数据出境需“安检”，怎样才能合法合规

数据跨境流动事关经济开放大局，同时又与数据主权、国家安全、地缘政治博弈紧密相关。从全球范围看，数据流动对全球经济增长的贡献已经超过传统的国际贸易和投资，数据跨境流动是经济全球化的必然要求。数据跨境流动，不仅有利于人类命运共同体的建设，也有助于促进国际投资、贸易的往来和合作。

在保障数据安全出境之前，我们需要了解哪些企业会涉及到数据出境？  通过《网络安全法》、《个人信息保护法》和《数据出境安全评估办法（征求意见稿）》三部法律法规我们可以清晰地看出，“重要数据”和“个人信息”均属于出境的规制对象。比如：地图信息、基因信息、疫苗信息、身份信息、银行信息、遗传数据、生物识别数据、政治观点等。个人信息和重要数据原则上应当存储在中国境内，只有因业务需要，“确需向境外提供的”，通过安全评估后方可跨境传输。

根据《信息安全技术　数据出境安全评估指南》，我们得出以下结论：数据出境受到我国监管的核心不单是网络运营者的注册地是否在境内，只要数据的生产和收集在我国境内，或数据的生产和收集未在我国境内，但经过了加工和处理，皆为我国监管的数据出境范围。例如，在中国境内注册的健身房，将中国境内收集的会员个人信息传输给其美国母公司的；又比如，该健身房虽未向美国母公司传输会员个人信息，但美国母公司可以通过访问、查看该健身房的内网获取会员个人信息的。 

近年来，随着云计算、大数据技术的快速发展，数据跨境转移变得更加轻而易举，数据跨境流动的安全问题日益凸显。大规模的数据跨境存储在全球各地的数据中心，存在较大的安全风险，一旦违规出境，将会面临致命的惩罚。

特别需要注意的是，对于掌握超过100万用户个人信息的运营者赴国外上市的，还必须向网络安全审查办公室申报网络安全审查，具体要求可参见《网络安全审查办法》。近期被网络安全审查的“滴滴出行”、“货车帮”、“BOSS直聘”都在前不久赴美上市，且活跃用户均远超100万，监管态度可见一斑。

推动数据跨境合规有序、高质量流转应成为数据治理政策的主方向。为此，我们既要加强数据跨境流动制度建设，又要运用各类先进技术手段，以实现数据跨境流动与风险防控的最佳平衡。天空卫士的数据安全方案可以做到：

1、防止敏感信息的违规存储

安全管理人员的工作目标是确保存储的数据是明确受保护的数据，如个人隐私数据或个人信息数据，并实现必要的数据安全控制。而此目标的前提是了解敏感数据的分布，确保这些需要保护的数据存储在合理的位置。

利用天空卫士的UCSS对境外服务器或境外SaaS应用上是否留存了PII、SPI或重要数据进行检测，确保或证明没有违规的数据被存储到境外，从而实现企业跨境数据流转的安全自评估。

2、防止敏感数据被下载及跨境传输

对于使用跨境应用系统的跨境用户进行数据下载审查，当发现下载的数据中携带了敏感内容，自动将这些敏感内容以其他方式进行替换或遮罩，防止机密数据被意外获取。  
对于向境外第三方应用传递的数据进行深度内容检查。通过旁路镜像或利用串联部署，截获流量中传递数据的信息，并对数据采取相应的动作。

3、保护传输中的敏感数据

4、可视化展示数据的风险，通过报表展示现存的运营风险。 

5、完整的数据日志，追溯审计无忧，能通过报表展示现存的运营风险，有利于溯源与追责。

天空卫士从成立之初瞄准的就是国外顶级安全企业，比如 Symantec，ForcePoint， McAfee，目标是成为国际上数据安全和内部威胁防护的头部企业，其产品和技术不仅服务于中国用户，更可以伴随国家的一带一路政策走出国门。目前产品技术已经完全可以对标国外一流数据安全公司，产品已在政府、金融、高科技、制造业、大型企业以及互联网等部门和行业广泛部署并使用。

安徽圣普信息技术有限公司作为专业DLP厂家天空卫士在安徽区域铂金代理商，服务客户范围涵盖人工智能、集成电路、量子信息、生物医药、新型显示、光伏新能源、空天信息、新能源汽车、新材料、高端装备、智能家电、工业互联网、节能环保等领域，致力于服务合肥、芜湖、蚌埠、马鞍山、安庆、滁州各地用户。