01 概述
《个人信息保护法》第三十八条规定个人信息跨境提供的三种合规路径:“(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;”。三个文件情况如下:
施行时间 | 发布单位 | 名称 | 简称 |
2023-6-1 | 国家网信办 | 《个人信息出境标准合同办法》 | 标准合同 |
2022-12-16 | 全国信息安全标准化技术委员会秘书处(TC260) | 《网络安全标准实践指南—个人信息跨境处理活动安全认证规范 V2.0》 | 安全认证 |
2022-9-1 | 国家网信办 | 《数据出境安全评估办法》 | 评估办法 |
以下对这三种合规路径对比展示,供大家交流学习。
分别适用哪些情况(评估条件)
序号 | 标准合同 | 评估办法 |
1 | 非关键信息基础设施运营者; | 数据处理者向境外提供重要数据; |
2 | 处理个人信息不满100万人的; | 关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息; |
3 | 自上年1月1日起累计向境外提供个人信息不满10万人的; | 自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息; |
4 | 自上年1月1日起累计向境外提供敏感个人信息不满1万人的。 | |
5 | 国家网信部门规定的其他需要申报数据出境安全评估的情形。 |
认证规范适用于作为认证机构对个人信息跨境处理活动进行个人信息保护认证的认证依据,也为个人信息处理者规范个人信息跨境处理活动提供参考。
认证规范对认证的主体进行规定,申请认证的个人信息处理者应取得合法的法人资格,正常经营且具有良好的信誉、商誉。跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动可由境内一方申请认证,并承担法律责任。《中华人民共和国个人信息保护法》第三条第二款规定的境外个人信息处理者,可由其在境内设置的专门机构或指定代表申请认证,并承担法律责任。
应该做哪些准备工作(评估点)
简称 | 报告名称 | 相同点 | 不同点 |
标准合同 | 个人信息保护影响评估报告 | (一)数据处理者和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性; (二)出境数据的规模、范围、种类、敏感程度,数据出境可能对权益带来的风险; (三)境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障数据出境的安全; (四)数据出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等; (六)其他可能影响数据出境安全的事项。 | 数据=个人信息; (五)境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响; |
安全认证 | 数据=个人信息; (二)多“频率”; (五) 境外接收方所在国家或者地区的个人信息保护政策法规对履行个人信息保护义务和保障个人信息权益的影响 | ||
评估办法 | 数据出境风险自评估报告 | 数据=出境数据; (五)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务; |
需要准备哪些申报材料(提交材料)
简称 | (一) | (二) | (三) | (四) |
标准合同 | 标准合同 | 个人信息保护影响评估报告 | 个人信息处理者应当对所备案材料的真实性负责。 | N/A |
安全认证 | 具有法律约束力的文件 | 个人信息处理者和境外接收方的责任义务材料 | 评估报告至少保存3年。 | |
评估办法 | 申报书 | 数据出境风险自评估报告 | 数据处理者与境外接收方拟订立的法律文件 | 安全评估工作需要的其他材料。 |
02 申报流程是什么样的
1、标准合同
2、安全认证
3、评估办法
03 总结
1、数据处理者首先要关注涉及的数据和个人信息跨境业务符合哪种适用条件,如果确实属于,是需要在“自评估”的基础上,选择三种合规路径:
▽《标准合同》和《认证规范》要开展个人信息保护影响评估,《认证规范》要求评估报告保存3年;
▽《评估办法》应开展数据出境风险自评估;
▽选择《标准合同》和《认证规范》之后,是采取签署有法律约束力和执行力的文件作为保障;
▽选择《评估办法》之后,是由国家网信部门对跨境数据进行评估。
2、合规路径只能选择《评估办法》,而不能选择《标准合同》的四种数据出境情况:
(一)数据处理者向境外提供重要数据;根据《网络数据安全管理条例(征求意见稿)》第七十三条的规定,“重要数据”是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据;
(二)关键信息基础设施运营者;根据《关键信息基础设施安全保护条例》第二条的规定,关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等;
(三)处理100万人以上个人信息的数据处理者向境外提供个人信息(一般以企业全体部门所处理的个人信息数量之和进行计算);
(四)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息。
3、《认证规范》在摘要中提出开展跨境处理活动的个人信息处理者申请个人信息保护认证应符合GB/T 35273《信息安全技术 个人信息安全规范》和本文件的要求,可以作为跨境数据业务的企业或组织的国家标准参考。
总之,数据处理者从事跨境数据活动应当按照国家数据跨境安全监管要求,建立健全相关技术和管理措施,明确数据接收方按合同履行数据安全保护义务,保证数据安全,数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证。个人信息跨境提供的三种合规路径为跨境数据安全治理提供了有力保障。
参考资料
[1]《网络安全标准实践指南—个人信息跨境处理活动安全认证规范 V2.0》 来源:全国信息安全标准化技术委员会秘书处
[2] 《数据出境安全评估办法》来源:中国网信网
http://www.cac.gov.cn/2022-07/07/c_1658811536396503.htm
[3] 《个人信息出境标准合同办法》 来源:中国网信网
https://mp.weixin.qq.com/s/5T7pCReDif6tzCd56m3zKA
[4]《数据(个人信息)出境三种模式的比较研究》 漫修律师事务所 雷遥、宋洁婷、曾怡雯
(本文作者:北京安华金和科技有限公司 谭峻楠 )
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
