新闻动态

中国的跨境数据传输新措施草案

2020-09-11跨境传输

2019年,中国网络空间管理局发布了新草案“个人数据跨境传输安全评估措施”,以征询公众意见。根据《中国网络安全法》,6月13日发布的版本提供了另一种跨境数据传输方法。这些CAC新措施草案取代了CAC在跨境数据传输方面的先前努力,即CAC的“个人数据和重要数据的跨境转移安全评估措施草案”和“跨域数据安全评估指南”草案边界数据传输”,两者均已于2017年发布以供公众咨询。

中国的跨境数据传输新措施草案

可以在短时间内通过某些部级措施并留出较短的宽限期(短至一个月)供公司遵守的情况并不少见。因此,一旦采取新规则,就值得考虑计划某些行动,以减少不必要的压力来满足合规期限

8月20日,中国开始在上海自贸试验区林岗区实施跨境数据传输的试点政策。该试点政策简要提到了跨境数据传输的安全评估的实施,建立信息安全性成熟度模型以及集成电路,人工智能和生命科学以及制药等某些部门的跨境数据传输的备案,以及适用于在新区注册总部的跨国公司。目前尚不清楚中国当局打算如何实施便利该特定自由贸易区中跨境数据传输的规则,以此作为吸引外国投资者的试点计划。

跨境转移个人数据的新方法

新的CAC措施草案要求所有网络运营商的个人数据跨境传输都要经过CAC省级分支机构进行的安全评估。如果安全评估得出结论,认为跨境数据传输可能会影响国家安全或公共利益或影响个人数据的有效保护,则禁止跨境传输个人数据。这是方法上的重大变化,因为在2017年CAC措施草案中,CAC将自己定位为提议进行具体安全评估的各个部门监管机构的协调员。以前,除非在某些规定的情况下有必要让部门监管机构参与这种安全评估,否则一般将安全评估提议为自我评估。当跨境传输到不同的数据接收器时,每次传输都需要进行安全评估,而以多批或连续的方式传输到同一数据接收器则不需要重复进行安全评估。安全评估应每两年或当跨境数据传输的目的或数据类别或数据接收者的数据保留期发生更改时,重新进行一次安全评估。

另一个值得注意的变化是,CAC新措施草案未解决重要数据的跨境转移问题,这在CAC发布于2019年5月28日的《数据安全管理措施草案》中进行了单独讨论。在数据安全措施方面,CAC建议重要数据的收集应向部门监管机构(如果没有特定的部门监管机构,则应向CAC的省级分支机构提交),重要数据的跨境传输应遵守-批准CAC。然而,关键问题仍然存在:什么是重要数据?CAC正在起草有关如何识别重要数据的指南,这是人们高度期望的。

跨境数据传输可以是一次性的活动,例如将拇指驱动器和快递中的个人数据和/或重要数据复制到海外数据接收者,也可以是连续传输,例如将中国大陆以外的用户授予远程访问权限到在中国使用和托管的信息系统。

评估领域 CAC新措施草案也改变了安全评估的重点。其中,需要对与个人数据跨境传输有关的潜在风险和安全措施进行自我评估,以及国内网络运营商与海外数据接收者之间的跨境数据传输协议。

CAC关于CSL的域外适用的明确立场? CAC建议在新措施草案中明确表达CSL的域外适用立场。其中规定,通过互联网收集中国数据主体个人数据的外国公司必须任命中国代表,以履行网络运营商的义务和责任。目前尚不清楚在中国境外进行此类远程个人数据收集是否首先需要满足目标标准,例如《欧盟通用数据保护条例》第3(2)条。2017年措施草案和2017年准则草案也进行了类似尝试。

行业的替代方案 中国各行各业的许多代表提出了跨境数据传输的替代方案,即跨境数据传输的归档系统以及不定期的随机抽样和检查。一些建议建议添加豁免数据的清单,例如,由数据主体发起的或出于履行中国法律规定的法律义务的目的而进行的跨国数据转移的跨国数据转移。由数据主体自愿公开。

计划即将发生的变化 在中国境外托管备份的许多更改,例如系统提供商的更改(例如,客户关系管理,人际关系系统或银行的“了解您的客户”系统,云服务),都需要预先计划,而这些迫在眉睫的本地差异必须拥抱中国。

在中国,跨境数据传输协议将是不可避免的 新的措施草案似乎倾向于采用合同安排的方式,以确保海外数据接收者必须保护个人数据并促进行使数据主体权利。对于此类跨境数据传输协议,已经提出了一些强制性条款,例如,如果网络数据运营商侵犯了海外数据接收者的数据保护权,则中国的网络运营商应首先赔偿数据主体,除非网络运营商可以证明它没有错。公司应避免直接使用GDPR下的标准合同条款,而无需进一步针对中国进行调整。

可以预先准备自我评估,以作为安全评估的一部分或合规性文档提交 虽然最终确定规则可能需要一些时间,但中国网络安全法第42条规定了保护个人数据的义务,无论在中国还是在中国境外进行数据处理。因此,中国的网络运营商在将个人数据传输到中国以外时必须解决控制权的变化和个人数据保护水平的差异。

与部门规则的和解很重要 CAC提议在其新措施草案中接管安全评估,但目前有许多行业规则正在规定对某些数据类别的收集,处理和跨境转移进行预先批准。对于中国的银行收集的个人财务信息,中国的医疗机构收集的调查数据(即地面数据)和个人健康数据,一直存在长期的数据本地化要求。例如,最近中国还修订并通过了《人类遗传资源管理条例》,该条例规范了人类遗传资源(包括人类样品和遗传数据)的收集,加工和跨境转移。

虽然尚不清楚CAC将如何与部门监管者的安全评估相一致,或者尚不知道CAC是否将建立互操作性机制以认可部门监管者的安全评估,但与部门监管者进行核对以解决他们的问题是有益的。在进行自我评估的过程中。

上一篇:GDPR中个人数据的跨境传输指南

下一篇:中国新网络安全法入门:隐私,跨境传输要求和数据本地化

关注云语科技

wechat qrcode

微信扫一扫,获取最新资讯