关注我们,学习更多隐私合规讯息
中国已发布措施,详细规定了跨境数据传输的安全审查要求。自中国颁布立法要求希望出口某些类型数据的公司接受网络安全部门的安全评估以来,外国公司和大型跨国公司一直在热切等待此类措施。
这些措施明确了负责监督安全评估的政府机构,以及公司必须通过哪些程序才能获得海外数据传输许可。
中国最高网络安全机构中国网络空间管理局(CAC)发布了关于数据出口安全审查要求的最终措施。这份名为《数据出口安全评估措施》(“安全评估措施”)的文件是在2021 11月发布征求公众意见稿之后发布的。
最终版本与草案基本保持不变,但进行了一些关键的语义更改,以使安全评估措施与其他数据导出法规更加一致。
该文件概述了公司进行安全评估以将数据或个人信息(PI)转移到海外的具体要求、步骤和程序,这是处理来自中国用户的大量数据或其数据被归类为“重要”或“敏感”的公司的必备条件。
自从中国在2017年发布的《网络安全法》(CSL)中首次限制某些类型数据的出口以来,许多公司一直在焦急地等待安全评估的澄清。
GDPR对中国有用吗?对中国数据合规有哪些影响?一起来了解中国数据合规与欧盟GDPR的联系
安全评估措施为需要将数据发送到海外进行运营的公司提供了一条明确的途径,并明确了当局在评估跨境数据传输时将考虑公司业务的哪些方面。
新的评估措施基于中国三大数据安全法律,即CSL、数据安全法(DSL)和个人信息保护法(PIPL),后者于2021 11月1日生效,安全评估措施旨在“规范中国数据出口”和“保护个人信息、维护国家安全和公共利益”。
安全评估措施将于2022年9月1日生效。如果一家公司以前从事过不符合这些措施规定的数据导出活动,则该公司将被要求在该日期后的六个月内进行必要的更改以符合要求。
谁必须接受跨境数据传输的安全评估?
并非所有公司都需要在向海外传输数据之前进行安全评估。安全评估措施重申了包括CSL和PIPL在内的先前立法中概述的要求,其中规定,“关键信息基础设施”运营商(CIIO)和从中国用户收集数据的国家机构等公司在被允许向海外传输数据之前,必须经过安全评估。
同时,《PIPL》第38条为公司提供了以下程序,以便获得许可,将在中国境内的受试者的PI转移到海外:
接受CAC组织的安全审查,相关法律法规豁免的情况除外。
根据CAC的规定,接受专业机构的PI保护认证。
根据CAC制定的标准,与外方签订合同,规定各方的权利和义务。
符合CAC或相关法律法规规定的其他条件
安全评估措施专门针对上述第一个程序以及其他立法中的要求,并阐明了要求公司采取这一路线的情况。
如果公司希望在以下任何情况下导出数据,
则必须接受CAC的安全评估:
数据处理器在海外提供“重要”数据
CIIO和数据处理器处理超过100万人在海外提供PI的PI。
自去年1月1日以来,已将超过10万人的PI或超过1万人的“敏感”PI转移到海外的数据处理器。
CAC规定的其他需要申报数据出口安全评估的情形
安全评估措施的最终版本增加了一条新条款,将“重要”数据的范围定义为“一旦被篡改、破坏、泄露或非法获取或使用,可能危及国家安全、经济运行、社会稳定或公共健康和安全的数据”。
同时,PIPL中定义的“敏感PI”包括(但不限于):
生物特征数据(如指纹、虹膜和面部识别信息以及DNA)
与宗教信仰或“特定身份”相关的数据
病史
财务账户
位置和去向
14岁以下未成年的任何PI
最后,《关键信息基础设施安全和保护条例》将CIIO定义为从事“重要行业或领域”的公司,
《关键信息基础设施安全和保护条例》包括:
公共通信和信息服务;
能量
运输
水
资金
公共服务;
电子政务服务;
国防
任何其他重要的网络设施或信息系统,如果发生失能、损坏或数据泄漏,可能严重损害国家安全、国民经济和人民生计,或公共利益。
不被视为CIIO或处理的数据量小于上述阈值的公司,只需与海外接收方签订“标准合同”,就可以获得向海外传输数据或PI的许可。该程序比CAC安全审查更简单,因为它不需要外部审计。要了解贵公司是否符合此简化程序,请参阅此处关于标准合同要求的文章。
申请数据导出安全评估
如果公司符合CIIO标准或处理的数据或PI超过上述数量,则必须向CAC申请安全评估,以获得将数据转移到中国境外的许可。安全评估措施详细描述了公司通过安全评估必须满足的程序和标准。
进行自我评估
要申请安全评估,公司必须首先对其希望导出的数据进行安全风险自我评估。自我评估主要侧重于评估数据出口可能对中国国家安全造成的风险,以及收集数据的中国个人或组织的个人权利。
在进行自我评估时,
公司必须考虑以下问题:
跨境数据传输的目的、范围和方法以及海外接收方处理数据的合法性、合法性和必要性。
传输数据的规模、范围、类型和敏感性,以及跨境数据传输可能对中国国家安全、公共利益以及个人和组织的合法权利造成的风险。
[数据]海外接收方承担的责任和义务,以及履行责任和义务的管理和技术措施和能力是否能够确保出境数据的安全。
数据在海外转移过程中或出境后被篡改、破坏、泄露、丢失、转移或非法获取或使用的风险,以及保护PI[主体]权益的渠道是否畅通。
与海外接收方签订的数据出口相关合同或其他具有法律约束力的文件(以下统称为“法律文件”)是否充分规定了数据保护的责任和义务。
其他可能影响数据导出安全的事项。
申请安全评估
在申请数据出口安全评估时,企业需要提交以下材料:
一份声明
跨境数据传输风险自我评估报告
数据处理方和海外接收方之间签署的法律文件;
安全评估工作所需的其他材料
我也想成为合规官,是否满足考IAPP国际隐私证的要求呢?点击下方,一起测一测吧!
数据处理方与海外接收方签署的法律文件必须包括(但不限于)以下职责和义务:
数据传输的目的和方法以及传输的数据范围;海外接收者需要这些数据的目的和处理这些数据的方法。
数据将存储在海外的位置和时间;在数据存储期限到期、达到规定目标或法律文件终止后,对导出数据的处理措施。
海外接收方向其他组织或个人传输数据的约束性要求。
如果海外接收方的控制或运营范围发生实质性变化,或数据传输地区的安全保护政策和法规发生变化,网络安全环境发生变化,将采取的安全措施,或其他难以保证数据安全的不可抗力情况。
补救措施、违约责任以及违反法律文件规定的数据安全保护义务的争议解决方法。
适当应急响应的要求,以及保护个人权利的渠道和方法,以在出站数据有被篡改、破坏、泄露、丢失、转移或非法获取或使用的风险时保护其PI。
在提交必要的材料后,CAC将在七天内以书面形式通知申请人其接受申请的决定。
正在进行安全评估
CAC接受申请后,将组织国务院有关部门和政府机构根据申报情况进行安全评估。
当局在进行安全评估时将考虑以下标准:
数据导出方法、范围和目的的合法性、合法性和必要性
数据接收方所在国家或地区的数据安全保护政策、法规和一般网络安全环境可能对数据安全产生的影响,海外接收方的数据保护标准是否符合中国法律、行政法规和强制性国家标准的要求
出站数据的规模、范围、类型和敏感性,以及在传输期间和之后对数据造成的可能风险,例如数据的泄漏、篡改、丢失、损坏或非法获取或使用
数据安全和个人信息权利是否能够得到充分有效的保护
数据处理方与海外接收方之间签署的法律文件是否充分规定了数据安全保护责任和义务
[数据处理方]遵守中国法律、行政法规和部门规章
CAC认为必要的其他事项
网络安全部门将在发出申请被接受通知后的45个工作日内进行安全评估。但是,对于复杂的情况或需要额外文件或更正的情况,可以扩展此程序。在这种情况下,将通知数据处理者评估的预期延长期限。评估结果将以书面形式提供给申请人。
如果在评估期间发现申请材料不符合要求,当局将要求数据处理者进行必要的更正或补充缺失的材料。
如果数据处理者无正当理由未能提供正确的材料和信息,则评估可能终止。数据处理者还应对所提供材料的真实性承担法律责任,如果发现他们故意提交虚假材料或信息,可能会面临法律后果。
自评估结果发布之日起,安全评估的有效期为两年。然而,如果批准跨境数据传输的情况发生实质性变化,则可以提前撤销评估。
对评估结果的异议和重新评估请求
如果数据处理者对评估结果有异议,可在收到评估结果后的15个工作日内向相关部门申请重新评估。然而,重新评估的结果将是最终的。
如果在评估有效期内发生以下任何情况,公司将被要求重新申请安全评估:
海外提供的数据的目的、方法、范围或类型发生变化,海外接收方处理数据的用途和方法发生变化,或个人信息或重要数据的海外保留期延长。
以下内容有任何更改:
海外接收方所在国家或地区的数据安全保护政策、法规和网络安全环境。
数据处理者或海外接收者的实际控制。
数据处理方与海外接收方之间可能影响出境数据安全的法律文件。
其他不可抗力情况。
其他可能影响出站数据安全的情况。
如果公司打算继续在海外处理或传输数据,则必须在评估到期前60个工作日重新申请安全评估。
如果在数据处理过程中活动不再符合安全管理要求,相关部门也可以撤销安全评估。
他们将以书面形式通知公司撤销,之后公司将被要求终止所有跨境数据传输活动。公司可以在纠正导致其失去批准状态的问题后重新申请安全评估。
安全评估措施的限制
尽管新的安全评估措施为公司向海外出口和处理数据提供了重要的澄清和切实可行的途径,但仍存在一些关于如何实施这些法规的问题。
这些问题主要源于安全评估措施所依据的数据安全立法中某些术语的定义不明确。其中最值得注意的是“重要数据”和“CIIO”的定义,目前在其他立法中的定义仍然很松散。
尽管如此,我们可以通过一些立法文件来对这些术语进行一般定义。2021 9月1日生效的关于关键信息基础设施(CII)安全和保护的法规更加明确了哪些部门将为公司提供CII封条——能源、运输、水和国防,但仍为某些行业(尤其是数字平台)的解释敞开了大门,并将指定的最终责任推给了监管部门。
对于“重要数据”的定义,也是一个类似的故事。2021 9月30日,工业和信息技术部(MIIT)开始就一系列法规草案征求公众意见,这些法规草案按敏感性级别对数据进行分类。
该法规将数据分为三类:“一般数据”(敏感度最低)、“重要数据”(需要进行安全评估才能转移到海外)和“核心数据”(对中国国家安全构成高度风险,不得转移到海外。
在其分类中,“重要数据”有一个宽泛的定义,包括(但不限于)对核心国家利益构成威胁的任何数据,包括中国的政治、领土、经济、社会、互联网和资源,以及其安全性可能影响中国在“海外利益、生物、太空、极地、深海和人工智能”等关键领域的国家安全的数据
值得注意的是,上述“重要数据”的定义与文件中的“核心数据”定义非常相似,唯一的区别(在该定义中)是“核心数据对中国的国家利益构成“严重”威胁。
该法规目前没有提供如何定义“严重”的详细信息。这一模糊性使条例在实践中如何实施变得更加不明确,并可能给当局一些他们认为合适的解释条例的余地。
最后,安全评估措施没有说明当局将如何处理在实施这些措施之前进行的数据输出活动。如上所述,在这些措施生效之前已从事数据导出活动的公司将被要求采取必要措施,确保该活动在六个月内(如果尚未遵守),即2023年3月1日之前符合规定。
但是,他们没有为必须纠正的活动定义时间框架。这意味着,尚不确定2022年9月1日之前开展的任何出口活动是否必须在2023年3月1日前进行追溯安全审查,也不确定多年前开展的出口活动是否可以豁免。这是一个在实施过程中可能必须考虑的问题,目前尚不清楚当局将如何执行这一规定,以及如何始终如一地执行这一条款。
为处理敏感或大量数据的公司提供法律途径
尽管某些行业缺乏明确性,但新的安全评估措施仍然是朝着为中国境外数据出口建立强有力的监管环境迈出的重要一步,最终为拥有海外业务的公司提供了寻求批准将数据转移到海外的途径。
由于存在额外要求和不规则裁决的可能性,建议寻求申请安全评估的公司咨询当地CAC部门,以评估是否需要申请安全评估以及是否需要任何额外程序。
此外,合格的法律专业人员可以帮助确保合同和其他具有法律约束力的文件包含所有必要的规定,以满足安全评估措施中规定的要求。
文章整理于cioctocdo.com,由隐私合规交流圈 隐小私整理,转发请备注出处
*整理编辑:A隐小私(yinxiaosi00)
👇👇👇往期直播回顾👇👇👇
👉扫码即可立即学习👈
电脑端观看:http://navo.top/VRru6z
👉扫码即可立即学习👈
电脑端观看:http://navo.top/yYJRFn
学员经验
往/期/回/顾
更多课程在线听讲
👇👇更多课程疑惑,扫描下方二维码解答 或+yinxiaosi00👇👇
-END-
年薪百万的数据合规律师需要考哪些合规证书?一起听听老师的分享
国际隐私专业协会究竟是什么?点击下方视频,听老师讲述一下国际隐私协会的起源及发展,以及IAPP证书在隐私行业的影响力
感觉不错你就赞赞我吧!
点分享
点点赞
点在看
戳这个,领取IAPP备考资料
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...