自评估的合规要点包括:数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险;境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;数据出境和转移后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否畅通等;与境外接收方订立的数据出境合同是否充分约定了数据安全保护责任和义务。
国家安全评估的审查要点包括:数据出境的目的、范围、方式等的合法性、正当性、必要性;境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规规定和强制性国家标准的要求;出境数据的数量、范围、种类、敏感程度,出境中和出境后泄露、篡改、丢失、破坏、转移或者被非法获取、非法利用等风险;数据安全和个人信息权益是否能够得到充分有效保障;数据处理者与境外接收方订立的合同中是否充分约定了数据安全保护责任和义务;遵守中国法律、行政法规、部门规章情况;国家网信办认为需要评估的其他事项。
海外上市的企业
跨国公司的分支机构。其经营过程中产生个人信息(联系人信息、员工信息)经营数据(产品销售数据等),传输至境外集团总部系统进行分析、处理,从而进行统一经营决策。
向境外提供个人信息的企业
地理导航、自然资源、基因、生物特征、宏观统计数据等
互联网平台、云计算平台、大数据平台、国防科工、 大型装备、化工、食品药品科研生产企业
联想、华为、中国银行等中国的跨国企业
| 数据形态 | 出境形式 | 场景 |
| 结构化数据 | 数据存储在国外 | SAP 等跨境 ERP 信息系统 Salesforce 等跨境 SAAS 系统 亚马逊 AWS、微软云计算 |
| 非结构化数据 | 数据存储在国外 | 自动外发:Office365 等云服务 人工外发:外发至客户、合作伙伴、分支结构 上传至 FTP、应用系统 |
| 结构化数据 | 境外访问 数据存储在中国 | 国外访问中国境内的应用系统 例如国外分支结构,国外分部访问 |
| 非结构化数据 | 境外访问 数据存储在中国 | 国外访问中国境内的服务器 |
| 数据分类 | 数据分类 |
| 重要数据 | 《信息安全技术重要数据识别指南》涉及的重要数据:财务数据、经营数据、医疗健康数据、地理测绘数据;涉及政府客户的数据、水电煤气热行业客户的数据等。 |
| 个人信息 | 电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。如:姓名、电话、邮箱、位置信息等。 |
| 关键信息基础实施运营者的所有数据 | 关键信息基础设施:公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。 |
第一步:使用文档网络驱动的文档识别(BCTP 技术),并应用可视化技术,对数据的收集、存储、使用、加工、传输、提供等环节进行可视化;包括但不限于: 文档的新建(本地PC新建、从内网网络下载、从外网网络下载) 文档的存储(复制、移动、另存为、压缩等) 文档的使用(编辑、只读等) 文档的传输(网络上传-目的地内网、网络上传-目的地外网、网络下载-目的地内网、网络下载-目的地外网、移动存储-目的地内网、移动存储-目的地外网)
第二步:基于文档网络驱动的文档识别(BCTP 技术),对文档分级分类
第三步:获得所有重要数据的外发交换,包括网络外发、移动存储外发、访问境内的服务器、访问境外的服务器。 帮助企业收集、统计数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
第四步:获得所有重要数据的网络外发、移动存储外发。帮助企业收集、统计出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
第五步:通过审计,证明数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险;
第六步:与合作律师事务所,共同评估境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;数据出境和转移后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否畅通等;与境外接收方订立的数据出境合同是否充分约定了数据安全保护责任和义务。
1、全球唯一的文档网络驱动的文档识别,分级分类
2、基于文档网络,应用可视化技术,识别企业内部所有文档的数量、流动、类别,获得企业从未获得过的对 PC 端存储文档的全部感知和管理。
3、与顶级律师的合作,提供完整的 IT + 法律解决方案。 在正式评估前发现风险,消除风险。消除风险后通过 IT 系统的统计,自动证明合规。