文章分类
2023年2月,中国网信办(“网信办”)根据《中国个人信息保护法》(“PIPL SCC”)发布了《向第三国转让个人信息的标准合同条款规则》。这些PIPL SCC规则将于2023年6月1日生效。我们现在有了关于PIPL中概述的跨境数据传输的所有三个主要机制的规则。
背景
中国于2021年通过了《个人信息保护法》,该法于同年生效。PIPL规范了自然人个人信息在中国境内的处理以及位于中国境内的自然人的个人信息在国外的处理(1)如果处理是为了向自然人提供产品或服务,(三)其他法律、法规规定的其他情形。
PIPL涵盖了其他数据隐私法中的许多类似主题,如定义个人信息、限制公司处理个人信息的依据、获得数据主体的同意、处理敏感个人信息、跨境数据传输等。PIPL将个人信息定义为与已识别或可识别的自然人有关的任何信息,与GDPR相同。在PIPL中,数据控制器被称为个人信息处理器,数据处理器被称为受托人或受托方。
根据PIPL,个人信息处理者有三种主要方式来满足向第三国转移个人信息的条件:
- 通过完成网络空间管理局的安全评估
- 通过完成跨境个人信息转移的第三方个人信息保护认证
- 通过使用网络空间管理局发布的PIPL SCC与外国个人信息接收方签订合同
1.网络空间管理局强制性安全评估
网信办于2022年7月发布了《出境数据传输安全评估办法》(“安全评估办法”),并于2022年8月发布了“出境数据传输应用安全评估指南”(“安全评价指南”),这两项规定均于2022年9月1日起生效。
并非所有这三种机制都适用于每个个人信息处理者。如果个人信息处理者符合以下三个标准之一,则必须要求中国政府完成强制性安全评估:
- 它是关键信息基础设施的运营商,
- 它已经处理了超过100万个人的个人信息,
- 自上一年1月1日以来,它已处理了超过10万个人的个人信息或超过1万个人的敏感个人信息。
《关键信息基础设施安全保护条例》将关键信息基础架构定义为包括电信、信息服务、能源、交通、水资源管理、金融、公共服务、电子政务、国防技术等重要行业,以及其他重要网络和信息系统,损害和数据泄露将严重危害中国的国家安全、公共利益和经济。
为完成强制性政府安全评估,在中国接受此类评估的公司必须提交自我评估报告、跨境数据传输协议、申请表以及网络空间管理局要求的任何其他文件/信息。根据《安全评估办法》规定的时间表,如果公司提交了足够的申请,大约需要60天才能完成安全评估,但根据每份申请的复杂性,这一时间可能会延长。一旦获得批准,安全评估的有效期为两年,但如果发生某些变化,如外国接收方使用数据的方式发生变化、个人信息处理器或外国接收方的控制权发生变化,则需要进行新的安全评估。
2.用于跨境转移的PIPL SCC
如果个人信息处理者不符合这三个标准中的任何一个,它将在完成第三方个人信息保护认证或使用PIPL SCC之间做出选择。
网络空间管理局于2023年2月发布了关于个人信息跨境转移PIPL SCC的官方规则,明确了公司如何使用PIPL SCC为向第三国转移个人信息提供便利1。根据这些规定,个人信息处理者必须在与外国个人信息接收方签订SCC生效之日起10个工作日内向省网络空间管理局提交以下文件:
- PIPL SCC/标准合同,以及
- 个人信息安全影响评估报告
个人信息处理者可以向SCC/标准合同添加内容,前提是此类附加内容与PIPL SCC不矛盾。
值得注意的是,规则明确规定,接受强制性安全评估的公司不得通过在单独的PIPL SCC之间分配整体传输数据量来规避这一要求。
3.第三方认证
对于第三方认证,网信办于2022年11月公布了实施细则。到目前为止,我们知道中国网络安全审查技术与认证中心有权进行认证,并在其网站上发布了认证申请表。第三方认证是一个比使用SCC更复杂的过程,但在中国设有办事处的跨国公司可能会考虑将个人信息不断转移到其位于中国境外的子公司或附属公司。认证有效期为3年,在此期间,个人信息处理者将接受认证机构的认证后监督。需要通过个人信息跨境处理认证的处理者,必须符合《个人信息安全规范》(GB/T 35273)和《个人信息跨境加工认证规定》(TC260-PG-2222A)中规定的国家标准。
随着所有三种主要机制的规则都已到位,现在是公司评估或重新评估其可用的机制以及如何实施以最大限度地减少中国PIPL下跨境数据传输的风险暴露的好时机。中国将如何执行这些跨境数据传输规则尚待观察。PIPL规定的处罚包括暂停数据处理申请、罚款、吊销营业执照以及企业高管的个人责任。
- 登录 发表评论