1) 개인 정보 데이터:
출국 전 개인정보의 양은 반드시 안전평가를 거쳐야 한다.
1. 개인 정보 처리 인원은 1 만입니다.
2. 65438+ 만명이 넘는 해외 개인 정보를 제공합니다.
3. 654.38+0 만개 이상의 개인 기밀 정보를 해외에 누적 제공합니다.
2) 출국 전에 평가해야 할 중요한 데이터:
중요 데이터의 정의:
1.' 네트워크 보안법' 에 따르면 주요 정보 인프라 운영자가 중화인민공화국에서 운영하는 동안 수집하고 생성된 중요한 데이터는 국내에 저장해야 하며 출국해야 하며 안전평가를 수행해야 합니다.
2.' 자동차 데이터 안전 관리 몇 가지 규정 (시범)' 중 제 3 조 [6] 는 자동차 업계의 중요한 데이터 (예: 지리 정보, 인력 흐름, 중요한 민감한 지역의 교통 데이터, 교통 흐름, 물류 등 경제 운영을 반영하는 데이터) 를 명확하게 열거했다.
3. 국가 인터넷 정보처 202 1 1 1 4 가 발표한' 네트워크 데이터 보안 관리 규정 (의견 초안)' 은 다음과 같습니다.
(1) 공개되지 않은 정부 데이터, 업무 비밀, 정보 데이터 및 법 집행 사법 데이터 (b) 수출 통제 데이터, 수출 통제 품목에 관련된 핵심 기술, 설계 방안, 생산 공예 등 관련 데이터, 암호화, 생물, 전자 정보, 인공지능 등 분야가 국가 안보와 경제경쟁력에 직접적인 영향을 미치는 과학 성과 데이터 (3) 국가 법률, 행정 규정 및 부서 규정에서 보호하거나 통제해야 하는 국민 경제 운영 데이터, 중요한 산업 업무 데이터 및 통계를 규정하고 있습니다. (4) 산업, 통신, 에너지, 교통, 수리, 금융, 국방 과학 기술 산업, 세관, 세무 등 주요 산업 및 분야 안전 생산 운영 데이터, 주요 시스템 부품 및 장비 공급망 데이터 (5) 유전자, 지리, 광물, 기상 등 인구와 건강, 천연자원, 환경 등 국가 기초데이터는 국가 관련 부처가 규정한 잣대나 정확도에 도달한다. (6) 국가 인프라, 주요 정보 인프라 건설 및 운영 및 안전 데이터, 국방 시설, 군사 관리 구역, 국방 과학 연구 생산 단위 등 중요한 민감한 지역의 지리적 위치 및 안전 상태 (7) 국가 정치, 영토, 군사, 경제, 문화, 사회, 기술, 생태, 자원, 핵시설, 해외 이익, 생물, 공간, 극지, 심해 등 안전에 영향을 줄 수 있는 기타 데이터.
(2) 데이터 정보의 퇴출: 국내 데이터 처리기가 데이터 의무에 대한 종말을 의미하지는 않습니다. 가공업은 해외 데이터에 대한 명확한 이해와 통제와 보고의 의무가 있어야 한다.
네트워크 데이터 보안 관리 규정 (의견 초안) 제 40 조에 따르면 해외에 개인 정보 및 중요 데이터를 제공하는 데이터 처리기는 매년 65438+ 10 월 3 1 이전에 데이터 출국 안전 보고서를 작성하고 이듬해 데이터 출국 상황을 보고해야 합니다. (2) 출국 자료의 유형, 수량 및 용도; (3) 해외 데이터 저장 위치, 저장 기간, 사용 범위 및 방법 (4) 해외에 데이터를 제공하는 사용자에 대한 불만 및 처리 (5) 데이터 보안 사건의 발생 및 처분; (6) 출국 후 데이터 이전; (7) 국가망신부에서 보고한 대외 자료 제공이 필요한 기타 사항.
(2) 제 3 자 데이터 소스의 합법성 및 정당성 확인 (사전 보증, 제 3 자가 약정서, 보증서 등에 서명해야 함)
1) "데이터 보안법" 제 32 조는 어떤 조직이나 개인도 합법적이고 정당한 방식으로 데이터를 수집해야 하며, 훔치거나 다른 불법적인 수단으로 데이터를 수집해서는 안 된다고 규정하고 있다.
2) 데이터 안전법 제 51 조 규정, 도난 또는 기타 불법 수단으로 데이터를 획득하고, 경쟁을 배제하고, 제한하는 데이터 활동을 하고, 개인과 조직의 합법적 권익을 훼손하고, 관련 법률, 행정법규 규정에 따라 처벌해 사이버 안전법, 형법, 반독점법, 개인정보보호법 등의 조문에서 더 인용한다.
(c) 데이터 보안 관리 시스템을 구축하고 데이터 전송 보안을 보장하는 데 필요한 기술적 조치를 취합니다.
네트워크 보안 수준 보호 인증, 데이터 분류 관리, 위험 평가, 모니터링 경보, 비상 대응 등 데이터 보안 관리를 위한 기본 시스템
1) 데이터 분류: 네트워크 보안 표준 실습 안내서-데이터 분류 안내서 (의견 초안)
분류:
A) 개인 정보: 일반 개인 정보 민감한 개인 정보
B)? * * * 데이터
C)? 법인 데이터
2) 데이터 아웃 바운드 보안 평가: 데이터 처리자의 데이터 아웃 바운드 활동이 보안 평가 및 보고 요구 사항을 트리거하는지 여부에 관계없이 해외로 데이터를 제공하기 전에 데이터 아웃 바운드 위험 자체 평가를 미리 수행해야 합니다. -"데이터 출구 보안 평가 방법" (의견 초안)
제 5 조 데이터 처리기는 해외에 데이터를 제공하기 전에 데이터 출국 위험 자체 평가를 미리 진행해야 하며 다음 사항에 중점을 두어야 합니다.
(1) 해외 수신자 데이터 출국 및 데이터 처리의 목적, 범위 및 방식의 합법성, 정당성 및 필요성
(2) 출국 데이터의 수, 범위, 유형 및 민감성, 해당 데이터가 국가 안보, 공익 및 개인 또는 조직의 합법적 권익에 미칠 수 있는 위험
(3) 데이터 전송에서 데이터 처리자의 관리 및 기술적 조치 및 기능이 데이터 유출, 손상 등의 위험을 예방할 수 있는지 여부
(4) 해외 수신자가 부담하는 책임과 의무, 그리고 책임과 의무를 이행하는 관리 및 기술 조치 및 능력이 출국 데이터의 안전을 보장할 수 있는지 여부
(5) 출국 후 데이터 유출, 손상, 변조, 남용 및 재전송의 위험, 개인이 개인 정보의 권익을 보호하는 채널이 원활한지 여부
(6) 해외 수신자와 체결한 데이터 출국 관련 계약이 데이터 보안 보호에 대한 책임과 의무를 충분히 합의했는지 여부.
제 9 조 데이터 처리자와 해외 수신인이 체결한 계약은 다음을 포함하되 이에 제한되지 않는 데이터 보안 책임 및 의무에 대해 전면적으로 합의해야 합니다.
(a) 데이터 출국의 목적, 방법 및 데이터 범위, 해외 수신자가 데이터를 처리하는 목적 및 방법
(2) 데이터가 해외에 보관되는 장소와 기간, 기한에 도달하거나, 약속한 목적을 달성하거나, 계약을 해지한 후 데이터 출국을 처리하는 조치
(3) 해외 수신자가 다른 조직 및 개인으로 출국 데이터를 이전하는 것을 제한하는 제약 조건
(4) 실제 통제권이나 업무 범위가 실질적으로 변경되거나 해당 국가의 법적 환경이 변경되어 데이터 보안을 보장하기가 어려울 경우 해외 수신자가 취해야 할 보안 조치
(5) 데이터 보안 의무 위반에 대한 위약 책임 및 구속력 있고 실행 가능한 분쟁 해결 조항
(6) 데이터 유출 위험이 발생할 경우, 개인의 개인 정보 보호 권익 채널의 원활한 흐름을 보장하기 위해 긴급 처리를 잘 실시한다.
(4) 데이터 보안 사건을 보고할 의무.
데이터 보안법 제 29 조에 따르면 데이터 활동에서 위험 모니터링을 강화하고 데이터 보안 결함, 취약성 등의 위험을 발견할 경우 즉시 조치를 취해야 합니다. 데이터 보안 사고가 발생할 경우 사용자에게 제때에 알리고 규정에 따라 관련 주관 부서에 보고해야 합니다.
"데이터 보안 관리 방법" 제 35 조는 개인 정보 유출, 손상, 소멸 등의 데이터 보안 사건이 발생하거나 데이터 보안 사건의 위험이 크게 증가할 경우 네트워크 운영자는 즉시 시정 조치를 취해야 한다고 지적했다. 전화, 문자 메시지, 메일, 서신 등을 통해 개인 정보 주체를 적시에 알리고 규정에 따라 업계 주관감독부와 인터넷 신신부에 보고해야 한다.
(5) 역외 법 집행이 있을 경우 사전 보고 의무가 있다.
데이터 안전법 제 36 조에 따르면 중화인민공화국 주관기관의 승인 없이는 우리나라 내 조직과 개인이 해외 법 집행 기관이 요구하는 데이터를 제공할 수 없다.
데이터 안전법' 제 48 조 제 2 항은 주관 기관의 승인 없이 해외 사법이나 법 집행 기관에 데이터를 제공하는 경우 해당 주관기관에 경고해 10 만원 이상 100 만원 이하의 과태료를 병행할 수 있으며, 직접 책임지는 임원과 기타 직접책임자에 대해서는 가능합니다 심각한 결과를 초래한 경우 100 만원 이상 500 만원 이하의 벌금을 부과하고 휴업, 폐업 정비, 관련 업무허가 취소 또는 영업허가증 취소, 직접책임자와 기타 직접책임자에게 5 만원 이상 50 만원 이하의 벌금을 부과하도록 명령할 수 있다.