安全狗解读数据出境处罚第一案

10月24日,科技部官网更新了6条处罚信息,华大基因、药明康德、复旦大学附属华山医院、昆皓睿诚、厦门艾德生物、阿斯利康等6家单位涉及其中。值得注意的是,根据安全狗核实的资料，这是科技部首度公开涉及人类遗传资源的行政处罚。

根据公开新闻的报道

经查明,存在以下违法违规行为:华大科技与华山医院未经许可与英国牛津大学开展中国人类遗传资源国际合作研究,华大科技未经许可将部分人类遗传资源信息从网上传递出境。上述行为违反了《人类遗传资源管理暂行办法》第四条、第十一条、第十六条规定。

《人类遗传资源管理暂行办法》第四条规定,国家对重要遗传家系和特定地区遗传资源实行申报登记制度;未经许可,任何单位和个人不得擅自采集、收集、买卖、出口、出境或以其他形式对外提供。

新闻的详细内容安全狗就不在这里引用了,感兴趣的小伙伴可以自行搜索了解,总之,就华大科技这一案例而言,这是涉及了14万孕妇基因信息、公开可查的第一例数据出境处罚的案例。

从网络安全的角度来说,数据的存储和传输是受到《网络安全法》的约束的

第37条:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当进行安全评估。

这里有两个关键词:

关键信息基础设施和安全评估。

首先是关键信息基础设施的问题

虽然没有明确的直接说明,但这样一个满足了等保三级标准、储存了至少14万人重要信息的信息系统,重要性是不言而喻的,而在实际操作过程中,关键信息基础设施的等级保护定级标准一般不会小于三级。

至于安全评估的标准,我们可以参考这份文件:《信息技术 数据出境安全评估指南》,狗哥把相关的条目截了个图。

很显然,按照附录A.18 的规定,此次华大基因的14万中国孕育DNA数据是数据重要数据,在出境前是需要进行安全评估的。

根据法律的规定,向境外提供重要数据的需要启动自评估流程,同时制定数据出境计划,包括但不限于:

数据出境目的、范围、类型、规模

涉及的信息系统

中转国家和地区及安全控制措施等

如果数据出境活动不具有合法性和正当性,那么不得出境;在此基础上再评估数据出境计划是否风险可控,避免数据出境后被泄露、滥用等风险。最终,网络运营者需要形成一份数据出境计划评估报告,至少保存5年。

同样来自于《信息技术 数据出境安全评估指南》的原文规定,合法正当评估中应包括以下要点

我们还要注意一点,如果出境的数据涉及到了个人信息,那么被采集信息的个人是必须授权同意的,这一点在这个新闻案例里存疑,这14万孕妇不见得每人都同意出境,或者被用于其他的用途,这也是这个案例值得深思的另一面。

守信、守法、合规是企业应尽的义务,本次案例说明,网络安全的建设不仅仅是技术和设备方面的更新迭代,也需要企业的高度自律,更重要的是更有效的监管。数据主权是事关国家的核心利益的问题,是网络安全的重要组成部分，安全狗将会和安全行业一道守好国家网络安全的藩篱。