尽管根据网信办发布的《数据出境风险自评估报告(模板)》《个人信息保护影响评估报告(模板)》,企业已无需在进行数据出境风险自评估或 PIA 时评估境外接收方所在国家或地区个人信息保护政策法规情况,减轻了企业所需承担的合规负担。但需要注意的是,即使企业无需在数据出境风险自评估报告或备案的 PIA 报告中说明此项内容,根据国家网信办制定的《个人信息出境标准合同》第四条的要求,企业仍应评估境外接收方所在国家或者地区的个人信息保护政策和法规是否会影响其履行合同约定的义务,并记录评估过程与结果。
同时,《评估办法》第八条要求网信部门在进行数据出境安全评估时,应考虑“境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响”。由此可以看出,境外接收方法律与政策环境完善程度仍是值得企业关注的风险评估项。故建议企业在向境外提供数据前,事先评估境外接收方所在国家或区域的法律与政策环境,以判断数据出境活动可能存在的安全风险。
根据《评估办法》《认证规范 V2.0》《安全评估指南(征)》《跨境认证要求(征)》等规定,在评估境外接收方法律与政策环境完善程度时应包含以下几项内容:
1. 境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;
2. 境外接收方的数据保护水平是否达到中国法律、行政法规的规定和强制性国家标准的要求;
3. 境外接收方所在国家或者地区的个人信息保护政策法规对履行个人信息保护义务和保障个人信息权益的影响,具体包括:
⚫ 境外接收方此前类似的个人信息跨境传输和处理相关经验、境外接收方是否曾发生数据安全相关事件及是否进行了及时有效地处置、境外接收方是否曾收到其所在国家或者地区公共机关要求其提供个人信息的请求及境外接收方应对的情况;
⚫ 该国家或地区现行的个人信息保护法律法规及普遍适用的标准情况,以及与我国个人信息保护相关法律法规、标准情况的差异;
⚫ 该国家或地区加入的区域或全球性的个人信息保护方面的组织,以及所做出的具有约束力的国际承诺;
⚫ 该国家或地区落实个人信息保护的机制,如是否具备负责个人信息保护的监督执法机构和相关司法机构等。
4. 针对重要数据境外接收方所在国家或者地区的法律与政策环境,可评估:
⚫ 该国家或地区在数据安全方面现行的法律法规及普遍适用的标准情况;
⚫ 该国家或地区主管数据安全的执法机构和相关司法机构等;
⚫ 该国家或地区的执法机构、司法机构等部门调取数据的权力和法律程序;
⚫ 该国家或地区与其他国家或地区之间是否缔结有关数据流通、共享等方面的双边或多边协定,包括在执法、监管等方面数据流通、共享的双多边协定。
以“高、中、低”三个等级评判个人信息接收方所在国家或地区的法律政策环境保障能力则可参考下表标准:
以“高、中、低”三个等级评判重要数据接收方所在国家或地区的法律政策环境保障能力则可参考下表标准:
同时,由于对境外接收方法律政策环境进行评估需要评估人员对当地的相关政策、法律、文化、社会等各方面具有充分的理解。因此,在具体评估实践中,企业需要与境外接收方密切联系,并建议聘请律师或其他跨国服务机构协助,以实现全面、深入的有效评估。
来源:环球律师事务所等团队
扫一扫
5826
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
