文章分类
继自2023年6月1日起生效的《中国SCC办法》(见我们对《中国SCC措施》的详细分析)和《个人数据跨境传输标准合同备案指南》(见我方对《中国SCC-指南》的详细解释)之后,北京市网络安全局于6月25日发布了一份通知(通知)。根据《通知》,一家总部位于北京的公司首次通过了中国SCC备案。几个月前,北京的一家医院也获得了中国首次积极的安全评估。北京无疑已成为实施跨境数据传输机制的先驱。这对中国的数据出口商来说是一个令人兴奋的发展,表明中国正式开始了中国SCCs机制的实际实施。
中国SCC首次立案综述
根据《通知》,一家名为北京德意新数据有限公司的北京公司从北京市工商行政管理局收到了SCC备案登记号(京合通备202300001号),这是中国第一个SCC备案案件,也是中国第一家针对个人数据跨境转移进行SCC备案的公司。北京公司向香港诺华信贷有限公司(Hong Kong Nova credit Co.,Ltd.)传输与信贷参考相关的个人数据。根据公开信息,北京公司是一家在线数据服务提供商,成立于2022年12月,即海外数据接收方(香港诺华信贷股份有限公司)间接拥有15%的股份。
从时间上看,这是中国SCC首次立案,仅在《中国SCC办法》生效15个工作日后就完成了。与CAC安全评估相比,很明显,中国SCC申请的时间效率要高得多。
中国SCC综述
在中国数据法规定的所有三种主要跨境数据传输机制(即CAC安全评估、中国SCC和安全认证)中(见我们对国际数据传输机制的详细分析),中国SCC机制通常更受企业青睐,因为它提供了更高的时间和成本效率,并与GDPR SCC产生了一些协同作用,但需要注意的是,建议公司根据《中国个人信息保护法》和相关法规进行详细评估,以确定最合适的渠道。
中国SCCs机制于2023年6月1日正式启动。现在,将个人数据转移到国外的公司必须在规定的期限内向省级CAC提交影响评估报告和标准合同以供审查,结果为“通过”或“未通过”。如果收到“失败”通知,公司将被告知其申请失败的原因,并被要求提供补充信息和文件。这表明SCC备案审查不仅仅是一种形式:它可能是一种事实上的批准,尽管省级CAC官员将在备案审查中进行何种程度的审查仍有待观察。
在反映GDPR SCC某些方面的同时,中国SCC保持了一些独特的中国特色;例如,中国SCC下的影响评估范围比GDPR下的DPIA和TIA要广泛得多,中国SCC的条款与GDPR SCC的条款有很大不同。
执法趋势
在《通知》中,北京市CAC誓言要采取平衡的方法,在保护数据安全的同时促进数据流动。到目前为止,大多数通过CAC安全评估的数据出口商都位于北京,涉及一系列行业,包括医疗保健、航空和汽车行业。北京市CAC一直在牵头跨境数据传输的监督管理,批准了中国首次安全评估,并完成了中国首次SCC备案。
尽管中国各地的做法各不相同,但我们相信北京市CAC将为其他省份的CAC当局树立一个良好的榜样。在北京市CAC于6月初发布中国SCC备案指南后,上海、浙江、天津、山东、湖南和贵州等其他省市也发布了实施细则,指导当地数据出口商通过中国SCC备案程序。由于《中国SCC办法》规定的宽限期将于11月底到期,我们预计未来几个月将有越来越多的中国SCC申请。
值得注意的是,SCC备案登记号的授予并非一次性承诺。公司应监测和跟踪中国SCC机制的生命周期绩效,跟踪立法和执法发展,获得法律咨询和专业支持,并在中国SCC要求发生任何变化时采取必要措施,以确保持续合规。
中国的数据制度发展速度极快。强烈建议商业组织密切关注中国在数据保护和网络安全领域的立法和执法发展,并提前为中国SCC备案和其他必要的合规相关行动做好准备。
- 登录 发表评论