出现网安事件后，需 1 小时内上报 深度解读网信办新规《网络安全事件报告管理办法》

为协助更多企业理解标准核心要求，为此小编特邀请拥有 20 余年网络安全行业经验的爱加密网络安全专家韩云老师，为大家解读《实践指南》，本文为各位提炼了《实践指南》的六大部分的核心要求及文件的三大亮点。

第一部分，《实践指南》的范围，描述了粤港澳大湾区跨境处理个人信息应遵守的基本原则和要求及大湾区范围，即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市及香港特别行政区，未提及 " 澳门特别行政区 "。特别定义了大湾区内个人信息处理者是指注册于（适用于组织）／位于（适用于个人）粤港澳大湾区内的个人信息处理者。重点强调了大湾区内个人信息处理者可依据 " 备忘录 " 以认证方式开展个人信息跨境处理活动。其中，备忘录指的是今年 6 月 29 日国家互联网信息办公室与香港特区政府创新科技及工业局签署的《关于促进粤港澳大湾区数据跨境流动的合作备忘录》；而认证则是指《个人信息保护法》第 38 条要求的个人信息跨境处理活动安全认证。

第二部分，为了体现大湾区个人信息的特殊性，《实践指南》定义了五个术语，分别是个人信息、个人信息处理者、个人信息处理、个人信息主体、属地法律法规。明确区分大湾区个人信息和 " 内陆个人信息 "，《实践指南》中个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，未提及 " 匿名化处理后的信息 "。数据出境中不仅需注意原始数据性质，更需注意企业属地（是否为大湾区、自贸区）、是否可免审核出境，企业需要尽快借助数据出境合规治理平台，加强数据出境管理能力与管理精细度，降低违规风险。

第三部分，基本原则，共提出了六大原则即 " 合法、正当、诚信原则、最小必要原则、公开透明原则、质量保障原则、确保安全原则、责任明确原则 " 与《个人信息安全保护规范》做了对应和调整。

第四部分，个人信息处理要求，透露了两大信息，第一、是香港内地法律法规逐渐靠拢。在遵循内地原则的基础上，同时强调了属地管理，就香港的个人信息处理者而言，处理个人信息应符合香港《个人资料 ( 私隐 ) 条例》相关规定（包括其附表一的保障资料原则）。第二，个人信息告知同意；个人信息存储、使用、加工；个人信息委托处理、提供、公开；个人信息跨境等均按照内地法律法规执行。强调了接收方不得将接收的个人信息转移至粤港澳大湾区之外的第三方（比如 " 内地 "）。

第五部分，个人信息权益保障要求，这部分内容遵循了《个人信息保护法》、《个人信息安全规范》的相关内容，同时兼顾属地特性。特别提出了日期限制：" 在 40 日内或属地法律法规规定的期限内作出答复及合理解释，拒绝个人行使权利请求的应说明理由 "

第六部分，个人信息安全要求，这部分对跨境个人信息安全问题做了要求，强调了责任人、责任主体和安全管理等相关措施，在《个人信息安全规范》第十一章的基础上，强化了跨境个人信息保护的要求。

总体来说《实践指南》拥有三大亮点。

一、为 " 一国两制三法系 " 的复杂环境下降低数据合规成本、促进跨境数据共享定义了规范基线，这不但对大湾区跨境数据共享的先行先试至关重要，而且为未来实现 " 数字中国 " 跨领域的数据资源大循环体系和 " 数字丝路 " 的跨境数据资源大循环体系提供了重要参考。

二、《实践指南》针对粤港澳大湾区范围内的 10 个城市完善个人信息跨境传输及处理的安全指引，这是大湾区数据跨境共享跨出的重要一步，是开始、是起点、更是尝试。

三、《实践指南》为数据跨境共享提供了统一、灵活、支持海量参与方平等参与的跨境数据网络。该数据网络不但必须做到支持辖区 / 领域隔离（随时切断）、辖区 / 领域合规（各自符合相关规范），而且还要具备普适通用、高性能、强共识的特点。为确保数据跨境各参与方采用合理的安全技术手段，符合相关法律法规，需要建立科学的认证流程。爱加密持续跟进监管动态致力于数据流动安全的防护与治理，为解决企业数据出境备案痛点，推出爱加密数据出境合规治理平台，产品遵循《规范和促进数据跨境流动规定》强调的 " 事前评估、事中监测、事后留档 " 的治理思路。可帮助企业持续有序地治理出境业务，提供出境资产管理 、出境前风险自评估 、风险治理以及持续监测等功能。拥有数据事实 / 数据安全监测能力，可识别新增出境接口，监测出境接口风险、出境数据类型及出境国家范围、出境事件、敏感数据出境行为等。

爱加密作为国内知名的移动信息安全综合服务提供商，将持续加强技术创新与研究，持续关注数据安全领域最新监管要求与企业痛点。从法律、技术、规则等角度继续提升数据流动治理能力，帮助企业有效防范化解风险，为数字经济高质量发展保驾护航。