一
个人信息出境法律体系
自2016年我国第一部全面规范网络空间安全管理方面问题的基础性法律——《网络安全法》发布以来,数据安全与个人信息保护相关法律不断增加,个人信息出境法律体系逐渐建构起来。
2017年4月,国家互联网办公室发布《个人信息和重要数据出境安全评估办法(征求意见稿)》,作为对《网络安全法》的延伸与补充。
2019年6月,国家互联网办公室发布《个人信息出境安全评估办法(征求意见稿)》
2021年6月,全国人大常委会颁布《数据安全法》,作为数据领域的基础性法律,相较网络安全法,更聚焦于数据活动与安全,其中对《网络安全法》也做了相应的衔接;8月,全国人大常委会颁布《个人信息保护法》,成为首部针对个人信息保护的法律;10月,国家互联网办公室发布《数据出境安全评估办法(征求意见稿)》;11月,国家互联网办公室发布《网络数据安全管理条例(征求意见稿)》
2022年6月,全国信息安全标准化技术委员会发布《网络安全标准实施指南——个人信息跨境处理活动安全认证规范》、国家互联网信息办公室发布《个人信息出境标准合同规定(征求意见稿)》;7月,国家互联网办公室发布《数据出境安全评估办法》,旨在落实前述有关个人信息出境的法律。
除了《网络安全法》、《数据安全法》、《个人信息保护法》三部法律以外,其他部门规章和行政法规均为该三部法律的配套性实施措施。
二
个人信息出境流程梳理
当企业存在个人信息跨境处理活动时,应当通过以下三步进行数据出境合规:
第一步
按照《个人信息保护法》第五十五、五十六条的规定开展个人信息保护影响评估,并且告知个人信息主体并取得同意。
第二步
判断是否属于《数据出境安全评估办法》第四条规定的情形:
①数据处理者向境外提供重要数据;
②关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
③自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
第三步
1.不属于《数据出境安全评估办法》第四条规定的情形
①需要按照国家网信部门制定的标准合同与境外接收方订立合同,参考《个人信息出境标准合同规定(征求意见稿)》
②或按照国家网信部门的规定经专业机构进行个人信息保护认证,即《信息安全技术 个人信息安全规范》和《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》。
2.属于《数据出境安全评估办法》第四条规定的情形
企业需要同境外接收方签订合同或其他法律文件、开展数据出境风险自评估并出具数据出境风险自评估报告,以上个人信息保护影响评估报告、数据出境风险自评估报告、与境外接收方签订的法律文件均作为最终申报数据出境安全评估的材料。
三
个人信息出境合规提示
1
时限提示
(1)《数据出境安全评估办法》第二十条规定:“本办法施行前已经开展的数据出境活动,不符合本办法规定的,应当自本办法施行之日起6个月内完成整改。”所以2022年9月1日前存在《数据出境安全评估办法》第四条规定的数据出境活动的企业,应当于2023年3月1日前完成整改(订立标准合同/完成个人信息保护认证/申报数据出境安全评估)
(2)根据《数据出境安全评估办法》第十四条的规定,数据出境安全评估结果的有效期为2年,企业需要每2年申报一次。
2
具体操作提示
通过以上梳理,我们可以看出,目前存在个人信息出境活动的企业有三种路径进行合规化,即①按照国家网信部门制定的标准合同与境外接收方订立合同;②按照国家网信部门的规定经专业机构进行个人信息保护认证;③通过国家网信部门组织的安全评估。
截止本文发布前,路径①中标准合同尚未制定完成,《个人信息出境标准合同规定》处于征求意见稿阶段;路径②中的“专业机构”尚未明确,其中的规范《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》将对存在个人信息跨境处理活动的企业在a.有法律约束力的协议;b.组织管理;c.个人信息跨境处理规则;d.个人信息保护影响评估,几个方面进行认证;路径③中申报数据出境安全评估时需要向网信部门提交申报书、数据出境风险自评估报告、数据处理者与境外接收方拟订立的法律文件以及安全评估工作需要的其他材料。
也就是说,个人信息出境法律体系仍在构建阶段,部分法规尚未正式出台,相关生效法规的具体操作方法也未完全明确。在此大局未定阶段,企业如何依据已生效的法律法规进行最大程度的个人信息出境合规管理?
首先,开展个人信息保护影响评估。根据《个人信息保护法》,只要存在个人信息跨境处理活动,企业就需要开展个人信息保护影响评估;
其次,与境外接收方订立有法律约束力的文件。无论企业最终通过以上三条路径中的哪一条进行个人信息跨境处理合规化,均需与境外接收方订立有法律约束力的文件。该法律约束力的文件目前可以参考还未生效的《个人信息出境标准合同规定》和已生效的《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》。
最后,若企业的数据跨境处理活动属于《数据出境安全评估办法》第四条规定的情形,则申报数据出境安全评估。
*以上所刊登的文章仅代表作者本人观点,不代表隆安律师事务所或其律师出具的任何形式之法律意见或建议。如需转载或引用该等文章的任何内容,请私信沟通授权事宜。未经作者本人书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与作者联系。
陆高杰
北京市隆安(上海)律师事务所律师
邮箱:shanghai@longanlaw.com
地址:上海市徐汇区虹桥路1号港汇恒隆广场办公楼1座11层
邵阳刑事刑法律师事务所(www.tieqiaolawyer.com/falvfatiao)提供邵阳市刑事刑法24小时在线免费咨询
从撤诉来看,对于离婚诉讼撤诉的起始时间存在几个误
2024/12/18 14虚拟资产在香港:证监会就新出台的VASP制度...
2024/12/18 13国家征用土地要做哪些补偿?
2024/12/18 15古某执行异议案
2024/12/18 15律协招投标与拍卖委员会主任薛起堂律师加盟惠诚
2024/12/18 13俄罗斯总统普京签署总统令强制结汇并限制外汇出境
2024/12/18 15从路虎专利无效事件看“使用公开”
2024/12/18 17中华人民共和国仲裁法(2017修正)
2024/12/18 16夫妻双方同意将登记在一方名下的共同财产分割给另一
2024/12/18 14李玉前“杀妻灭子案”22年后迎来第6次开庭审理,同案疑凶...
2024/12/18 16最高人民法院关于审理涉及夫妻债务纠纷案件 适用...
2024/12/18 16购买的小产权房遇到拆迁,能不能得到拆迁补偿?
2024/12/18 16国际协调视角下我国去中心化临床试验实践(...
2024/12/18 15赵倩南、蔡美娟:险资私募股权基金合规要点与法律风险
2024/12/18 17