一、前言
随着中华人民共和国(中国)数字市场的发展,近年来跨境数据传输活动更加频繁,而此类活动的风险也日益突出。 2016 年 11 月 7 日全国人民代表大会通过的《中华人民共和国网络安全法》首次规定,关键信息基础设施运营商(CIIO)收集或产生的个人信息和敏感数据只能在以后进行。 中国网信办等国家有关部门对CIIO的安全评估。 此后,中国颁布了《中华人民共和国数据保护法》,这是一般数据保护制度的最高法律,以及旨在保护个人信息的《中华人民共和国个人信息保护法》。 为了补充《数据保护法》的细节,中国制定了配套法规,例如数据出境安全评估措施。
二、 受保护数据的主要类型
一般来说,世界各地的数据保护法与中国的数据保护法一样,都侧重于保护个人数据/信息和数据主体的权利。 然而,与许多其他司法管辖区不同的是,中国的数据保护制度包括被认为对国家安全或社会稳定敏感的其他类型的数据。 这种类型的数据还需要安全和处理控制。 以下类型数据的跨境传输,必须按照相关法律法规办理:
a) 个人信息
个人信息是指以电子或其他方式记录的已识别或可识别自然人的各类信息。 这意味着“个人信息”不仅是指与自然人直接相关的信息,还包括与其他信息结合后能够与自然人相关的信息。 需要注意的是,完全匿名的信息被排除在个人信息的范围之外。
某些类型的个人信息被认定为“敏感个人信息”,如被披露或非法使用,将损害任何自然人的人格尊严或对人身或财产安全造成严重损害。 此类信息可能包括生物特征识别、宗教信仰、特别识别的状态、医疗健康、财务账户数据和个人位置跟踪。 此外,所有 14 岁以下未成年人的个人信息均被视为敏感个人信息,这在其他司法管辖区有很大不同。 敏感个人信息的处理通常需要高度安全性。
根据《个人信息保护法》,个人信息处理者为向中国境外的外国接收者提供个人(数据主体)的个人信息,必须(i)告知数据主体该外国名称; 接收者、联系方式、个人信息传输的目的和类型、处理方法和过程,如果数据主体希望对外国接收者行使他/她的权利,以及 (ii) 数据主体的明确同意。
b) 重要数据
“敏感数据”是中国数据保护制度特有的概念。 敏感数据最早是在 2016 年 11 月公布的《网络安全法》中提出的; 然而,敏感数据的定义并没有具体定义,因此该术语在一段时间内仍然模棱两可。 随着对外数据传输安全评估措施的公布,在正式立法层面首次明确敏感数据一旦被篡改、销毁、泄露、非法获取或非法使用数据,可能危害国家安全、经济。 功能、社会稳定、公共卫生和安全等。
该定义为被视为敏感数据的内容设定了非常广泛的范围。 这包括地理数据、基础设施数据、能源相关数据、网络和网络安全数据、统计分析数据、军事和国防相关数据、高科技、工业数据等。 根据《数据保护法》,国家数据保护协调机制将协调相关部门制定敏感数据清单,为各行业更准确的敏感数据范围提供指导。
c) 关键数据
中国的“关键数据”概念在数据保护制度中也独树一帜。 2021年,《数据保护法》中引入了主数据,它定义了有关国家安全、国民经济命脉、民生重要方面、重要公共利益等方面的数据。 根据数据保护法,敏感数据应受到比敏感数据更严格的管理。 但是,目前还没有法律法规对敏感数据提供更详细的说明,应该说也没有规范此类数据处理的规则。 此类规范将在未来提供。
d) 国家机密(不在数据保护制度范围内)
《数据保护法》明确规定,国家秘密主要受《中华人民共和国国家秘密保护法》管辖,这意味着它们有别于敏感数据和敏感数据,位于数据保护制度之外。 处理或者传输属于国家秘密的数据或者信息,必须遵守有关国家秘密的法律、法规。
三、 跨境数据传输:法律法规的最新变化
a) 对外数据传输的安全评估
最近颁布的《数据出境安全评估办法》实施了《数据保护法》和《个人信息保护法》等主要法律,规定了从中国出境的数据必须经过安全评估的标准条件。 CAC 和其他部门以及安全评估流程的运作方式。 其中,数据处理者在进行数据出境前,必须进行自我评估,并通过地方(省级)网信部门向网信办申请安全评估,方可出境:
- 数据处理器将敏感数据传输到中国境外。
- 处理超过 100,000 个人的个人信息的 CIIO 或数据处理器使个人信息跨境。
- 数据处理者自去年1月1日起已将个人信息转移至境外,或共计10,000人的敏感个人信息。
- 网信办可设置其他需要对个人信息跨境传输进行安全评估的情形。
b) 个人信息跨境传输标准协议
网信办近期发布了个人信息跨境转移标准合同条款披露草案。 此前,《个人信息保护法》规定了将在中国收集的个人信息转移到国外的某些法律途径,包括使用由网信办制定的标准合同。 因此,这些规则草案是一个可喜的开始。 《出境征求意见稿》规定了标准协议下个人信息跨境传输的适用情形,除标准情形要求数据处理者在进行任何数据出境前进行CAC安全评估外,通常还适用该标准协议。 中国。
规则还规定,在使用标准合同之前,必须先进行个人信息影响评估。 标准合同及其条款均尚未生效。 我们建议数据处理者现在开始确定标准合同是否适用。 标准合同及其规定。
四。 外卖
考虑到最近颁布的法律法规产生的新要求以及通过最近的征求意见稿可以实现的趋势,我们创建了下表来帮助您决定在交叉实施之前要采取的步骤。 在中国收集的数据的跨境传输:
“音樂忍者。分析師。典型的咖啡愛好者。旅行佈道者。驕傲的探險家。”
More Stories
为什么美国在禁止中国电动汽车之前应该三思而后行
中国的钱只能花这么远——科科达展示了为什么历史将巴布亚新几内亚和澳大利亚如此深刻地联系在一起
中国队准备挑战巴黎奥运会所有接力赛