最新:数据出境安全评估细则征求意见中
10月29日,国家互联网信息办公室发布了起草的《数据出境安全评估办法(征求意见稿)》(下简称《评估办法》),向社会公开征求意见,征求意见截至11月28日。
自《网络安全法》、《数据安全法》、《个人信息保护法》出台实施以来,日本总社及现地企业对在中国向境外提供数据信息存在各种顾虑,极大的限制总社与现地的沟通交流。比如总社对中国现地企业进行审计评估,需要中国现地企业提供财务、员工数据等信息,中国现地企业是否可以见该些数据发给总社,是否需要履行安全评估、签订合同等特定手续。
本《评估办法》对现地日系企业向境外总社提供数据进行了相关规制,敝所要点介绍如下。
◆ 《征求意见稿》部分要点
1.数据出境安全评估受理部门
《评估办法》第四条,向境外提供数据进行安全评估,由企业所在地的省级网信部门向国家网信部门申报。
留意点:
国家网信部门进行安全评估时,会组织行业主管部门、省级网信部门等进行评估,具有一定的自由裁量权。日系企业在与网信部门、行业主管部门沟通时,注意交涉的方式、方法。
2.明确进行数据出境安全评估的适用情形
《评估办法》第四条,通过区分数据处理者的类型、提供数据的类型及提供个人信息、敏感个人信息的数量三个方面,明确进行数据出境安全评估的情形。
(1)处理个人信息达到100万人的个人信息处理者提供个人信息
(2)出境数据中包含重要数据;
(3)向境外提供的是关键信息基础设施的运营者收集和产生的个人信息和重要数据;
(4)累计向境外提供超过10万人以上个人信息或者1万人以上敏感个人信息(身份识别信息、医疗健康、行动轨迹等);
(5)国家网信部门规定的其他情形
留意点:
重要数据采用制定《重要数据目录》的方式确定范围,各地区、各行业领域的重要数据可能有所不同,现地企业需根据当地各行业主管部门的规定操作。
3.明确数据出境者与境外接收方签订合同的主要内容
《评估办法》第九条,明确数据处理者需要与境外接收方签订数据安全保护的合同,并并列举合同的主要内容,比如数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式,限制境外机构将出境数据再转移给其他组织等等。
◆ 给日系企业的建议
《评估办法》作为《数据安全法》的配套法规,与《数据安全法》、《个人信息保护法》《网络安全法》等共同构成中国数据安全、信息保护的法律框架。虽然《评估办法》作为征求意见稿不具有法律效力,但是日系企业可以提前了解该方面的动向并进行有针对性的对应,根据法规自行或由专业律师完善、评估企业内部对数据处理、储存、传输出境等行为。
作成日:2021年11月01日
