首页。 / 资源 / 新闻及趋势 / 澳门赌场官方软件 / 2021 / 中国的跨境数据传输和数据本地化要求

中国的跨境数据传输和数据本地化需求

安德里亚·唐
作者: 唐安琪,FIP, CIPP/E, CIPM, ISO27001LA
发表日期: 2021年7月6日

In 2020, 中国发起了一项全球数据安全倡议,重点是加强跨境数据流动的国际协调,并概述了个人信息保护原则. 在中华人民共和国的经营活动中,大量的中国客户的个人信息被收集和产生,并被转移到其他国家进行存储和处理. 因此, 对于跨国澳门赌场官方下载(MNEs)来说,在提供更好服务的同时平衡数据主体的隐私权可能是一个挑战. 结果是, 中国全国人民代表大会(NPC)和中国人民政治协商会议全国委员会(PCC)提出了关于跨境数据传输的立法建议.1

在跨国公司遵守有关个人信息和重要数据隐私的跨境数据传输要求时,有三个痛点:

  1. 组织的多样性增加了转移环境的复杂性, 这使得确定适用性变得困难.
  2. 分散要求分散在多个司法管辖区, 法律, 法规和国家标准、措施(含草案).
  3. 这些需求之间的不一致性和不确定性使得很难遵守这些需求.

此外, 随着几部法律的出台,中国的隐私立法格局变得复杂起来, 法规和措施, 包括严格要求将存储在中国境内的个人信息转移给境外当事人,以保护在中国境内的数据主体的隐私权. 解决这些痛点, 对于需要将个人信息和重要数据从中国转移到世界其他地区的跨国公司来说,有必要全面了解中国在跨境数据转移和数据本地化方面当前和未来的立法格局以及该立法的影响.

中国的法律、法规和措施

中国的《澳门赌场官方软件》(CSL)是数据本地化和跨境数据传输法律要求的基础.2 中国最近公布的《澳门赌场官方下载》(DSL)规定了向海外转移重要数据的具体要求,以及外国司法和执法机构要求提供数据的审批规则.3 除了, 《澳门赌场官方软件》(征求意见稿二稿)对个人信息处理方向境外转移个人信息提出了要求.4 2017年和2019年又发布了两项跨境数据传输安全评估措施, 分别, 他们建立了跨境数据传输的基本框架. 《澳门赌场官方软件》进一步补充了《澳门赌场官方下载》草案和《澳门赌场官方下载》的细节, 作为建议标准,并为遵守跨境数据传输提供实际指导.5 图1 说明中国适用的法律、法规、指引和标准.

图1 -中国适用的法律、法规、指南和标准
图1 -中国适用的法律、法规、指南和标准

网络安全法律
澳门赌场官方下载安全法》于2017年7月1日生效, 规定“关键信息基础设施运营者应当将在中华人民共和国境内运营过程中收集和产生的个人信息和重要数据进行存储。.”6 在哪些情况下,由于业务需要,需要向海外当事人提供这些信息和数据, 安全评估按照中国国家互联网信息办公室会同中华人民共和国国务院有关部门制定的办法进行. 该法律仅适用于存在关键信息基础设施(CII)的行业. 《澳门赌场官方下载》草案进一步扩大了信息基础设施的范围,包括提供云计算的实体, 大数据等大规模公共信息网络服务.7

数据跨境安全评估指南
这些指引就跨境转移个人信息和重要数据提供了更详细的定义和说明,是对《澳门赌场官方软件》的补充. 与CSL相比,有5个重大变化:

  • 扩大适用范围——网络运营者根据授权进行的安全评估,现在也适用于行业主管和监管部门的指导和监督.
  • 细化跨境数据传输场景——责任范围扩大到用户使用产品或服务的功能,向境外机构或个人提供个人信息和重要数据时的责任范围.
  • 列出了具体定义的重要数据-列出了不同行业定义的典型重要数据.
  • 介绍了数据最小化原理-跨境数据传输应与功能直接相关, 根据范围确定最低频率和最低数量.
  • 详细考核要点-已经做了一些调整. 例如,必要性不作为单独的点列出. 相反,它被纳入合法性和合法性评估.

跨境数据传输安全评估办法
国家网信办发布的跨境转移安全评估办法中,有2项尚处于草案阶段,不具有法律约束力:2017年《澳门赌场官方下载》8 2019年的措施专门针对个人信息.9 草拟的两项措施都对《澳门赌场官方软件》进行了补充,提出了严格的数据本地化要求,为跨国公司提供了拟议的安全评估机制,并将《澳门赌场官方软件》下的cios以外的适用性扩大到所有网络运营商, 广义的定义是网络的所有者或管理者还是网络服务提供商. 这两项措施都列出了在对跨境数据传输进行安全评估时应权衡的关键因素(例如.e.、资料转移的必要性及资料当事人的私隐同意). 然而,这两种方法之间存在一些差异. 2017年的措施要求在“原则允许、例外禁止”的基础上进行跨境数据传输,而2019年的措施只要求“基于批准”的数据传输. 在触发监管评估方面, 与2017年措施要求的6个限制条件相比(1.e., 其中涉及个人信息的数据超过500个,000个人或数据量超过1,000GB), 2019年的措施将条件扩展到所有跨境数据传输场景. 对报告审查有关部门的作用要求已从工业管理部门改变, 根据2017年《澳门赌场官方下载》向省级网络空间管理部门或网信办通报. 图2 显示了2019年和2017年措施之间的比较.

图2 2019年与2017年安全评估对比
图2 2019年与2017年安全评估对比


图3 图4 根据2017年和2019年的措施,分别说明安全评估的程序.

图3基于《澳门赌场官方软件》的安全评估流程
图3基于《澳门赌场官方软件》的安全评估流程

图4基于《澳门赌场官方下载》的安全评估流程
图4基于《澳门赌场官方下载》的安全评估流程

《澳门赌场官方软件》和《澳门赌场官方下载》
虽然比鹏二稿和DSL对数据本地化的个人信息阈值没有明确的界定, 这些规定表明了跨境数据传输和数据本地化要求的积极机制. 这些法律着眼于建立更复杂的安全评估机制. 以下列出了跨境数据传输方面的要求:

  • 比鹏-于2021年4月29日发布,征求公众意见, 它规定了个人信息输出的保障措施和数据本地化的要求. 与CSL和2个草案相比,有4个重要的更新:
  1. 更严格的数据本地化要求
  2. 跨境数据传输的替代保障措施
  3. 风险评估的强制性要求
  4. 相关审批要求
  • DSL-于2021年6月10日发布,并于2021年9月1日生效, 它提供了一些关于数据安全的高级原则和限制. 虽然DSL首先提出了与履行国际义务和维护国家安全有关的与受控物项有关的数据的出口管制要求, 它没有列出受出口管制的具体数据类型. DSL中重要数据的跨界数据传输需求建立在CSL的基础上,有3个显著变化:
  1. 海外转移的分离要求
  2. 更新相关审批规则
  3. 对违规行为的具体处罚

金融行业特定法规
顺应外资银行利用其全球服务联系来提高盈利能力的趋势, 大量的外资银行正计划在中国市场发展. 然而, 根据数据本地化和跨境数据传输的监管要求, 有高度规范的立法制度, 在“原则禁止,例外允许”的基础上.“在中华人民共和国境内收集的个人金融信息应当予以存储, 主要在中国加工和分析, 除法律规定的例外情况外.10 金融数据安全数据生命周期安全规范, 于2021年4月8日生效,11 规定在中国境内产生的5级数据(主要用于大型金融机构从事关键业务的重要数据,如金融交易,一旦违反安全,可能影响国家安全或公众权益)只能存储在中国内地,不得转移或访问中国内地以外的地区. 符合中国的监管要求, 虽然1 - 4级的财务数据(1级数据指的是公共数据), 二级数据是指业务的基本信息, 3级数据指个人财务信息,4级数据指支付数据)主要存储在中国境内, 履行金融机构提供的必要的合规保障措施,如同意和安全评估, 然后允许海外访问和转移个人信息.

一方面, “原则上禁止”是指明确禁止金融机构获取和处理通过获取信贷获得的个人财务信息, 中国人民银行的支付和其他系统, 禁止共享和委托境外澳门赌场官方下载处理个人财务信息. 除了被禁止的活动, 有一些类型的数据是禁止向海外转移的:客户机密信息和海外监管执法机构或司法组织为反洗钱(AML)和反恐融资和制裁而要求的监管报告数据. 另一方面, “例外允许”是指组织有必要向境外机构转移个人财务信息时允许的, 另外还需要满足4个条件, 包括书面同意, 相关的机构, 协议, 或其他法规要求. 图5 强调在中国的数据本地化和跨境数据传输.

图5 -中国数据本地化和跨境传输亮点
中国数据本地化和跨境传输亮点

立法的未来前景及其对跨国公司的影响

的中超, 新发布的DSL和即将发布的比鹏正在努力改进跨境个人信息规定的规则,并为跨境数据传输的安全管理制定实质性要求, 包括罚款.立法机关将进一步完善安全评估机制,为安全保障提供更多选择, 包括自我评估, 监管评估或批准, 将适用范围从ciio扩展到网络运营商, 数据处理器和个人信息处理器. 最新发布的《澳门赌场官方软件》提出了中国金融业更严格的数据本地化义务, 如果这些数据目前没有存储在中国,这可能会涉及大量的工作和成本. 与此同时, 在中国有业务或有大量员工的跨国公司, 尤其是互联网内容服务提供商, 是否应准备大量投资建立本地储存设施, 服务器和基于云的服务器在中国本地处理数据. 跨国公司还应意识到,并非所有跨境数据转移都适用于具体要求. 例如, 数据没有转移和存储在中国境外,但可以被境外机构访问和查看, 组织和个人(在互联网上获取公共信息除外).

在中国有业务或有大量员工的跨国公司, 尤其是互联网内容服务提供商, 是否应准备大量投资建立本地储存设施, 服务器和基于云的服务器在中国本地处理数据.

跨国公司的合规

鉴于中国跨境数据传输的监管格局, 跨国公司应将这些步骤作为遵守规定的指南:

  1. 对需要转移到国外的数据进行分类-数据可分为个人信息、个人敏感信息和重要数据.
  2. 建立跨境数据传输计划-计划应该包括目的, 范围, categories 和 scale of the cross-border data transfer; the information systems involved; the transit country 和 region (if applicable); the basic information of the data recipients 和 country or region; 和 security control measures.
  3. 确定并实施跨境数据传输的保障措施除了自我评估和监管评估, 比鹏第二稿为个人信息和重要数据从中国转移到世界其他地区提供了多种选择, 如个人信息保护认证, 经资料接收方签署并经政府批准的国际司法协助合同. 以下是自评的适用性和要求, 监管评估和多司法管辖区评估:
    • 自我评估-当跨国公司的产品或服务向其他国家提供个人信息或重要数据时,应进行自我评估. 自我评估应包括合法性评估、正当性评估、必要性评估和可控风险评估. 跨国公司在涉及个别调查时应注意跨境数据转移(例如.g., 对员工的尽职调查和反洗钱调查需要从中国子公司向海外母公司提供数据).
    • 监管评估-不同的法律法规在何时进行监管评估以及评估应向哪些机构申报方面存在不一致和不确定性. 跨国公司应当向有关主管部门申报数据转移情况, 进行安全评估, 包括风险评估, 获得相关批准.
    • Multijurisdictional评估-跨国公司进行涉及个人信息的内部调查时, 重要数据或商业机密, 跨国公司必须对拟议的数据传输进行多司法管辖区评估,以满足强制要求.
  4. 重新建立并重新评估跨境数据传输计划-在进行安全评估后, 如果风险仍然很高, 跨国公司应更新计划,网络运营商应采取行政措施,包括简化数据传输场景, 选择具有较高政治法律环境保障能力的新数据接收方, 或技术措施,包括降低数据的敏感性,以减轻跨境数据传输的风险,并进行重新评估.

结论

从全球贸易的角度来看, 若干倡议的发展表明加强跨境数据流动的国际协调的趋势. 越来越多的跨国公司正在向中国拓展市场, 这意味着在中国境内业务期间收集和产生的更多个人信息和重要数据必须转移到存储和处理数据的其他国家. 这导致了与数据本地化和从中国到世界其他地区的跨境数据传输相关的重大合规挑战. 从立法的角度来看,隐私状况正在发生变化. 预计中国国家立法机构将完善和丰富跨境数据传输的隐私法规. 向海外机构提供个人资料和重要资料对澳门赌场官方下载有何重要意义, 跨国公司可能要接受全面的自我评价机制, 合同, 监管评估或批准.

尾注

1 《澳门赌场官方软件》杂志, 全面解读2021年“两会”网络安全提案2021年3月10日
2 国家互联网信息办公室, 《澳门赌场官方下载》2017年11月7日,中国
3 全国人民代表大会常务委员会 数据安全法2021年6月10日,中国
4 全国人民代表大会常务委员会 《澳门赌场官方下载》2021年4月29日,中国
5 国家市场监督管理总局、中国国家标准化管理委员会、 信息安全技术-数据跨境安全评估指南2017年8月25日
6 Op cit 国家互联网信息办公室。
7 国家互联网信息办公室, 关键信息基础设施安全保护条例(草案)2017年11月7日,中国
8 国家互联网信息办公室, 个人信息和重要数据跨境转移安全评估管理办法 (草案),中国,2017年4月11日
9 国家互联网信息办公室, 个人信息跨境转移安全评估办法 (草案),中国,2019年6月13日
10 中国人民银行, 《澳门赌场官方下载》2016年12月14日,中国
11 中国人民银行, 金融数据安全数据生命周期安全规范2021年4月8日,中国

唐安琪,CIPM, CIPP/E, ISO 27001 LA

在Ernst工作 & 年轻人为金融机构提供隐私服务. 她是ISACA的领导人® 中国微信群. 她曾担任香港浸会大学商学院的演讲嘉宾, 理学硕士(金融科技和数据分析)课程. Tang曾在the ISACA® 杂志 并参与ISACA中国技术委员会发布的指南.