2021年12月28日,网信办发布了《网络安全审查办法》,该法第七条规定“掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。”随着网络用户的剧增和互联网的普及,掌握100万用户个人信息对跨境电商企业而言并不困难,跨境电商活动全生命周期流程与数据紧密相关,对用户信息的分析利用和掌握成为跨境电商企业的重要竞争内核,数据信息成为企业的重要估值标准。
网络安全审查重点评估相关对象或者情形的以下国家安全风险因素:一是产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;二是产品和服务供应中断对关键信息基础设施业务连续性的危害;三是产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;四是产品和服务提供者遵守中国法律、行政法规、部门规章情况;五是核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;六是上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;以及其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。
根据《网络安全法》第三十七条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”所以跨境电商企业可预先评估数据出境计划的合法性和正当性,如评估企业内部的数据跨境传输情况,确定重要数据的种类、数据量、存储位置等;还可从目的性、合法性以及正当性方面分析当前数据收集、存储和使用的情况是否满足业务最低必要性。
根据《信息安全技术数据出境安全评估指南》(征求意见稿)的规定,合法性的要求包括不属于法律法规明令禁止的;符合我国政府与其他国家、地区签署的关于数据出境条约、协议的;个人信息主体已授权同意的,危及公民生命财产安全的紧急情况除外;不属于国家网信部门、公安部门、安全部门等有关部门依法认定不能出境的。正当性的要求包括网络运营者在合法的经营范围内从事正常业务活动所必需的;履行合同义务所必需的;履行我国法律义务要求的;司法协助需要的;其他维护网络空间主权和国家安全、社会公共利益、保护公民合法利益需要的。
如数据出境计划不满足合法性、正当性的要求,或经评估后不满足风险可控的要求,企业可修正数据出境计划,或采用相关措施降低数据出境风险,可用于降低数据出境安全风险的措施。在进行相应调整后,可重新对数据出境进行安全风险评估。并参考《个人信息出境安全评估办法》(征求意见稿)结合企业实际情况重点再评估。