在过去的五年里,我们见证了社会数字化的极快发展。在大数据时代,数据已成为国际和国内企业在中国的战略资产,这对企业组织来说既是机遇也是合规挑战。我国的《网络安全法》、《数据安全法》和《个人隐私信息保护法》构成了我国数据保护和网络安全的综合法律体系,对数据本地化和数据跨境传输提出了具体要求。
自 2022 年 6 月以来,我国数据监督管理的机构发布了一系列范围广泛的法律和法规,为跨境数据传输机制的实施提供了更多的细节和指导。目前将数据转移出中国的可用机制是:
本文概述了上述三种方法,比较了不同的应用场景,并从实际角度讨论了企业应思考哪些合规行动。
网信办于 2022 年 7 月 7 日发布了《数据出境安全评估办法(安全评估办法)》和 2022 年 8 月 31 日发布的《数据出境数据传输安全评估申请指南(第 一版)》(安全评估指南)。两者均于2022年9月1日起实施。根据《安全评估办法》和《安全评估指引》,有以下情形之一的跨境数据传输需要进行CAC安全评估:
自上一年 1 月 1 日以来发生的超过 100,000 人的个人数据或超过 10,000 人的敏感个人数据的任何转移(合计)
“重要数据”是指任何被篡改、销毁、泄露或者非法获取、使用,可能危害中国国家安全、经济运行、社会稳定、公共卫生或者公共安全的数据。识别重要数据的一般原则预计将针对特定行业、特定部门或特定地区,并将由行业监督管理机构和地方当局进一步详细说明。
CII被定义为公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防、科技等领域以及工业领域的“重要网络设施和信息系统”任何损坏、功能丧失或数据泄露都可能严重危害国家安全、国计民生、公共利益的。
在实践中,对于那些没有被行业监督管理的机构通报为关键信息基础设施运营商的实体,极有可能不会被视为关键信息基础设施。但仍需及时了解关键信息基础设施定义的变化,不时与行业监督管理机构沟通现状。
请注意,中国监督管理的机构正在最终确定重要数据和关键信息基础设施的规定,最终版本可能会在不久的将来发布。
中国境外的外国实体可以远程访问(包括能够查看、下载、检索和导出)在中国日常运营中收集或生成并存储在中国本地的数据。
在实践中,跨国公司经常运行共享的 IT 系统或应用程序,其中中国子公司共享、转让或授予访问在中国收集或生成的数据的权限。如果属于上述任何一种情况,这将被视为跨境数据传输,有必要进行强制性安全评估。
为了启动安全评估程序,中国的数据输出方必须与外国数据接收方一起准备大量必要的文件,包括自我评估报告、跨境数据传输协议、申请表和任何其他补充信息,取决于 CAC 在《安全评估办法》和《安全评估指南》中的具体要求。
CAC 安全评估大约需要 60 个工作日,但复杂情况可能会延长。通知数据输出方的可能结果是:(i) 评估不适用,(ii) 评估通过且允许数据传输或 (iii) 评估未通过且不允许数据传输。数据输出方对网信办安全评估结果不满意的,有权申请审查,审查结果为最终结果。
安全评估有效期为两年。数据输出方必须在两年期限届满或发生任何影响数据安全的变化时提交新的评估,例如数据保留期延长、外国数据接收方控制权发生明显的变化、重大目的地国家的数据法律和惯例的变化以及不可抗力。
任何未能完全遵守新规则的先前评估都必须在 2023 年 3 月 1 日之前纠正。
2022 年 6 月 30 日,CAC 发布了《个人隐私信息出境标准合同规定》(SCC 规定草案),从而揭开了人们期待已久的中国 SCC 条款。根据 SCC 条例草案,如果满足以下所有条件,数据输出者能够最终靠 SCC 机制将个人数据转移到国外:
自上一年 1 月 1 日以来,其未对超过 100,000 人(合计)的个人数据来进行跨境传输。
自上一年 1 月 1 日起,未跨境传输超过 10,000 人(合计)的敏感个人数据。
只有满足以上所有条件,数据导出方才能选择 SCC 选项;否则一定要通过安全评估。
中国 SCC 与欧盟通用数据保护条例 (GDPR) 下的 SCC 有一些相似之处。但是,与 GDPR SCC 下的不同模块(即 CC、CP、PP 和 PC)不同,中国 SCC 不根据各方的角分情景。中国 SCC 还提出了具体实际的要求,包括:
中国法律应为跨境数据协议的准据法,当事人只能选择在中国法院提起诉讼或在中国或 1958 年《纽约公约》成员国的仲裁庭进行仲裁程序。
个人数据保护影响评估报告和签署的 SCC 必须在 SCC 生效后的 10 个工作日内向 CAC 备案,但 SCC 生效或中国数据输出方无需向 CAC 备案将个人数据转移到国外。但有必要注意一下的是,未按照适用规则提交有几率会使数据跨境传输中止。
2022年6月24日,中国发布了《个人隐私信息跨境处理活动安全认证规范》(《安全认证规范》),作为国家标准指南。根据中国个人隐私信息保护法的域外适用,《安全认证指引》适用于集团内个人数据的跨境转移和个人数据在中国境外的处理。中国境内的实体或外国数据控制者在中国的指定代表能申请安全认证并承担对应的责任。
根据 GDPR 第 47 条,安全认证指南与 BCR 有相似之处。安全认证指南或 BCR 下的安全认证是跨境数据传输的机制之一,适用于同一集团公司内的所有相关成员,并且必须遵守。
《安全认证规范》包含了适用于安全认证的根本原则和要求,作为进行安全认证的基础,并作为个人数据跨境传输背景下数据控制者的合规指南。
安全认证还需要一份具有法律约束力和可执行性的协议,以涵盖处理跨境数据传输的关键条款和条件。除具有约束力的协议外,有关数据控制者和数据处理者必须成立数据保护部门,任命数据保护官,适当进行数据保护影响评估,并制定数据控制者和海外数据接收者一定要遵守的规则。个人数据的跨境传输。这些规则类似于约束性公司规则(BCR),但具有中国特色;例如,BCR 规则不必涵盖有关第三国或多个国家的识别,但安全认证指南要求披露此类信息。
安全认证指南尚未详细说明认证程序。我们大家都希望在不久的将来提供有关如何获得认证的更多详细信息。
如果满足任何所需场景,则一定要进行安全评估。例如,如果跨国公司是 CII 运营商,或者打算将重要数据转移出中国,那么安全评估将是唯 一的选择。安全评估在大多数情况下要长达 60 个工作日甚至更长的时间才能完成,并且具有三种可能的结果,这可能会给预期的数据传输带来不确定性。另一方面,一旦通过,安全评估的有效期为两年,因此能在有效期内涵盖向同一海外接收者的多次数据传输。
与 GDPR 在中国的 BCR 等效,安全认证适用于位于中国的数据输出方的集团内传输。一旦通过,安全认证适用于同一集团公司内的所有相关成员。但是,关于实施安全认证的详细指南在大多数情况下要更加明确。
SCC 条例草案尚未最终确定。由于合同条款和时间/成本效率的可预测性更高,预计中国 SCC 制度将有着非常明显优势。但是,中国 SCC 条款仅适用于未触发强制安全评估的情况。此外,中国 SCC 受中国法律管辖,必须在规定时间内向 CAC 备案。海外受助人可能难以解决中国 SCC 与其现有 SCC 之间的差异。
既然新的国际数据传输机制已经到位,强烈建议商业组织采取适当的合规措施,以促进跨境数据传输。尽管每个跨国公司的合规要求可能因详细情况而异,但以下要求应作为一般参考:
自我评估以评估跨境数据传输是否属于安全评估的适合使用的范围,评估跨境数据传输的最 佳方法,为国际数据传输建立整体和协调的程序并准备相关文件规定的方式,例如跨境数据传输协议和自我评估报告。
对相关的数据库和数据活动进行数据映射,以了解在中国的业务运营所收集或产生的数据的性质、类别和数量,并确定是不是有任何数据从中国子公司转移到中国境外的总部/附属公司即使中国收集的数据没有存储或转移到国外,是否已授予任何海外总部/关联公司对在中国收集的数据的任何远程访问权限。
评估数据出口商的数据安全管理能力及对数据隐私和网络安全法律的遵守情况。假如发现任何差距,一定要尽快采取补救措施。请注意,一些补救措施可能很耗时。例如,中国的多层次保护计划下的测试和备案可能需要几个月的时间,并且应该提前计划以降低风险。
如果需要,任命一名合格的数据保护官 (DPO)。拥有合格的 DPO 有助于优化数据安全管理体系,促进与 CAC 的沟通,降低违规风险。