【数据主权】数据主权与中国法规

最终，您有义务遵守自己的监管要求。我们承诺遵守通常适用于IT服务提供商的数据保护和隐私法律。如果您需要遵守任何特定的数据主权要求，或其他行业或司法管辖区要求，您需要自己进行评估，并采取必要措施确保合规。

实名制验证

根据中国法律要求，在线服务提供商有义务核实用户的真实姓名。对于企业实体用户，需要国家注册的营业执照才能进行实名验证。

ICP备案

根据《中华人民共和国互联网信息服务管理办法》和《非经营性互联网信息服务备案管理办法》，所有在中国内地运营的网站（涉及域名解析）必须向工业和信息化部完成ICP备案。根据通信管理部门的要求，未经ICP备案的域名不得在线，备案域名必须解析为备案IP地址。

ICP备案流程

此外，根据《计算机信息网络国际联网安全保护管理办法》（公安部令第33号）第12条规定，网站在工业和信息化部成功完成ICP备案后，还应在网站开通后30天内，到公司实际运营地或个人目前居住地的公安机关办理公安备案手续。如果您尚未完成公安备案手续，请尽快登录公安机关互联网网站安全管理服务平台提交公安备案申请。如需咨询，请联系当地公安机关网络安全部门。请按照上述要求尽快为您的网站完成公安备案。如果您未能在30天内完成备案，世纪互联蓝云将根据适用的法律法规和公安机关的要求采取相关措施（包括但不限于暂停接入服务）。

有关ICP备案的详细信息，请参阅ICP备案-Azure云计算。

VPN和专线

您可以将VPN或专用线路用于自己的办公室或运营目的，只要它是从具有有效运营许可证的合格供应商处购买的。

跨境数据传输和安全评估常见问题解答——2023年1月更新

Q： 我可以在中国大陆以外的地方传输数据吗？

A： 是的，在中国法律规定的数据本地化要求不适用于您或您已满足跨境数据传输条件的情况下。中国数据法律严格规定了从中国大陆向中国大陆以外的目的地（包括香港特别行政区和澳门特别行政区）传输在中国大陆收集和生成的个人信息、重要数据和其他特殊规定的数据。您可能需要通过政府主导的安全评估，签订标准合同，或获得个人信息保护证书，才能进行这些传输。也可能有适用于您的行业或行业特定规则。

Q： 中国法律对数据本地化和安全评估的要求是什么？

A： 根据中国大陆的三项关键数据法，即《中华人民共和国网络安全法》（“CSL”）、《中华人民人民共和国数据安全法》，只有在通过中国网络空间管理局（“CAC”）组织的安全评估后，才允许跨境传输该数据（如下所述）：

• CIIO跨境传输个人信息和“重要数据”；
• “重要数据”的跨境传输；
• 处理过100多万个人信息的数据处理者跨境转移个人信息；或
• 数据处理者跨境转移个人信息，该数据处理者在一定期限内将超过指定阈值金额的个人信息转移到海外。

满足上述场景之一的数据处理者需要首先对预期的跨境数据传输进行风险自评，然后通过省级网络空间管理局提交文件，申请CAC的安全评估。安全评估结果有效期为两年，如果影响传输数据安全的情况发生变化，则需要重新申报评估。

根据您所属的行业或行业，您还可能受到行业或行业特定规则的进一步限制。

Q： 我是CIIO吗？

A： 中华人民共和国《关键信息基础设施安全保护条例》（“《条例》”）将信息基础设施定义为“重要的网络设施和信息系统，其破坏或丧失能力或数据泄露可能对国家安全、国计民生和公共利益产生削弱性影响”。这种重要网络设施和信息系统的运营商被称为“CIIO”。公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务和国防科技产业等重要行业和领域的重要网络设施和信息系统的运营商更有可能被认定为CIIO。

根据《CII条例》，行业监管机构有权制定进一步的规则来确定CII，并在各自的行业和部门内组织这一确定。CIIO将被告知这一决定的结果，因此您应该在内部检查是否收到任何此类通知。

Q： 我在处理任何重要数据吗？

A： 《网络数据安全管理条例》（征求意见稿）将“重要数据”定义为“一旦被篡改、损坏、泄露或非法获取或使用，可能危及国家安全或公共利益的任何数据”。目前，尽管有旨在就如何识别重要数据提供指导的规则草案和国家标准草案，但这些规则和标准尚未最终确定。根据进一步的实施规则和特定行业的重要数据目录，目前的定义仍然可以解释，尽管在常识性应用程序中，你可能会认为企业日常处理的大多数数据都达不到该定义看似很高的门槛。与您的内部和外部法律团队一起进行数据映射练习将帮助您更好地了解自己的立场。

Q： 我在处理任何个人信息吗？如果是，触发跨境数据传输安全评估的阈值是多少？

A： 供您参考，PIPL将个人信息定义为“与已识别或可识别的自然人有关的各种类型的电子或其他记录信息，不包括匿名信息”。例如，这大致包括与已识别或可识别的自然人有关的自然人的姓名、出生日期、身份证号码、地址和电话号码等。由于适用更严格的数据保护义务，“敏感个人信息”被定义为“一旦泄露或非法使用，可能容易导致侵犯自然人的人格尊严或可能危及其人身安全或财产的个人信息”，包括有关生物识别、宗教信仰、特定身份、，医疗健康状况、财务账户和行踪轨迹，以及14岁以下未成年人的个人信息。如果您收集、存储或使用的数据属于上述定义范围，您将被视为在处理个人信息。

当非CIIO处理者将个人信息从中国大陆转移到中国大陆以外的目的地时，必须通过CAC组织的跨境数据转移事先安全评估：

• 您处理了超过100万个人的个人信息的个人信息跨境转移。
• 持续跨境转移个人信息，即自上一年1月1日以来，您已累计转移超过100000个人的海外个人信息。
• 持续跨境转移个人信息，自上一年1月1日以来，您已将超过10000个人的敏感个人信息累计转移到海外。

Q： 如果我处理的数据符合数据本地化要求，我可以将数据从中国大陆转移到海外吗？

A： 也许吧。在您遵守中华人民共和国数据法的要求并通过中华人民共和国网信办管理的安全评估的前提下，仍允许出于业务需要跨境传输数据。这些安全评估的实施规则，即2022年7月7日发布的《跨境数据传输安全评估措施》，已于2022年9月1日生效。然而，您也应该意识到，如果发现2022年9月1日之前发生的跨境数据传输不符合规则，也具有追溯效力。您可能需要在2023年3月之前进行整改并申请评估。

Q： 如果不触发申请安全评估的义务，我如何将个人信息从中国大陆转移到海外？

A： PIPL及其实施规则将适用于您的个人信息跨境转移。如果您设想的个人信息传输不会触发申请安全评估的义务，您可以遵循PIPL下的其他两种传输机制，即从授权机构获得个人信息保护证书或与您的数据的海外接收者签署标准合同。

在认证机制方面，CAC和国家市场监管总局颁布了《个人信息保护认证实施细则》，并发布和更新了一套实用指南，尽管关于实施认证的一些操作问题仍有待监管当局进一步澄清；关于标准合同机制，这些示范条款草案以及关于备案要求的规则已经发布，供公众咨询，但仍有待最后定稿。

Q： 这对我在中国大陆部署云服务意味着什么？

A： 鉴于上述情况，我们要求您评估您正在进行或设想的数据出口活动是否可能受到数据本地化/跨境转移要求的约束。这可能是向法律和技术专家寻求专家建议，以获得关于CSL、DSL和PIPL要求以及其他适用的中华人民共和国法律的准确和最新信息。

根据您的知情评估：

• 如果您已经或可能被确定为CII运营商，您应在中国大陆存储在中国大陆收集和生成的重要数据和个人信息。在这种情况下，使用世纪互联在中国大陆运营的云服务将帮助您满足中国数据法的本地化要求。
• 如果您不太可能被识别为CII运营商，或者您计划转移到海外的数据不包含在中国大陆收集和生成的重要数据或个人信息，或者如果您确信您的跨境数据传输能够通过适用的安全评估（跨境数据传输触发了申请安全评估的义务）或满足跨境数据传输的其他适用要求（从授权机构获得个人信息保护证书或与客户数据的海外接收者签署标准合同），您可能需要根据自己的业务需求和财务考虑使用全球云服务。