短信、邮件或信函等方式告知个人信息主体,并按要求向行业主管监管部门和网信部门报告。
( 五)遇域外执法时的先行报告义务
根据《数据安全法》第三十六条规定,境外执法机构要求提供数据的请求,非经中华人民共和国主管机关批准,我国境内的组织、个人不得提供。
《数据安全法》第四十八条第二款规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。
信息安全风险评估的依据有哪些?
答:二类数据是指与人民群众切身利益有关的数据,如个人信息、医疗健康、交通出行、财产安全等,保护这些数据的安全需要维护人民群众的权益和利益。三类数据是指除了一类、二类数据以外的其他数据,一般不涉及到重要领域的数据。总体来说,一类数据和二类数据的重要性更高、保护需求更强,因此对于这些数据的管理和...
哪些数据需要进行国家安全审查?
答:国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。《中华人民共和国数据安全法》第二十四条 国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。第二十五条 国家对与维护国家安全和利益、履行国际义务...
数据安全包括哪些
答:1.数据脱敏 数据脱敏是保证数据安全的最基本的手段,脱敏方法有很多,最常用的就是使用可逆加密算法,对入仓每一个敏感字段都需要加密。比如手机号,邮箱,身份证号,银行卡号等信息 2.数据权限控制 需要开发一套完善的数据权限控制体系,最好是能做到字段级别,有些表无关人员是不需要查询的,所以不需要...
安全评价的范围是什么?哪些企业才需要做安评,有文件依据没有?
答:1、项目在进行可行性研究时,要进行安全生产条件论证和安全预评价,有非煤矿矿山建设项目;2、生产储存危险化学吕(包括使用长输管道输送危险化学品)的建设项目;3、生产、储存烟花爆竹的建设项目;4、军工、公路、水运、轨道交通、电力等行业的国家和省级重点建设项目;还有规定的其他项目。企业:以上经营...
9月1日起都有哪些新规
答:规定了应当申报数据出境安全评估的情形,包括数据处理者向境外提供重要数据、关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息以及国家网信部门规定的其他需要申报数据出境安全评估...
现场安全的评估有哪些
答:现场安全评估主要包括以下几个方面:1. 设备安全评估:评估现场使用的设备的结构、性能和操作安全性,确保设备在运行过程中不对人员造成伤害。2. 环境安全评估:对现场环境因素如温度、湿度、噪音和光照等进行评估,保证环境条件不会对人员产生不良影响。3. 操作安全评估:审查操作人员的资质和操作规程,以及...
第一次产前检查:哪些项目需要注意?
答:为了宝宝的健康,需确保孕妇体内具备麻疹抗体,预防先天性心脏病、白内障等发育问题。離尿糖与尿蛋白测量尿糖和尿蛋白的检测有助于发现妊娠期糖尿病和泌尿系统问题,提前预防,确保母婴安全。超声波检查在不同的孕期阶段进行超声波检查,以确定胎儿着床位置、预产期,并评估胎儿结构、大小、胎盘和子宫状况。溺绒毛采检...
安全评估应包括哪些内容
答:1、爆破作业单位的资质是否符合规定;2、爆破作业项目的等级是否符合规定;3、设计所依据的资料是否完整;4、设计方法、设计参数是否合理;5、起爆网路是否可靠;6、设计选择方案是否可行;7、存在的有害效应及可能影响的范围是否全面;8、保证工程环境安全的措施是否可行;9、制定的应急预案是否适当。
风险评估报告内容
答:风险评估报告内容2一、数据活动风险评估报告内容包括哪些 1、重要数据处理者要定期开展数据安全风险评估,评估的内容包括:处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险等内容。 2、法律依据:《中华人民共和国数据安全法》 第三十条重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,...
信息安全风险评估包括哪些?
答:信息安全风险评估包括:A . 信息资源面临威胁 B . 信息资源的脆弱性 C . 需保护的信息资产 D . 存在的可能风险 信息安全风险评估是从风险管理的角度,运用科学的手段,系统的分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,为防范和化解信息安全风险,或者将...
