新闻动态大文件传输

美国数据跨境传输和跨国文件传输事项
美国数据跨境传输和跨国文件传输事项 美国一直刻意避开联邦层面的统一跨国传输数据和跨国文件传输保护立法,只在特殊领域或者个别州实现定点立法,主要动因是担心过多的法律规则会使美国互联网企业发展丧失活力与优势。 2019年11月18日,美国国会共和党参议员Josh Hawley向参议院提交了关于跨境数据传输保护与跨国文件传输的《国家安全与个人数据保护法提案》。该提案引言部分指出,其宗旨是“通过实施数据安全要求和加强对外国投资的审查,保护美国人的数据不受外国政府的威胁。尽管,NSPDPA 是否及何时能通过尚不能确定,但其内容已引起了境内外互联网及科技企业的极大关注。如果最终通过,将对企业数据合规提出更高要求和挑战。 在个人数据跨境传输的政策规制上,美国持开放态度,但在其他重要的非个人数据上,则采取了相应限制,如《出口管理条例》对部分关键技术与特定领域的数据出口进行限制;另外,还应当重点关注医疗健康领域的《健康保险携带和责任法案》,值得注意的是,该法案的适用主体范围有限,并非所有网络服务商均需遵守;此外,金融服务数据方面的《格雷姆-里奇-比利雷法案》仅适用于金融服务商,而不及于一般的金融技术企业。在处理美国法域数据合规时,应当特别注意各州之间不同的法律规制,比如加州的隐私法保护程度通常严于美国其他州。 总结并评述一下美国的跨境传输数据和跨国文件传输立法,一方面以备应对美国不时发起的审查与调查,另一方面美国的相关立法也对我国数据保护立法有借鉴意义。美国目前尚没有联邦层面的数据保护统一立法,数据保护的立法多按照行业领域分类。 那么针对于这些跨国文件传输过程中遇到的问题,那么如何解决呢? 下面介绍镭速跨国文件传输软件,能够很好的解决跨国文件传输过程中遇到的各种问题. 1、文件传输快 跨国文件传输,由于距离远,那么普通的传输,往往导致的就是传输速度慢,而镭速TB级文件、海量小文件高性能传输,满足不同场景下企业远程、跨国文件和跨国数据加速传输需求; 2、带宽利用率高 镭速带宽利用率达90%,冗余数据负担低于1%,降低企业带宽成本,充分利用网络现有资源; 3、超低延时与丢包 镭速自研Raysync高速传输协议,消除了TCP固有缺陷,有效降低延时与丢包,提升传输效率; 4、传输稳定 点对点传输,全程TLS加密与AES-256加密,支持断点续传、错误重传、负载均衡,保障传输稳定与安全。 看了这些功能点,那么如何申请镭速跨国文件传输软件呢? 点击申请https://www.raysync.cn/apply 填写信息,就会有专业的工作人员提供免费试用。 本文地址:https://www.raysync.cn/news/post-id-256 ,镭速传输提供一站式文件传输加速解决方案,旨在为IT、影视、生物基因、制造业等众多行业客户实现高性能、安全、稳定的数据传输加速服务。传统文件传输方式(如FTP/HTTP/CIFS)在传输速度、传输安全、系统管控等多个方面存在问题,而镭速文件传输解决方案通过自主研发、技术创新,可满足客户在文件传输加速、传输安全、可管可控等全方位的需求。
个人数据跨境传输和跨国文件传输中需要履行的义务
个人数据跨境传输和跨国文件件中需要履行的义务 2017年4月11日,中国国家互联网信息办公室(以下简称“国家网信办”)发布《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下亦简称“2017 年评估办法”)。 按照《评估办法》的要求,企业在数据和文件跨国传输前, 对于非重要和敏感数据,应自行组织评估、制定出境计划后方可出境;对于重要数据应在行业主管部门或国家网信办组织数据安全评估后方可出境。 此外,该《评估办法》第十一条还规定了跨国数据传输不得出境的三种情形: 个人信息出境未经个人信息主体同意,或可能侵害个人利益; 数据跨国传输和跨国文件传输给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益;其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的。 该条款表明,凡可能侵害个人、社会、国家利益的数据均可能无法传输出境。另外,《评估办法》第十二条规定企业每年至少对数据出境状况进行一次安全评估,并将评估情况汇报给主管机构或监管部门。 2019年6月13日,国家网信办又发布了《个人信息出境安全评估办法(征求意见稿)》(以下亦简称“2019 年评估办法”),按照其要求, 个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估;而对于2017年评估方法中所称的“重要数据”,没有进行相关的规定。 与2017年评估办法相比, 其没有划分企业需要自评估的情形与申报相关部门评估的情形,而是采取了一种“一刀切” 的方式,没有规定例外情况;并综合采取网络安全能力评估、标准化合同条款、网络运营者的不真正连带责任等方式对网络运营者进行规制。 且值得注意的是,在2017年的评估办法中, 规定了个人信息出境需经个人信息主体同意, 而在 2019年评估办法中,网络运营者则是仅需就个人敏感信息征得信息主体同意,对于其他个人信息类型,只需尽通知义务;但与此同时, 个人信息主体也有了获得网络运营者合同副本的权利。 在某种程度上,2019年评估办法部分推倒了2017年评估办法中的一些规范要求,但部分内容的模糊性和可操作性也引起了广泛的关注和讨论,如:是否即便中小企业或小规模、偶尔的跨境数据传输和跨国文件传输,也需要花费大量的合规成本,进行相对繁琐的申报;作为评估实施主体的省级监管部门,是否有足够的行政资源来面对如此大量的安全评估需求。 该项安全评估属于备案还是行政审批等等。对于这些问题,目前尚无相关的权威性回应,均有待进一步观察和明确。 虽然《个人信息和重要数据出境安全评估办法(征求意见稿)》与《个人信息出境安全评估办法(征求意见稿)》均处于征求意见阶段, 但是对于需要进行跨境数据传输的企业来说, 事先了解将生效的法律、新法与旧法间的关系, 并制定相应的合规制度,能够有效减少法律生效后的合规成本。 个人数据跨境传输和跨国文件传输本质上具有全球化属性,需要多个国家及地区共同参与并达成多边协议才能提供根本性解决方案。 那么针对于这些跨国文件传输过程中遇到的问题,那么如何解决呢? 下面介绍镭速跨国文件传输软件,能够很好的解决跨国文件传输过程中遇到的各种问题. 1、文件传输快 跨国文件传输,由于距离远,那么普通的传输,往往导致的就是传输速度慢,而镭速TB级文件、海量小文件高性能传输,满足不同场景下企业远程、跨国文件和跨国数据加速传输需求; 2、带宽利用率高 镭速带宽利用率达90%,冗余数据负担低于1%,降低企业带宽成本,充分利用网络现有资源; 3、超低延时与丢包 镭速自研Raysync高速传输协议,消除了TCP固有缺陷,有效降低延时与丢包,提升传输效率; 4、传输稳定 点对点传输,全程TLS加密与AES-256加密,支持断点续传、错误重传、负载均衡,保障传输稳定与安全。 看了这些功能点,那么如何申请镭速跨国文件传输软件呢? 点击申请https://www.raysync.cn/apply 填写信息,就会有专业的工作人员提供免费试用。 本文地址:https://www.raysync.cn/news/post-id-254 ,镭速传输提供一站式文件传输加速解决方案,旨在为IT、影视、生物基因、制造业等众多行业客户实现高性能、安全、稳定的数据传输加速服务。传统文件传输方式(如FTP/HTTP/CIFS)在传输速度、传输安全、系统管控等多个方面存在问题,而镭速文件传输解决方案通过自主研发、技术创新,可满足客户在文件传输加速、传输安全、可管可控等全方位的需求。
个人数据跨境传输和跨国文件传输在欧盟需要注意的问题
想要准确把握欧盟跨国数据传输和跨国文件传输保护规则,就必须去了解GDPR,而理解禁止性原则是把握GDPR的关键所在,即原则上禁止对个人数据进行收集以及一系列处理,因为个人数据权益属于个人,企业要想收集或处理个人数据,必须获得禁止的例外。 基于此,就不难理解欧盟对数据跨境传输和跨国文件传输的态度,即原则禁止跨境数据的跨境文件传输,除非符合特定例外情形。 那么介绍一下欧盟数据跨境传输和跨国文件传输的三种例外: 1、充分决定的数据传输 欧盟委员会可以确定某第三国、或该第三国国内的特定领域、部门或国际机构能够确保数据得到充分的保护,那么企业向这些地区进行个人数据跨国传输就无需再经过审批。但是,需要评估接收国是否达到充分保护水平,主要考核以下因素:立法水平;司法、行政执法能力;国际参与。这三点拿到了,就好办了。 简而言之,只要接收国拿到欧盟的跨国数据出境“签证”,数据就可以自由跨境,这也被称为“白名单”制度,特点就是需要事先获得认定。目前,通过上述充分性认定的司法管辖区包括:新西兰、安道尔、 阿根廷、加拿大、法罗群岛、根西岛、泽西岛、以色列、马恩岛、瑞士、乌拉圭、日本和美国等。目前中国不在欧盟的白名单中。 2、采取适当保障措施的数据传输 对于其他没有取得欧盟白名单的国家来讲,并非就无路可走,只要具备为数据主体提供有效的补救措施,并采取了以下适当措施: 具有约束力的集团企业规则(BCR)、符合欧盟颁布的标准合同条款(SCC)、符合欧盟批准的行为准则(CoC)、经批准的认证机制、封印或者标识。 3.特殊情况的减损条款 获得数据主体的明示同意、企业与数据主体签订、履行合同之必要条件、为了建立、行使或抗辩法律主张、保护数据主体或他人重大利益、公众利益。 可见,以上三种欧盟数据跨境传输和跨国文件传输的情形,在逻辑安排上是层层递进的关系,但在实践操作层面,企业却不必拘泥于此顺序,只要结合自身情况,满足其中之一即可实现数据跨境传输和跨国文件传输的合规要求。 跨国文件传输遇到的问题 经常跨国文件传输的都会在文件传输过程中遇到一些问题,比如网络物理条件影响,影响数据传输的稳定性; FTP等传统传输模式存在高延时,丢包率严重影响到数据传输的稳定性;远程传输过程中数据的安全性与保密性无法获得保障。 那么针对于这些跨国文件传输过程中遇到的问题,那么如何解决呢? 下面介绍镭速跨国文件传输软件,能够很好的解决跨国文件传输过程中遇到的各种问题. 1、文件传输快 跨国文件传输,由于距离远,那么普通的传输,往往导致的就是传输速度慢,而镭速TB级文件、海量小文件高性能传输,满足不同场景下企业远程、跨国文件和跨国数据加速传输需求; 2、带宽利用率高 镭速带宽利用率达90%,冗余数据负担低于1%,降低企业带宽成本,充分利用网络现有资源; 3、超低延时与丢包 镭速自研Raysync高速传输协议,消除了TCP固有缺陷,有效降低延时与丢包,提升传输效率; 4、传输稳定 点对点传输,全程TLS加密与AES-256加密,支持断点续传、错误重传、负载均衡,保障传输稳定与安全。 看了这些功能点,那么如何申请镭速跨国文件传输软件呢? 点击申请https://www.raysync.cn/apply 填写信息,就会有专业的工作人员提供免费试用。 本文地址:https://www.raysync.cn/news/post-id-252 ,镭速传输提供一站式文件传输加速解决方案,旨在为IT、影视、生物基因、制造业等众多行业客户实现高性能、安全、稳定的数据传输加速服务。传统文件传输方式(如FTP/HTTP/CIFS)在传输速度、传输安全、系统管控等多个方面存在问题,而镭速文件传输解决方案通过自主研发、技术创新,可满足客户在文件传输加速、传输安全、可管可控等全方位的需求。
跨境数据传输是日常业务中经常且至关重要的组成部分
跨境数据传输是日常业务中经常且至关重要的组成部分。在过去的20年中,由于全球通信网络和业务流程的发展,全球数据流的模式已迅速发展。随着数据从数据中心移到数据中心和/或跨边界移动,安全漏洞已成为切实的风险。有可能违反国家和国际数据传输法规和隐私法。随着越来越多的国家实施规范跨境数据传输的隐私法律,这些风险变得越来越普遍。这些法律通常禁止跨境转移,除非满足某些条件或对转移公司施加监管义务。 随着跨境数据活动的普遍增加,跨境诉讼也有所增加,因此,数据披露活动也有所增加。随着全球信息技术和隐私法规的变化,必须告知法律和技术从业者最佳实践,适用的法律法规和安全协议,以确保数据中心之间,数据中心之间的传输以及与跨站点连接相关的数据安全。边境转移。 在跨境数据问题中,要有效保护数据,您必须考虑其生命周期。数据生命周期的主要功能是: 建/捕获:无论是从网站捕获,文件传输还是物理获取,接收或创建数据都会影响处理。每种创建或捕获方法都需要不同形式的保护,以确保信息得到保护 索引和分类:安全获取数据后,必须应用适当的规则。第一步是识别获取的数据类型。它是个人身份信息(PII)吗?它是图像还是文档?什么样的文件?将数据分类为正确的“存储桶类型”将有助于遵守国际数据隐私法规,还将使披露过程更加有效。 存储/管理: 数据存储位置将驱动应用哪些保护控件。如果数据由PII或潜在的PII组成,则法律上可能要求组织以基于磁盘的加密格式存储数据并加密数据的备份副本。 检索/发布:在跨边界安全地传输数据之后,必须确保在传输,存储和显示的每个阶段都对数据进行加密,以使其可供使用。数据无法在未传输到的国家/地区解密,因此必须控制对能够进行跨境传输的系统(如网络路径)的访问。 流程:为确保数据仅用于授权目的并遵守适用法律,应用程序控制和元数据标记是有用的工具。 存档:当不再需要数据时,会出现符合适用政策和法律要求的长期存储问题。备份是现场还是异地?您的备份是否跨越国际边界?备份是否受其他国家的隐私和数据保护法约束?这些问题的答案将有助于确保减轻所有潜在的风险领域。 销毁:根据适用法律,在每个阶段,必须使受保护的数据不可用。确保销毁档案,文件,物理副本和任何其他副本。但是,对于从定期排定的销毁周期中排除的数据,需要建立适当的流程。例如,受法律保留和发现请求约束的数据,以及受跨国界隐私法规约束的数据。 即使采用最强大的策略,流程和系统,也需要持续保持警惕。组织应: •监视法规和安全环境的变化•确保制定适当的流程来应对合规性或技术安全控制方面的挑战。 •确保可以管理具有跨边界或跨辖区影响的数据泄露。 有意义的数据保护 在制定一套真正的国际数据安全和隐私控制标准之前,对各种国内外组织的数据进行有意义的保护仍将是一个问题。开展国际业务的公司必须制定有效的策略,以履行其当前和未来与国际数据传输和数据安全最佳实践相关的义务。 与时俱进的最佳实践,实施信息治理计划,确定有效的缓解技术和持续验证以及强大的事件响应能力,将使组织能够应对跨境数据传输和安全性带来的挑战。
跨境文件传输换上镭速传输,看看能提速多少?
跨境文件传输、跨国文件传输,这是最近我们听到很多客户提出的文件传输诉求。尤其是对影视、传媒、互联网、生命科学行业来说,文件跨国传输、跨境传输是再日常不过的事情。但是传统的传输工具FTP对现在的数据量来说,已经很难跟上速度了。 镭速传输作为提供一站式大文件数据传输解决方案的服务商,拥有自主研发的Raysync超高速传输协议。该协议是镭速传输基于云计算、互联网、大数据架构应用,自主研发的超高速传输协议,突破传统FTP,HTTP的传输缺陷,传输速率相较于FTP提升100倍,带宽利用率达96%以上,能够轻松满足TB级别大文件和海量小文件极速传输需求。 以10GB大文件为例,测试环境设置为: 北京阿里云——纽约阿里云 配置:4核8G内存 带宽:200MB/s 丢包:5% 延时:200ms (传输实况图) 测试结果如下: 10GB大文件跨国传输,FTP需要传输34小时,使用专业的文件传输工具镭速传输传输后,速度降至7分30秒,实现了传输效率272倍的提升。 在文件实际跨境传输、跨国传输中,这种提速对企业发展是十分有利的。应用先进技术进行文件传输和管理文件传输过程,可以提升市场响应速度和业务流程速度,加快企业生产、前进的步伐。更多文件传输难题,欢迎咨询镭速传输,我们将为您提供专业的解答和有效的解决方案。
日本:APPI修订版包括加强跨境数据传输的法规
个人信息保护委员会于2019年11月29日发布了有关《个人信息保护法》(2016年修订的2003年第57号法案)的主要修订的文件(``修订文件'')( APPI'),基于其三年的审查。 特别是,修订版文件尤其涉及披露程序,业务运营商的责任,数据使用措施的方法,跨境数据传输,法律处罚以及通过公共和私营部门处理个人信息的问题。 企业需要注意的主要修正包括(除其他外)扩大数据主体的权利,以(包括)暂停和删除个人数据,法规第三方受让人结合使用的Cookie与其他数据来生成个人数据,引入强制性数据泄露通知,放宽对假名数据的义务以及加强对跨境数据传输的监管。 此外,修订文件要求升级和正确运行当前的披露请求系统,以使公司保留的个人信息对个人更有用。此外,由于信息社会的进步已经改变了与披露有关的风险,修订文件建议扩大保留的个人数据的范围,以进行披露。此外,修订文件建议对退出规则进行修订,并强调指出,目前的退出程序很难为个人使用。 仍有许多问题需要进一步澄清 对于尚未遵守通用数据的公司,通用数据保护条例(条例(EU)2016/679)('GDPR')和关于隐私和电子通信的指令2002/58 / EC的影响最大。将是对数据主体权利和Cookies法规的修订。此外,数据导出者要有新的要求,以告知数据主体其数据传输到哪个国家以及那里制定了何种数据保护规则可能产生重大影响,具体取决于所需的详细程度。此外,强制违规通知可能会产生中等影响,具体取决于要求的详细信息。 此外,修订文件还建议对经营者持有的个人信息进行进一步的解释。PPC指出,这些经过增强的解释将使个人对企业拥有的个人信息有更好的理解,并支持对个人信息的正确处理。此外,修订文件支持对适当使用义务的说明。最后,修订文件建议对个人信息处理人员进行认证的多样化,以使在利基业务领域开展活动的组织获得认证。 有一些重要的问题引起了很多关注,但未包含在修订文件中,例如,引入了类似于GDPR认可范围的数据可移植性权利,以及引入了行政罚款。我相信这两个问题不太可能在下一轮APPI修订中引入。尽管修订文件中有受GDPR 影响的规定,但有一些规定可能会视具体情况而异,具体取决于日本立法。此外,鉴于当前的大纲非常简短,因此仍有许多问题需要进一步澄清,可能会包含在本月晚些时候发布的大纲的完整版本中。
国际:跨境数据传输中的充分或等效保护问题
作为一种常见的商业惯例,跨境数据传输的激增伴随着日益严峻的法律和法规环境的规范。现在讨论了其中一些挑战,并提供了四步方法来帮助公司在将数据传输到其他司法管辖区的当事人时确保其合规性。 介绍 客户问:“我的新加坡办事处可以将个人数据转移到海外吗?” (未具名的)新加坡数据保护律师的回答是:“好吧,前提是您确保该数据获得了与新加坡法律相当的保护标准。” 他说出斜体字是因为他解释了《 2012年新加坡个人数据保护法》(2012年第26号)(“ PDPA”)。 因此,客户自然会问:“但是,并非所有的数据隐私法都大致相同吗?” 律师对此说:“好,这是一个难题。” 客户抗议:“你只是想向我收取更多的钱。不是吗?” 但这是一个难题。不,这不是给发票充气的借口。 随着越来越多的企业在多个地区开展业务并采用基于云的解决方案,跨境数据传输的使用正在增加。因此,在数据保护或隐私法下规避跨境数据传输限制已成为一种必要。 这可能是一个不同的法律体系如何运作的问题,但是在大多数辖区中,跨境数据传输限制意味着要确保您发送数据的地点(目的地辖区)提供了“适当级别”的保护。 但是,什么是适当的,可能会有所不同。在这里,魔鬼经常会出现在细节中(或替代地,在提供的发票中)。 充分性-由公共决策确定 解决充分性的一种方法是通过监管机构进行评估,其中最著名的例子是欧盟委员会(EC)根据《通用数据保护条例》(《规章》(EU) )2016/679)('GDPR')。 在此过程中,欧盟提出了一项建议,以考虑特定的非欧盟管辖区是否满足GDPR的充分性要求。随后,由欧洲数据保护委员会发布意见,然后由欧盟国家的代表进行审议(并可能获得批准)。然后,此过程最终通过了EC 1的决定。 当针对特定司法管辖区发布肯定的充分决策时,EC实质​​上是将该司法管辖区“白名单”,即确定其具有对个人数据的足够保护水平,从而不会将个人数据从欧盟内部转移到该国家/地区需要任何进一步的授权。 对迄今为止发布的适当性决定中使用的分析步骤进行比较回顾,本身将是一件有趣的文章,但是对于本文而言,窥视最近的适当性决定就足够了,即关于日本的适当性决定(2019年1月23日)2。 在这种情况下,分析总结并回顾了日本数据保护法,例如《个人信息保护法》(“ 2003年第57号法”)(“ APPI”),其中包括: 审查APPI下的概念; APPI下的权利,义务,排除和其他保护措施; 监督和执行,涉及执行和司法补救的权力;和 审查该国法律对公共当局的影响及其在访问该数据时受到检查/限制的能力(Schrems 3案之后的一个重要主题)。 值得注意的是,这里没有提及统计数据或对执行成本的任何分析,也没有提及有关诉诸司法的困难或便利的讨论。换句话说,该分析未涉及非专业人员可能考虑的“现实世界中的考虑因素”。但是,由于难以量化和评估实际的“实地”问题,因此可以理解。 对于企业而言,此过程对其提供的清晰度很有帮助。但是,与许多政府程序一样,这可能需要时间。该过程自1990年代就已经存在,但是,截至本文撰写之时,只有十几个司法管辖区收到了一项适当的积极裁决,而日本只是亚太地区第二个作出此裁决的司法管辖区。 充足性-通过私人协议/安排实现 考虑到快速有效地开展业务的实际需求,这一速度问题使得有必要考虑对私人协议(例如双边/多方合同)和安排(例如政策,流程和审计)的依赖。 私人协议和安排最终将重点放在单个政党(一个或多个政党)上,以及他们亲自采取的私有步骤以确保从国家/地区转移数据符合标准。在GDPR的背景下,数据传输工具包括使用约束性公司规则(“ BCR”)4,同意协议以及使用模型条款的数据传输协议。 从立法角度来看,这种方法通常包括多个方面,涉及评估在每种情况下实施的保障措施的可行性。 这种方法并不意味着目的地司法管辖区的实际立法或监管状况不相关,而是将重点转移到个人安排上,以实现合规。 当然,公共安排和私人安排之间的区别并不精确。部门/行业一级的集体私人行动也可以通过提出标准来影响安排。这可以导致私人制定的标准获得认可,一旦它们在采用方面达到临界质量,最终将为实施制定一条监管/立法途径5。 新加坡根据《个人资料保护法》第26条规定的数据传输规则规定了一项义务,即“确保组织为这样转移的个人数据提供与《个人资料保护法》6所提供的保护相当的保护标准。这表明,与充分性决定一样,焦点仍然集中在标准上,需要与PDPA标准进行比较。 本部分由《 2014年个人数据保护条例》作为补充,该条例为寻求传输数据的组织提出了一系列可能的途径。这些包括: 征得数据当事人的同意; 证明转让对于缔结或履行合同是必要的;和 识别和适用某些豁免(例如,免除同意义务,可公开获得的数据,传输中的数据)7。 但是最重​​要的是,至关重要的是,跨境转移的当事方之间要执行具有法律约束力的特定协议,并用条款来规范各自与该转移有关的义务。 制定私人协议的范围:四个关键步骤 当然,只要有私人协议,就需要评估和解决当地法律对此类协议的影响。 在比较相关标准的过程中,很可能存在在不同的国家规则之间进行比较的问题。不同的地方法律可能会规定不同的要求,例如,包括通知转让给数据保护监管机构,采取措施注册转让安排以供批准,履行特定义务并要求各方之间明确/明确达成协议等步骤,或者使用标准化协议表格。 要浏览竞争标准,理解游戏中的观点并提出以下问题也很重要: 转移的原因是什么? 工作中有保障措施吗? 是否有解决数据泄露或潜在风险的协议或流程? 随着时间的流逝会发生什么变化? 任何协议的条款和条件都可能恰好适合于这些不同方面,并确保存在可用于补充合同保障措施的运营流程。 这表明在每个司法管辖区至少应采用以下四个关键步骤: 考虑跨境转移安排是否属于/符合来源国管辖范围内允许的任何类别的跨境数据转移。这还应包括考虑到有适当的转让安排就可以确保这些许可继续适用的必要条件。 遵循监管步骤和协调(无论在始发地还是目的地地域)。 用适当的私人协议,操作流程和保障措施对所有转让安排进行补充-确保这些措施始终适合于所涉转让的性质。 在开始时然后在以后定期验证协议,过程和保护措施是否违反始发地和目的地管辖区的法律。 结论 那么,在本文开始时对客户的冷嘲热讽是否值得? 这种复杂性是否足以向客户收取更多的钱? 确实,这听起来确实像是要采取详细步骤,起草协议,考虑可能的排列方式。可能全部转化为额外费用吗? 就像所有优秀的律师都会说的那样:这取决于。 跨境转移安排的种类繁多,不能完全适合一个模型。 其中一些模型是“成本轻型”的(因为它们可能易于应用,而不会在法律和法规方面严重加重负担,尽管运营保障和流程也可能具有一张或多张发票)。自己的8)。 还有一些人可能需要更加集中精力来使事情井然有序。 因此,细节(或发票)中的魔鬼可能比原先想象的要小或大得多。 但是话又说回来,用足够的知识武装自己来执行上述四个关键步骤可能会帮助您熟悉他。 毕竟,比您不了解的恶魔还要好,您知道的恶魔。
土耳其:国际数据跨境传输
在全球经济中,跨境数据传输是国家数据保护机构监管重点中高度相关的问题,土耳其在这方面也不例外。2020年5月7日,土耳其个人数据保护局('KVKK')发布了一份公告,其中包含有关跨境数据传输承诺书的重要说明。 背景 根据第6698号《个人数据保护法》(“数据保护法”),除了获得数据主体的明确同意外,数据控制者还可以在没有足够数据保护的情况下将个人数据传输到国家/地区。双方应以书面承诺提供保护级别,并获得董事会的批准。 麻管局尚未公布具有适当保护水平的国家清单,这之后必须使我们认为,就目前而言,就数据传输而言,所有国家都是不安全的。因此,对于将数据转移到国外以符合《数据保护法》的数据控制者而言,此类承诺书是关键过程。 董事会已于2018年5月16日在其网站上发布了跨境数据传输的标准条款。这些是必不可少的条款,必须包含在将个人数据传输到土耳其认为没有提供足够保护的国家的合同中。与数据处理器相比,最低条款包括对传输到数据控制器的单独规定。董事会设想的最低内容与欧盟的标准合同条款(SCC)相似。 考虑到实施中出现的问题,KVKK在最新公告中进一步扩展了承诺书流程的原则和程序,以指导土耳其的数据控制者。 程序重点 KVKK强调,数据控制者在申请执行局批准跨境数据传输的程序时需要考虑以下几点: 数据控制者必须向KVKK提供授权人的识别信息,并提供证明这些人是跨境数据传输应用程序中数据控制人的授权签署人的辅助法律文件。如果通过代理提出申请,则还需要提交代理的原始或认证副本。 签名和公司盖章必须放在承诺书及其附件的末尾。每页必须带有签名者的缩写。 每一份外语文件都必须翻译成土耳其语并经过公证。 承诺书必须至少包括KVKK发布的承诺书模板中预见的条款。如果承诺书中要包含其他条款,则这些条款必须包含在“其他条款”标题下。 承诺书下的所有承诺都必须以将来时起草(即“数据传输者将通知数据接收者,将根据该承诺书和《个人数据保护法》第6698号来处理所传输的个人数据')。 实质性要点 数据控制者必须注意以下承诺信的内容。根据数据当事人的明确同意进行的数据传输将不包含在承诺书中。 KVKK已发布了两种不同形式的承诺函模板,用于转移到数据控制器和数据处理器。在这种情况下,必须准确识别各方之间的关系以及各方在数据传输中的角色,并且必须使用正确的承诺函模板。此外,对当事方的法律地位和任何证明文件的详细解释清楚,表明当事方之间的关系(例如协议)必须与承诺书一起提交给KVKK。 承诺书中的术语必须遵循《数据保护法》或第二条规定。 各方必须对数据传输流程做出明确的解释,并且必须将个人数据,数据主体,处理目的以及数据传输的法律依据进行关联。 在准备承诺书的整个过程中,数据控制者必须遵守《数据保护法》第4条规定的个人数据处理一般原则。 KVKK在其公告中还澄清了当事方需要在承诺书附件中做出的解释,其中简要说明了数据传输流程的细节。以下是KVKK的解释摘要。 数据主体组:数据控制者必须避免使用诸如“类似,类似,可能,可能”之类的模棱两可的表达,并且必须清楚地指出数据主体组。 个人数据类别:在确定要传输的数据类别时,数据控制者必须遵守处理原理和要传输的数据类别,并且必须与传输目的相关,受限且成比例。数据类别也必须以清晰易懂的方式进行引用,并且在这方面不得使用模糊的表述。数据类别和数据主体组必须彼此链接,以便可以看到将传输哪个数据主体组的哪个数据类别。 转移目的:转移目的和数据类别之间的相关性必须在承诺书中显示。转移目的必须是明确,明确和合法的。数据控制者必须提供足够且易于理解的信息,以表明其传输目的符合该原则。 数据传输的法律依据:数据控制者必须通过在数据类别之间建立链接来明确指出传输的法律依据,以便可以理解哪种数据类别是在哪种法律基础上进行传输的。KVKK明确表示,为了基于合法利益进行跨境数据传输,数据控制者必须按照理事会2019年3月25日第2019/78号决定进行平衡测试,以达成并指出承诺信,为此目的的积极结论。 收件人组:收件人组是指与数据收件人位于同一国家/地区的数据控制者或数据处理器,数据收件人将对其进行后续数据传输。 仅当根据适用法律的数据接收方的法定义务将数据传输到主管机构和组织时,才有可能进行后续数据传输。否则,不能在承诺书的范围内进行从数据接收者到数据接收者的另一次数据传输,或者从该数据接收者到位于另一家公司的数据处理器的后续数据传输。在这种情况下,必须执行单独的承诺书。 KVKK还强调指出,在确定所需的技术和组织数据安全措施时,必须考虑其《个人数据安全指南》(技术和行政措施)。必须在单独的标题下解释技术和行政措施,并且与这些措施有关的支持文件必须随附在申请中。 此外,如果转移了任何特殊类别的个人数据,则必须根据董事会2018年1月31日的第2018/10号决定,通过提交支持文件获得其他要求的数据安全措施并在承诺书中予以标识。 KVKK强调,要包括在承诺书中的更多信息包括: 数据控制者注册中心('VERBIS')上的信息:数据控制者是否有义务与其理由一起进行注册,并且如果有注册义务,则VERBIS信息必须包括在承诺书中。 附加信息:保留期限和其他相关信息将在本节下提供,必须通过说明其理由来指明,并至少说明最长期限。如果法律规定了特定的保留期限,则承诺函中也必须注明适用的法律。 联系人信息:承诺信中必须包含有关联系人的信息。 数据传输到数据处理器的具体说明:必须在标题为“数据控制器”和“数据控制器”的部分中详细说明数据控制器或数据处理器的活动以及数据传输后的数据传输和处理活动。承诺书中的“数据处理器”,用于从数据控制器到数据处理器的数据传输。 最后,在上述承诺书中标题为“数据处理活动”的部分下,必须根据转移目的对与转移数据的处理活动有关的情况作出明确的解释。

关注云语科技

wechat qrcode

微信扫一扫,获取最新资讯