信息安全技术数据出境安全指引-全国信息安全标准化技术委员会

中华人民共和国国家标准GB/TXXXX—XXXX信息安全技术数据出境安全评估指南InformationSecurityTechnology-GuidelinesforDataCross-BorderTransferSecurityAssessment（草案）XXXX-XX-XX发布XXXX-XX-XX实施附件:ICS35.040L80GB/TXXXX–XXXXI目次前言...............................................................................II引言..............................................................................III信息安全技术数据出境安全评估指南.....................................................11范围................................................................................12规范性引用文件......................................................................13术语和定义..........................................................................14评估流程............................................................................24.1自评估启动.........................................................................24.2制定数据出境计划...................................................................24.3评估数据出境计划的合法正当和风险可控...............................................34.4评估要点及方法.....................................................................34.5评估报告...........................................................................34.6检查修正..........................................................................35评估要点............................................................................35.1合法正当...........................................................................35.2风险可控...........................................................................45.2.1概述............................................................................................................................................................45.2.2个人信息属性评估要点............................................................................................................................45.2.3重要数据属性评估要点............................................................................................................................45.2.4发送方数据出境的技术和管理能力........................................................................................................55.2.5数据接收方的安全保护能力....................................................................................................................65.2.6数据接收方所在国家或区域的政治法律环境........................................................................................7附录A重要数据识别指南..............................................................8附录B个人信息和重要数据出境安全风险评估方法.......................................19参考文献.............................................................................23II前言本标准按照GB/T1.1-2009的规则起草。本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本标准起草单位：本标准主要起草人：III引言近年来，随着互联网的蓬勃发展，数据流动无处不在。数据流动所产生的经济价值和社会价值凸显，这一过程中的安全风险也随之增加，国家安全、社会公共利益、个人隐私受到严重威胁，防范数据泄露和滥用所产生的风险日益紧迫。本标准规定了数据出境安全评估流程、评估要点、评估方法等内容，网络运营者按照本指南对其向境外提供的个人信息和重要数据进行安全评估，发现存在的安全问题和风险，及时采取措施，防止个人信息未经用户同意向境外提供，损害个人信息主体合法利益，防止国家重要数据未经安全评估和相应主管部门批准存储在境外，给国家安全造成不利影响。GB/TXXXX–XXXX1信息安全技术数据出境安全评估指南1范围本标准对个人信息和重要数据出境安全评估的工作要求、方法流程、评估内容和结果判定进行了规范。本标准适用于网络运营者开展的个人信息和重要数据出境安全评估工作，也适用于行业主管或监管部门对网络运营者开展个人信息和重要数据出境安全评估进行的指导、监督等工作。网信部门、行业主管或监管部门依职权开展的个人信息和重要数据出境安全评估，可参考本标准。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069-2010《信息安全技术术语》GB/TAAAA《信息安全技术个人信息安全规范》3术语和定义下列术语和定义适用于本文件。3.1网络运营者networkoperator本标准所指网络运营者，是指网络的所有者、管理者和网络服务提供者。3.2数据data本标准中所称数据是网络运营者在中华人民共和国境内运营中收集和产生的电子形式的个人信息和重要数据。3.3个人信息personalinformation以电子或者其他方式记录的能够单独或与其他信息结合识别自然人个人身份或者反映特定自然人活动情况的各种信息，包括但不限于自然人的姓名、出生日期、身份证号码、通信通讯联系方式、个人生物识别信息、住址、账号密码、财产状况、位置和行为信息等。3.4个人敏感信息sensitivepersonalinformation一旦泄露、非法提供或滥用可能危害人身和财产安全、损害个人名誉和身心健康、导致歧视性待遇等的个人信息。3.5重要数据importantdata与国家安全、经济发展，以及社会公共利益密切相关的数据，具体范围参照附录A。3.6GB/TXXXX–XXXX2数据出境datacross-bodertransfer将在中华人民共和国境内收集和产生的电子形式的个人信息和重要数据，提供给境外机构、组织、个人的一次性活动或连续性活动。注：境外数据经由中华人民共和国中转，未经任何变动或加工处理的情形不属于数据出境。3.7数据出境安全风险riskofdatacross-borderstransfer数据出境及再转移后被泄露、毁损、篡改、滥用等可能对国家安全、社会公共利益、个人合法利益带来的风险。3.8提供provide网络运营者主动向境外机构、组织或个人提供数据，或通过其他途径发布数据的行为，包括其用户使用网络运营者提供的产品或服务的功能，向境外机构、组织或个人提供数据的行为。注：网络运营者提供已经被依法公开披露的数据除外。3.9自评估selfassessment网络运营者依照国家法律法规和有关标准的规定，对数据出境组织开展安全评估活动。3.10数据脱敏处理datadesensitization网络运营者对某些敏感数据通过脱敏规则进行数据变形处理，实现对敏感隐私数据的可靠保护。3.11数据保护能力dataprotectioncapability网络运营者在数据的存储、处理、传输过程中确保数据安全的能力。4评估流程4.1自评估启动网络运营者应在如下情况启动自评估：a）产品或服务涉及向境外机构、组织或个人提供数据的；b）已完成数据出境安全评估的产品或业务所涉及的数据出境，在目的、范围、类型、数量等方面发生较大变化、数据接收方变更或发生重大安全事件的。4.2制定数据出境计划网络运营者应首先制定数据出境计划，计划的内容包括但不限于：a)数据出境目的、范围、类型、规模；b)涉及的信息系统；c)中转国家和地区（如存在）；d)数据接收方及其所在的国家或地区的基本情况；e)安全控制措施等。GB/TXXXX–XXXX34.3评估数据出境计划的合法正当和风险可控数据出境安全评估首先评估数据出境计划的合法性和正当性；数据出境活动不具有合法性和正当性，不得出境。在此基础上再评估数据出境计划是否风险可控，有效避免数据出境及再转移后被泄露、损毁、篡改、滥用等风险。具体流程如图1。图1数据出境安全评估原理4.4评估要点及方法网络运营者需按照本标准第5章中的评估要点进行自评估，评估方法参考附录B；经评估，出境安全风险为极高或高的，个人信息和重要数据不得出境。4.5评估报告网络运营者在完成对数据出境计划的评估后，应形成评估报告，评估报告应至少保存5年。4.6检查修正如数据出境计划不满足合法正当要求，或经评估后不满足风险可控的要求，网络运营者可修正数据出境计划，或采用相关措施降低数据出境风险，并重新开展自评估。注：可用于降低数据出境安全风险的措施包括但不限于：精简出境数据内容、使用技术措施处理数据降低敏感程度、提升数据发送方安全保障能力、限定数据接收方的处理活动、更换数据保护水平更高的接收方、选择政治法律环境保障能力较高地区的数据接收方等。在进行相应调整后，可重新对数据出境进行安全风险评估。5评估要点5.1合法正当数据出境计划应同时满足合法性和正当性的要求：a)合法性包括：1）不属于法律法规明令禁止的；2）符合我国政府与其他国家、地区签署的关于数据出境条约、协议的；3）个人信息主体已授权同意的，危及公民生命财产安全的