相关监管动向也须多加关注
近年来,达沃一直密切关注中国数据合规框架的发展。在此前的文章中提到的相关法律之一——《个人信息保护法》也在11月1日正式生效。这一里程碑式的事件在中国和国外都引发了新的关注。
中华人民共和国互联网信息办公室(网信办)也在上周五发布了一系列配套的《数据出境安全评估办法(草案)》。这并非当局第一次发布相关办法,但考虑到《个人信息保护法》已经生效,我们认为它很可能将成为正式文件。
基于近期的监管动向,达沃希望解决我们客户提出的一个关键问题:我们如何处理跨境数据传输?
回顾《个人信息保护法》
《个人信息保护法》常常被外界认为是中国对欧盟GDPR的回应。从这个意义上说,《个人信息保护法》是一部涉及面十分广泛的法律。《个人信息保护法》适用于在中国收集个人信息的行为,并在某些情况下还具有域外管辖权,并赋予了公司和个人广泛的权利和义务,其中许多取决于个人对其数据使用的明确同意。同时还要求创建内部的个人信息影响评估声明。需要说明的是,在有些情况下,收集和处理数据不需要明确的同意,但为了本文的目的,我们将不讨论这些情况。
在中国的数据保护框架下,数据收集者的主要义务之一是数据本地化;一般规则是个人信息必须存储在中国。当然,对于围绕个人信息是否以及何时可以转移到国外的具体要求也是我们持续的关注点。
与《个人信息保护法》规则相关的是,在跨境转移之前需要进行 “安全评估”。这到底意味着什么,以及必须在什么具体条件下进行评估,一直是一些讨论的主题。不过,截至10月29日,也就是《个人信息保护法》11月1日生效之前,我们收到了一些补充指导。
《数据出境安全评估办法(草案)》
《数据出境安全评估办法(草案)》适用于关键信息基础设施的运营者收集和产生的个人信息和重要数据。关于安全评估,《数据出境安全评估办法(草案)》指出,在以下情况下需要进行安全评估:
– 关键信息基础设施的运营者收集和产生的个人信息和重要数据;
– 出境数据中包含重要数据;
– 处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;
– 累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;
– 国家网信部门规定的其他需要申报数据出境安全评估的情形。
*我们认为累计可能表示是在一定时期内(如一年内)多次跨境数据交换
受这些规则约束的公司必须首先进行风险自评估,并重点关注,包括但不限于数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性、个人的权利、数据泄露的风险,及是否有解决数据保护问题的数据转移协议。
风险自评估完成后,该公司将向国家网信部门提交申请和所需材料,然后国家网信部门将针对上述内容以及其他重点问题进行评估。《数据出境安全评估办法(草案)》规定,国家网信部门将在45-60个工作日内完成数据出境安全评估,并以书面形式通知数据处理者。
值得注意的是,特定行业可能不在这些《数据出境安全评估办法(草案)》使用范围内。然而,在当局发布这方面的进一步指导意见之前,具体的行业区分尚不可知。
下一步动向
《数据出境安全评估办法(草案)》公开征求意见将在11月29日结束。《数据出境安全评估办法(草案)》正式颁布并生效后,将进一步明确企业如何遵守中国数据安全框架的这一核心问题。虽然这种明确性是有帮助的,但它为对那些被认为不符合规定的公司采取进一步的针对性执法行动打开了大门。考虑到这一点,正如我们一直所说的,在这样的问题上采取主动是很重要的。
自《网络安全法》于2017年生效以来,达沃团队一直在与客户合作解决这些不断变化的监管要求。我们已经准备好帮助您和您的公司为这个领域即将到来的发展做好准备。如果您有任何问题,请随时联系我们。
