为了促进数据依法有序自由流动,激发数据要素价值,扩大高水平对外开放,《促进和规范数据跨境流动规定》(以下简称《规定》)对数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度作出优化调整。
1.被豁免≠完全自由
《规定》明确了下列6种可豁免的情况:
(一)为订立、履行个人作为一方当事人的合同,确需向境外提供个人信息的;
(二)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;
(三)紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;
(四)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。
(五)在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的
(六)未被相关部门、地区告知或者公开发布为重要数据的
符合上述豁免条件的数据处理者,一旦涉及个人信息数据时依旧需要遵循《个保法》开展下列6大工作!
1.采取保护措施;个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。(《个保法》第三十八条)
2.增强告知义务;应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。(《个保法》第三十九条)
3.取得个人单独同意;接受方变更处理方式后需再次取得单独同意(《个保法》第二十三条、三十九条)
4.需签正式合同;两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。(《个保法》第二十条)
5.有下列情况仍需进行个人信息保护影响评估;处理敏感个人信息;利用个人信息进行自动化决策;委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;向境外提供个人信息;其他对个人权益有重大影响的个人信息处理活动。(《个保法》第五十五条)
6.需定期进行合规审计:个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。(《个保法》第五十四条)
2.重要数据有据可循
《规定》第二条 数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。近期暂无任何行业、地区公开重要数据目录,在公布后,将实现重要数据有据可循。建议企业主动咨询行业监管部门重要数据的识别、申报方式。
3.CIIO以认定结果为准
涉及的重要行业和领域的主管部门、监督管理部门负责制定本行业、本领域关键信息基础设施认定规则,组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知关键信息基础设施运营者。(《促进和规范数据跨境流动规定》答记者问)各企业无需猜测自己是否属于关键信息基础设施运营者(CIIO),CIIO认定已监管机构通知为准,被认定CIIO后,任何个人信息出境均需开展数据出境安全评估。
4.自贸区清单将问世
《规定》第六条 自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。《规定》提出两点新增要求:
1. 负面清单必须服从国家数据分类分级保护制度框架,重要数据定义难有突破,对金融、医药等行业影响较大。
2 .负面清单且仅适用于自贸区内数据处理者此外上海市临港新区宣布将率先围绕智能网联汽车、金融理财、高端航运、国际贸易、生物医药、文化出海等重点领域的具体场景,发布一批数据跨境流动的一般数据清单和重要数据目录。临港新片区管委会数据处处长表示最早会在3月份发布第一批清单。各大企业可期待该区对政策的理解和把控能力。
《规定》的出台在数据出境便利性和降低企业合规成本领域释放了积极信号,后续项目评估尺度和结果或将更具效率及可行性。并明确提出了各地网信机构要加强指导监督,强化事前事中事后全链条全领域监管。
企业需建立数据出境合规管理体系,完善风险隔离机制,降低企业的潜在法律风险及责任。
爱加密持续跟进监管动态致力于数据流动安全的防护与治理,为解决企业数据出境备案痛点,推出爱加密数据出境合规治理平台。产品遵循《规定》强调的事前事中事后全链条治理思路,可帮助企业持续有序地治理出境业务,提供出境资产管理 、出境前风险自评估 、风险治理以及持续监测等功能。拥有数据事实/数据安全监测能力,可识别新增出境接口,监测出境接口风险、出境数据类型及出境国家范围、出境事件、敏感数据出境行为等。
爱加密作为国内知名的移动信息安全综合服务提供商,将持续加强技术创新与研究,持续关注数据安全领域最新监管要求与企业痛点。从法律、技术、规则等角度继续提升数据流动治理能力,帮助企业有效防范化解风险,为数字经济高质量发展保驾护航。
END
欢迎给我们留言或评论~
我们将持续发布技术解读、解决方案、行业报告
点击关注,不错过下次精彩内容