数据出境备案及评估
:1.数据出境的法律法规、标准解读;2.数据出境安全评估、标准合同备案要求及流程解读;3.主管部门审核的标准、要点解读;4.安全评估、标准合同备案申请材料指点。
数据出境研究所
从事数据出境工作,为您奉上:1.数据出境的法律法规、标准解读;2.数据出境安全评估、标准合同备案要求及流程解读;3.主管部门审核的标准、要点解读;4.安全评估、标准合同备案申请材料指点。
和您一道打造数据出境工作交流新平台,助您顺利通过数据出境安全评估、备案工作。
展开
-
数据合规 | 数据出境监管的“变”与“不变”——《促进和规范数据跨境流动规定》评析
上海于2024年2月8日发布实施了《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》,该办法适用于在临港新片区范围内登记注册的,或在临港新片区开展数据跨境流动相关活动的数据处理者,跨境数据分级从高到低依次分为核心数据、重要数据、一般数据3个级别,临港新片区管委会负责制定纳入数据出境安全评估管理范围的重要数据目录和一般数据清单。的数据处理者,应关注所在的自贸区是否出台了负面清单:若已出台负面清单,出境数据属于负面清单上的数据,则按照负面清单选择相应的数据出境路径。原创 2024-04-22 11:06:34 · 431 阅读 · 0 评论 -
我国数据出境制度2.0时代下的企业合规应对(上篇)
数据跨境新规》第四条明确“数据过境”情形无需通过“数据出境”的事前监管机制(安全评估、标准合同、认证“三条路径”),即“数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。(2)另外一种理解是,基于《数据跨境新规》和《第二版指南》的现有行文逻辑,“数据过境”属于事前监管机制的豁免情形,即“先进门,再出门”。(3)《数据跨境新规》第四条将“数据过境”情形排除在外。原创 2024-04-08 16:16:25 · 514 阅读 · 0 评论 -
数据出境合规减负,释放数据要素价值——《促进和规范数据跨境流动规定》要点简析
有鉴于此,企业应当重点关注被相关部门、地区告知或者公开发布的重要数据,这是数据出境监管的重点。企业在明确其所拥有的数据属于个人信息后,应及时关注是否符合《数据跨境新规》所规定的个人信息出境豁免的情形,积极探索、适用符合条件的豁免方式,以期降低企业合规成本,便利数据跨境流动。《数据跨境新规》第三条规定:“在国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。原创 2024-04-01 10:36:43 · 976 阅读 · 0 评论 -
先“促进”后“规范”:一文读懂我国最新数据跨境流动政策
例如,对于跨境传输个人信息,即便不需要申报评估、进行标准合同备案或是开展个人信息保护认证,也应当主动采取合规措施,满足《个人信息保护法》对于数据出境的合法性、正当性、必要性的条件,采取必要合规措施实现数据传输的安全,完成个人信息保护影响评估,并兼顾数据主体的权益保护,履行告知且取得单独同意,获得相关授权。此前在观望之中的企业,和还未履行数据跨境的前置实质性合规义务的企业,更应当做好自身的数据合规工作,以求应着促进国际贸易合作、推动合作互惠的数字经济的东风,让企业经营和业务发展行稳致远!原创 2024-03-28 17:17:49 · 700 阅读 · 0 评论 -
《促进和规范数据跨境流动规定》解读
在重要数据出境环节,《数据出境新规》延续了《数据出境安全评估办法》的要求,明确数据处理者向境外提供重要数据均应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估,不适用任何《数据出境新规》规定的豁免情形。不过,针对长期以来重要数据边界模糊的问题,《数据出境新规》明确“未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估”,采用自上而下的被动申报路径,减轻了数据处理者在数据出境环节的重要数据识别负担,与《征求意见稿》的规定保持一致。原创 2024-03-27 16:44:20 · 882 阅读 · 0 评论 -
哪些属于“法律、行政法规另有规定,依照其规定进行评估/批准”的情况?
第三十条,机关、单位对外交往与合作中需要提供国家秘密事项,或者任用、聘用的境外人员因工作需要知悉国家秘密的,应当报国务院有关主管部门或者省、自治区、直辖市人民政府有关主管部门批准,并与对方签订保密协议。》第五十七条,向境外组织、个人及其设立或者实际控制的机构提供或者开放使用的,应当向国务院科学技术主管部门事先报告并提交信息备份。》第三十条,应当存储在境内安全可信的服务器上,因业务需要确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估审核。✮如涉及人类遗传资源信息,则根据《原创 2024-03-27 09:31:10 · 311 阅读 · 0 评论 -
怎么认定关键基础设施运营者?
第十条规定保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。故企业应当注意是否接到主管部门的认定结果的通知,以判断自己是否属于关键基础设施运营者。》中给出了明确的定义。怎么认定关键基础设施运营者?关于关键基础设施运营者,《原创 2024-03-27 09:27:42 · 206 阅读 · 0 评论 -
《促进和规范数据跨境流动规定》答记者问
国家互联网信息办公室结合数据出境安全管理工作实际,制定《规定》,对现有数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的实施和衔接作出进一步明确,适当放宽数据跨境流动条件,适度收窄数据出境安全评估范围,在保障国家数据安全的前提下,便利数据跨境流动,降低企业合规成本,充分释放数据要素价值,扩大高水平对外开放,为数字经济高质量发展提供法律保障。对于未达到数据出境安全评估申报条件的个人信息出境活动,个人信息处理者可以结合自身情况,选择订立个人信息出境标准合同或者通过个人信息保护认证的方式。原创 2024-03-26 16:05:08 · 890 阅读 · 0 评论 -
专家解读|新规定引领数据跨境流动“新动向”
例如,在向境外提供非敏感个人信息的出境活动中,设置了“自当年1月1日起累计向境外提供不满10万人个人信息的”“自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息的”以及“自当年1月1日起累计向境外提供100万人以上个人信息的”三类数据出境数量门槛,分别对应“完全豁免”“豁免适用数据出境安全评估”“强制申报数据出境安全评估”三类业务合规要求。对于明确不具备危害国家安全、个人信息权利等的数据出境活动,例如跨境传输的数据数量稀少,则无需专门申报数据出境安全评估等监管流程。原创 2024-03-26 10:35:39 · 404 阅读 · 0 评论 -
除“单独同意”外,企业还需告知用户哪些内容?
(1)传输的个人信息属于特定类别的个人信息主体,列出该特定类别的个人信息主体;(6)境外接收方只向特定的接收方提供,列出该特定的接收方;除“单独同意”外,企业还需告知用户哪些内容?》要求个人信息处理者与境外接收方依据《(5)出境敏感个人信息类别;(3)传输个人信息的数量;(4)出境个人信息类别;(8)出境后的存储时间;(9)出境后的存储地点;原创 2024-03-26 10:29:44 · 98 阅读 · 0 评论 -
企业是否需要向个人信息主体提供《标准合同》副本文件?
副本的权利,企业必须配合。在提供副本的过程中,企业可以着重考虑保密以及方便个人理解阅读的问题。》的副本文件,但个人信息主体具有要求个人信息处理者提供其所签订的《目前未见有规定强制要求企业需要主动向个人信息主体提供《(2) 提供便于个人信息主体理解合同的摘要内容;》进行适当处理,避免商业秘密泄露;企业是否需要向个人信息主体提供《(3) 在可行的情况下,提供《》副本公示入口或其他查看方式。例如: (1) 及时将《原创 2024-03-26 10:28:07 · 160 阅读 · 0 评论 -
个人信息出境标准合同备案指南(第二版)有个地方表述不一致
《个人信息出境标准合同备案指南(第二版)》的适用范围和《促进和规范数据跨境流动规定》第八条的规定不一致原创 2024-03-25 13:02:44 · 467 阅读 · 0 评论 -
个人信息出境标准合同备案指南第二版与第一版对比表
个人信息出境标准合同备案指南第二版与第一版对比表原创 2024-03-25 09:48:19 · 566 阅读 · 0 评论 -
国家互联网信息办公室发布《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》(二)
为了指导和帮助数据处理者规范有序申报数据出境安全评估、备案个人信息出境标准合同,国家互联网信息办公室编制了《数据出境安全评估申报指南(第二版)》、《个人信息出境标准合同备案指南(第二版)》,对申报数据出境安全评估、备案个人信息出境标准合同的方式、流程和材料等具体要求作出了说明,对数据处理者需要提交的相关材料进行了优化简化。原创 2024-03-25 09:42:38 · 225 阅读 · 0 评论 -
国家互联网信息办公室发布《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》(一)
为了指导和帮助数据处理者规范有序申报数据出境安全评估、备案个人信息出境标准合同,国家互联网信息办公室编制了《数据出境安全评估申报指南(第二版)》、《个人信息出境标准合同备案指南(第二版)》,对申报数据出境安全评估、备案个人信息出境标准合同的方式、流程和材料等具体要求作出了说明,对数据处理者需要提交的相关材料进行了优化简化。数据处理者因业务需要向境外提供重要数据和个人信息,应当遵守《数据出境安全评估办法》、《个人信息出境标准合同办法》和《促进和规范数据跨境流动规定》有关规定。符合数据出境安全评估适用情形的原创 2024-03-25 09:40:16 · 148 阅读 · 0 评论 -
国家互联网信息办公室公布《促进和规范数据跨境流动规定》
3月22日,国家互联网信息办公室公布《促进和规范数据跨境流动规定》(以下简称《规定》),自公布之日起施行。原创 2024-03-25 09:29:24 · 188 阅读 · 0 评论 -
《标准合同》的违约救助途径包括哪些?
02个人信息主体 对于个人信息主体,也即第三方受益人而言,合同任意一方侵害第三方受益人权益的,个人信息主体都有权获得赔偿。01个人信息处理者、境外接收方 对于数据出境相关的双方而言,任意一方出现违反合同义务情形的,另一方可以要求其承担违约责任,《》提供的合同模版中规定违约责任及于非违约方遭受的损失,在法定情形下或协商一致的情况下,双方亦可解除合同。03监管部门 省级以上网信部门除通过接收备案进行监督外,也会对《》还明确了任何组织和个人发现个人信息处理者违反《》的,都可以向省级以上网信部门投诉、举报。原创 2024-03-22 10:07:44 · 144 阅读 · 0 评论 -
企业在何种情况下可以解除《标准合同》?
企业在何种情况下可以解除《标准合同》?原创 2024-03-22 10:04:08 · 147 阅读 · 0 评论 -
境外接收方可以再向境外第三方提供所接收的个人信息?
境外接收方可以再向境外第三方提供所接收的个人信息?《标准合同》要求境外接收方将向个人信息提供给位于境外的第三方时需要同时满足以下要求:①特定的业务需要②告知个人信息主体境外第三方的具体信息,并获取个人信息主体单独同意③涉及敏感个人信息的,则需要向个人信息主体告知传输敏感个人信息的必要性及对个人的影响④与境外第三方达成书面协议,确保境外第三方的保护水平不低于我国数据保护法律的标准⑤承担个人信息主体损害的连带责任⑥向个人信息处理者提供以上规定的合同副本原创 2024-03-21 10:08:02 · 204 阅读 · 0 评论 -
“累计向境外提供个人信息”的起算时间是什么?
“累计”的起算时间点并非《《个人信息出境标准合同办法》》生效之日,而是在《《个人信息出境标准合同办法》》生效时间点上一年1月1日起开始计算累计向境外提供的个人信息人数。可见,“累计提供”的个人信息数量应该按年度进行计算,且最长跨度为2年。因此,企业应该每年度至少进行一次审查,审查企业向境外提供的个人信息涉及的总人数是否超过/即将超过临界值,如果超过,则通过签订《标准合同》进行数据出境可能已经不能满足现有规定了,便需要进行安全评估。原创 2024-03-20 10:09:16 · 110 阅读 · 0 评论 -
备案是否是《标准合同》的生效要件?
备案是否是《标准合同》的生效要件? 备案并非是标准合同条款的生效要件。 《个人信息出境标准合同办法》第三条明确个人信息出境标准合同的使用规则是以“自主缔约与备案管理”相结合,企业不进行备案并不影响合同的效力,但是如果企业不完成备案,就会可能导致网信部门对企业进行责令改正、停止个人信息出境行为等情况,会对企业业务开展产生不良影响。因此,建议企业按要求进行备案。原创 2024-03-20 10:04:05 · 135 阅读 · 0 评论 -
《标准合同》签订前已经签定的其他法律文件的效力如何?
《标准合同》签订前已经签定的其他法律文件的效力如何? 《标准合同》第九条规定:如本合同与双方订立的任何其他法律文件发生冲突,本合同的条款优先适用。该法条说明了《标准合同》的优先效力。 也就是说,《标准合同》签订前已经签定的相关法律文件与《标准合同》冲突的条款,以《标准合同》为准,其他不冲突的条款依然有效,不会当然导致原有的合同失效。原创 2024-03-20 09:59:46 · 184 阅读 · 0 评论 -
个人信息处理者是否必须是中国境内的注册企业?
个人信息处理者是否必须是中国境内的注册企业? 不论是《个人信息出境标准合同办法》还是在《标准合同》模板的表述,都是使用了“个人信息处理者”,并没有对该个人信息处理者是否必须是在境内注册的企业进行要求,结合我国《个人信息保护法》的要求,只要是在个人信息处理活动中可以自主决定处理目的、处理方式的组织和个人都将会被认定为个人信息处理者。原创 2024-03-20 09:57:36 · 159 阅读 · 0 评论 -
签署《标准合同》的情形?
签署《标准合同》的情形? 根据《个人信息出境标准合同办法》第四条规定:使用标准合同的个人信息处理者应当同时满足以下条件:(一)非关键信息基础设施运营者;(二)处理个人信息不满100万人的;(三)自上年1月1日起累计向境外提供未达到10万人个人信息的;(四)且自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。原创 2024-03-20 09:54:13 · 108 阅读 · 0 评论 -
粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施
关于落实《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》的通知 为促进粤港澳大湾区个人信息跨境安全有序流动,推动粤港澳大湾区高质量发展,国家互联网信息办公室、香港特别行政区政府创新科技及工业局于12月13日正式发布《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(以下简称实施指引)。为便于粤港澳大湾区内地个人信息处理者及接收方规范、有序开展备案工作原创 2024-03-20 09:52:45 · 349 阅读 · 0 评论 -
什么是“标准合同条款”?
《个人信息保护法》第三章关于个人信息跨境传输的规定内容,我国提供了三种个人信息跨境传输的机制: 01 数据出境安全评估,属于法定适用情况,即只要达到法律规定的条件,企业就必须申报数据出境安全评估。 02 认证机制,属于国家推荐的自愿性的认证情况,主要适用在跨国集团与关联公司之间的个人信息跨境传输活动。 03 标准合同条款,考虑到境外接收方所在国家或地区在个人信息保护立法或执法保护水平上存在的不足,通过境内的个人信息处理者与境外的接收方签署标准合同条款,将我国法律法规所确立的个人信息保护要求转化为对境外接原创 2024-03-20 09:32:26 · 200 阅读 · 0 评论 -
什么是“个人信息保护影响评估”?
什么是“个人信息保护影响评估”? 个人信息保护影响评估是企业对其个人信息处理活动进行合法合规程度检查、判断企业的个人信息处理活动是否对个人信息主体合法权益造成损害及相关风险、以及评估保护个人信息主体的各项措施有效性的过程。原创 2024-03-19 11:34:50 · 337 阅读 · 0 评论 -
如何判断企业是否属于“关键信息基础设施运营者“?
如何判断企业是否属于“关键信息基础设施运营者“? 《关键信息基础设施安全保护条例》第二条给出了明确的定义,关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。原创 2024-03-19 09:34:24 · 187 阅读 · 0 评论 -
如何判断企业是否涉及处理了“重要数据”?
如何判断企业是否涉及处理了“重要数据”? “重要数据”也是在各个规定、办法、指南中都曾经出现的概念,《数据出境安全评估办法》有对重要数据作出定义,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。原创 2024-03-19 09:29:17 · 105 阅读 · 0 评论 -
如何判断业务场景是否涉及处理了“敏感个人信息”?
如何判断业务场景是否涉及处理了“敏感个人信息”? 我国《个人信息保护法》,就何谓“敏感个人信息”也给出了具体的定义,敏感个人信息是指,一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。 可见,“个人信息”包括了“敏感个人信息”,并且,法律严格要求了个人信息处理者,只有在具有特定的目的和充分的必要性,并且采取了严格保护措施的情形下,才可以处理敏感个人信息。原创 2024-03-19 09:27:18 · 230 阅读 · 0 评论 -
哪些情况不构成数据出境?
哪些情况不构成数据出境? 第一,没有进行任何加工和处理的“过境中转数据”,即数据只是经由我国境内中转,但没有经过任何的变动或加工处理,则不属于“数据出境” 第二,即便进行了加工和处理的“过境中转数据”,但数据并非是在我国境内产生和收集的个人信息和重要数据,则不属于“数据出境”。原创 2024-03-19 09:21:11 · 257 阅读 · 0 评论 -
没有在中国境内注册,但是在境内开展业务,或向境内提供产品或服务的,是否属于境内运营?
没有在中国境内注册,但是在境内开展业务,或向境内提供产品或服务的,是否属于境内运营? 判断是否属于“境内运营”,不以是否在境内注册为判断依据,如果没有在我国境内注册的网络运营者,但在我国境内开展业务,或向中华人民共和境内提供产品或服务的,仍然属于境内运营。原创 2024-03-19 09:17:51 · 97 阅读 · 0 评论 -
数据出境的“境”?
我们常说的“出境”和“跨境”,是指从一个司法管辖区域到另一个司法管辖区域的行为,而其中司法管辖区域是既包括独立主权的国家,也包括具有司法独立主权的地区。※ 中国大陆与香港、澳门、台湾地区分别属于不同的司法管辖区域,当企业将中国大陆境内收集和产生的重要数据和个人信息向香港、澳门、台湾地区传输时,属于数据出境行为。原创 2024-03-18 16:37:45 · 97 阅读 · 0 评论 -
哪些业务行为是否属于数据出境?
国家互联网办公室出台的《数据出境安全评估申报指南(第一版)》明确了“数据出境活动”的定义,即包括三种情况原创 2024-03-18 16:35:32 · 167 阅读 · 0 评论 -
《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》与《《个人信息出境标准合同办法》》的对比
国家互联网信息办公室与香港创新科技及工业局共同制定《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(下称:指引),今天(2023年12月13日)公布并生效。 对比现行的《个人信息出境标准合同办法》(国家互联网信息办公室令第13号),《指引》从数据流动方向、实施范围、数据类型、个人信息保护影响评估、提交备案的材料等方面都有所区别,突出的特点是简化、便捷、高效。原创 2024-03-18 10:35:33 · 293 阅读 · 0 评论 -
个人信息出境标准合同办法、备案指南解读
《个人信息出境标准合同办法》自2023年6月1日起施行。出台《个人信息出境标准合同办法》旨在落实《网络安全法》、《数据安全法》、《个人信息保护法》的规定,保护个人信息权益,规范个人信息出境活动,同时配套出台了《个人信息出境标准合同备案指南(第一版)》。原创 2024-03-18 10:21:47 · 514 阅读 · 0 评论 -
数据出境安全评估办法、申报指南解读
国家互联网信息办公室公布《数据出境安全评估办法》,自2022年9月1日起施行。出台《办法》旨在落实《网络安全法》、《数据安全法》、《个人信息保护法》的规定,规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,切实以安全保发展、以发展促安全。同时配套出台了《数据出境安全评估申报指南(第一版)》。原创 2024-03-18 10:13:35 · 311 阅读 · 0 评论 -
各地省级网信部门受理数据出境安全评估申报、个人信息出境标准合同备案工作的联系方式
各地省级网信部门受理数据出境安全评估申报、个人信息出境标准合同备案工作的联系方式 为了指导和帮助数据处理者规范有序申报数据出境安全评估、备案个人信息出境标准合同,国家网信办将各地省级网信部门接收申报材料、备案材料的办公地址和联系电话公布如下:来源:中央网信办。原创 2024-03-18 10:06:41 · 207 阅读 · 0 评论 -
《个人信息保护法》关于数据出境的条款
第四十二条 境外的组织、个人从事侵害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。确需向境外提供的,应当进行安全评估。原创 2024-03-15 16:34:08 · 865 阅读 · 0 评论 -
《数据安全法》关于数据出境的条款
中,第三十六条:“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。第一,外国司法或者执法机构关于提供数据的请求基础是我国有关法律和我国缔造或者参加的国际条约、协定,或者按照平等互惠原则,明确我国的数据主权地位。》中,第三十一条:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《第一,对于属于关键信息基础设施运营者出境重要数据的管理,适用于《》关于数据出境的条款 《原创 2024-03-15 16:19:57 · 344 阅读 · 0 评论