大数跨境
首页
>
中国数据跨境流动管理新规—您的数据跨境是否合规?
>
0
0

中国数据跨境流动管理新规—您的数据跨境是否合规?

中国数据跨境流动管理新规—您的数据跨境是否合规? 晟云磐盾
2024-03-24
0
导读:2023年9月28日,国家互联网信息办公室(“网信办”)发布《规范和促进数据跨境流动规定(征求意见稿)》(“征


2023年9月28日,国家互联网信息办公室(“网信办”)发布《规范和促进数据跨境流动规定(征求意见稿)》(“征求意见稿”),征求意见稿曾透露出对数据跨境监管松绑的态势。本公众号也曾就此发文,进行分析和展望。(见为数据跨境松绑?)。鉴于该征求意见稿,很多企业也在观望,自己有数据跨境需求,到底需不需要进行申报?是签标准合同还是走认证路子,从而合法进行数据跨境,满足监管需求。

在大家的翘首期盼中,靴子也终于落地,2024年3月22日,网信办正式发布了《规范和促进数据跨境流动规定》(“新规”),同时发布了《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》,并于当日起施行。

 由于新规明确,《数据出境安全评估办法》及《个人信息出境标准合同办法》等相关规定与本规定不一致的,适用本规定。且既然已形成正式施行版本,亦不必考虑征求稿原先规定,所以这里不再去比较新规与旧约的区别,仅仅针对新规本身,来看看您的数据跨境将何去何从?


01
什么样的跨境数据受监管?

新规要求,如果在国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生包含个人信息或者重要数据的,这些数据的出境,面临着要么申报数据出境安全评估、要么订立个人信息出境标准合同,要么通过个人信息保护认证的可能性。

此处需要注意三点

1. 关于个人信息

根据网信办就《促进和规范数据跨境流动规定》答记者问【1】,如何定义“个人信息”这里有个技术知识点(敲黑板!)。首先,个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。其次,个人信息采用加密、脱敏等措施处理属于去标识化,但去标识化处理后的个人信息仍是《个人信息保护法》规定的个人信息。去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。

2. 关于重要数据

根据新规,未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。所以企业无需冥思苦想自己收集产生的数据是否属于新规的重要数据,密切关注后续相关部门和地区告知发布重要数据的情况即可目前来说,有GB/T43697-2024《数据安全技术 数据分类分级规则》发布,虽然暂没有看到有明确完整的地方或行业的重要数据目录,但随着新规出台,各地区、各部门、相应行业和领域的重要数据应该很快会有参考。


3. 关于负面清单


同时,按照新规,自由贸易试验区内数据处理者向境外提供负面清单外的数据(“跨境数据白名单制度”,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

目前,地方上,上海临港发布了《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》,天津也发布了《中国(天津)自由贸易试验区企业数据分类分级标准规范》。后续应该会有其他自贸区陆续发布相关办法,也值得在自贸区,或因考虑数据跨境便利而想要入驻自贸区的相关企业关注。


02
跨境数据受监管的量级?


关键信息基础设施运营者:只要有向境外提供个人信息或者重要数据的场景,哪怕一条,必须进行申报。新规从严管理。

非关键信息基础设施运营者,相关受监管阈值如下:

申报数据出境安全评估

重要数据

1

个人信息(自当年11日起累计)

100

个人敏感信息*(自当年11日起累计)

1万

*敏感个人信息,是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。

个人信息出境标准合同或者通过个人信息保护认证

个人信息(自当年11日起累计)

10万 但 <100

个人敏感信息*(自当年11日起累计)

<1


03
有没有不受监管的个人信息跨境?


有!


根据新规,有下列情况的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:

  • 为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的;

  • 按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;

  • 紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;

  • 关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。

此处需要注意,用词“确需”,所以由您证明自己向境外提供个人信息的必要。对于企业来说,如果确需的理由是根据企业境外总部的要求,这显然不足以自证“确需”。
04
申报后安全评估有效期是?


3年+3年


根据新规,通过数据出境安全评估的结果有效期为3年,自评估结果出具之日起计算。有效期届满,需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的,数据处理者可以在有效期届满前60个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请。经国家网信部门批准,可以延长评估结果有效期3年。


05
我的数据就是过个境中转而已。。


如果作为数据处理供应商,在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。


虽然是另外的话题,但需要注意的是,如果境外相关国家对数据出境有要求,此处的数据处理可能处于数据出境方的监管下。如美国刚刚通过的行政命令《关于防止受关注国家访问美国人的大量敏感个人数据和美国政府相关数据的行政命令》(见本公众号文章 美国限制个人数据传输至中国! ),其中有数据处理的供应商协议限制的相关章节。



06
最后:建议

目前,很多企业对自身收集处理多少量级的个人信息数据并没有清晰的认知,很多企业也没有相应的数据分类分级的标准和制度,无法根据自身行业和企业特点形成自己的重要数据目录,更不必提如根据《个人信息保护法》要求下,对个人信息做相应的个人信息保护影响评估。一旦有数据跨境需求,往往无法从容应对合规监管挑战。


晟云磐盾是一家专注于数据合规审计和数据安全的法律科技企业,并从事相关数据跨境合规咨询服务。我们在云计算、大数据和人工智能技术的基础上,为客户提供持续业务保障,帮助企业构建安全、值得信赖和持续合规的数据管理平台。

[1]http://politics.people.com.cn/n1/2024/0322/c1001-40201502.html


点击关注企业数据合规

🔻

【声明】内容源于网络
0
0
晟云磐盾
晟云磐盾为政府、企业和个人提供专业的数据合规和数据安全解决方案,为您的隐私、安全和合规保驾护航。
内容 33
粉丝 0
晟云磐盾 晟云磐盾为政府、企业和个人提供专业的数据合规和数据安全解决方案,为您的隐私、安全和合规保驾护航。
总阅读8
粉丝0
内容33