文章分类
2024年3月22日,中国网络安全管理局(CAC)发布了期待已久的新《促进和规范跨境数据流条例》(新条例),以符合中国《个人信息保护法》(PIPL)、《数据安全法》(DSL)及其实施条例。新条例立即生效,并以食典委于2023年9月28日发布的条例草案(《条例草案》)为蓝本。
此外,CAC还发布了《出境数据传输安全评估申请指南(第二版)》和《个人信息出境传输标准合同备案指南(第三版)》(统称《指南》)。该指南为数据处理人员提供了详细的程序,他们现在也可以使用出境数据传输应用系统进行出境个人信息传输。然而,新规定优先于任何可能与PIPL和指南相冲突的规定。
新的法规和指南放宽了许多合规要求,并促进了数据处理人员的跨境数据传输。值得注意的是,《新规》一般没有放宽敏感个人信息转移的规定。此外,数据处理人员应注意,鉴于“重要数据”的定义不明确,新规定允许数据处理人员将其数据视为非重要数据,除非明确规定;或者监管机构通知他们;或者如果有关数据根据当局的公告被确定为重要数据。我们希望部门和地方监管机构提供有关重要数据分类的额外指导。此外,《新条例》仍然要求,在中国境外跨境转移个人信息仍必须遵守PIPL关于通知、单独同意和个人信息保护影响评估的要求。
下文概述了《新条例》规定的一些关键变化。
豁免
如果以下数据处理活动适用,新规定现在免除数据处理人员提交标准合同(标准合同备案)、个人信息保护证书(认证)或安全评估(安全评估)申请。
- 新阈值。如果自当年1月1日起发生的个人信息跨境转移少于10万人。此前,《条例草案》触发了不到10000人的标准合同备案或认证。然而,这不适用于敏感个人信息或关键信息基础设施运营商的跨境转移。
- 人力资源活动。根据劳动规章制度和依法签订的集体合同,为进行人力资源管理而需要将个人信息转移到海外的(人力资源信息)。但是,人力资源信息必须符合PIPL“最低限度和必要性”的原则
- 合同必要性。新规定免除了履行个人作为缔约方的合同所必需的个人信息跨境转移。这包括跨境购物、跨境邮寄和递送、跨境汇款、跨境支付、跨境开户、航班和酒店预订、签证处理和审查服务的合同。
- 紧急事件。为了在紧急情况下保护自然人的生命、健康和财产,个人信息的跨境传输是必要的。
- 中国境外的个人信息。如果个人信息是在海外收集和处理的,然后在转移到海外之前转移到中国进行处理,并且在处理过程中不涉及引入国内个人信息或重要数据。
- 其他数据。任何来自国际贸易、跨境运输、学术合作、跨国制造、营销和其他不涉及个人信息或重要数据的活动的个人信息跨境转移。
标准合同备案或证明
新规定规定,在以下情况下,数据处理人员可以使用标准合同备案或证书进行跨境个人信息传输:
- 它正在处理不到1000000个人的个人信息;
- 自当年1月1日起,转移个人信息少于10万条;
- 自当年1月1日起,转移个人敏感信息不足1万条的;或
- 它不是CIIO。
安全评估
新规定要求,如果数据处理者在中国境外处理个人信息,则在以下情况下需要进行安全评估:
- CIIO将任何个人信息或重要数据转移到中国境外;
- 数据处理程序(不包括CIIO)传输超过1000000个人的重要数据或个人信息;或
- 一个数据处理程序传输超过10000个人的敏感个人信息。
- 此外,新条例将核准的安全评估的有效期从两年增加到三年。
自由贸易区
新条例规定,自由贸易区有权对需要安全评估、标准合同备案或认证的数据清单(负面清单)进行政策试点。负面清单可以在省级CAC批准的情况下导出,并且必须向中央CAC和国家数据管理局(NDA)(根据新条例新设立的监管机构)备案。负面清单之外的数据不受这些要求的约束。
公司需要根据具体情况仔细评估其所有数据处理活动。此外,公司将需要更新其政策、程序和流程,以符合新法规、指南、PIPL和DSL。
- 登录 发表评论