2023-02-26
2023年2月24日,,國家互聯(lián)網(wǎng)信息辦公室公布《個人信息出境標準合同辦法》(以下簡稱《辦法》),,自2023年6月1日起施行,。
《辦法》對通過訂立標準合同的方式開展個人信息出境的活動作出具體制度安排,,細化落實了《個人信息保護法》第三十八條第一款第三項的規(guī)定,?!秱€人信息保護法》對我國個人信息出境管理作出頂層設計,,規(guī)定了國際條約或協(xié)定,、安全評估、個人信息保護認證,、標準合同四種個人信息出境方式,。繼《數(shù)據(jù)出境安全評估辦法》《關于實施個人信息保護認證的公告》對安全評估、個人信息保護認證進行規(guī)范后,,《辦法》成為我國個人信息出境管理制度的重要組成部分,。對于規(guī)范個人信息跨境流動、完善數(shù)據(jù)跨境管理制度和促進數(shù)據(jù)領域國際合作具有重大意義,。
01辦法出臺的目的
當前,,數(shù)字經(jīng)濟蓬勃發(fā)展,數(shù)據(jù)跨境日益頻繁,,各國個人信息跨境流動需求也快速增長,。但由于不同國家和地區(qū)的個人信息保護水平存在差異,個人信息出境的風險日漸凸顯,?!秱€人信息保護法》提供了高水平的個人信息保護標準,標準合同的適用有利于保障境外接收方處理個人信息的活動達到我國《個人信息保護法》規(guī)定的個人信息保護標準,,確保個人信息出境后個人信息主體權益依然受到保護,。
02企業(yè)應該怎么做
2.1 評估法規(guī)適用范圍和情形
《辦法》通過劃定個人信息出境標準合同的適用范圍和情形,有效實現(xiàn)了標準合同和安全評估、個人信息保護認證的制度銜接,,也為后續(xù)出臺有關認證等其他個人信息出境方式的規(guī)則預留了制度接口,。當個人信息處理者選擇通過訂立標準合同的方式向境外提供個人信息時,必須同時符合下列四種情形:
(一)非關鍵信息基礎設施運營者,;
(二)處理個人信息不滿100萬人的,;
(三)自上年1月1日起累計向境外提供個人信息不滿10萬人的;
(四)自上年1月1日起累計向境外提供敏感個人信息不滿1萬人的,。
實際上,,《辦法》給予個人信息處理者選擇權,除必須申報安全評估的情形之外,,個人信息處理者可以結合具體情況選擇訂立標準合同或者其他個人信息出境方式出境,。
2.2 開展個人信息保護影響評估
個人信息處理者向境外提供個人信息前,應當開展個人信息保護影響評估,,重點評估以下內容:
(一)個人信息處理者和境外接收方處理個人信息的目的,、范圍、方式等的合法性,、正當性,、必要性;
(二)出境個人信息的規(guī)模,、范圍,、種類、敏感程度,,個人信息出境可能對個人信息權益帶來的風險,;
(三)境外接收方承諾承擔的義務,以及履行義務的管理和技術措施,、能力等能否保障出境個人信息的安全,;
(四)個人信息出境后遭到篡改、破壞,、泄露,、丟失、非法利用等的風險,,個人信息權益維護的渠道是否通暢等,;
(五)境外接收方所在國家或者地區(qū)的個人信息保護政策和法規(guī)對標準合同履行的影響;
(六)其他可能影響個人信息出境安全的事項,。
2.3 進行標準合同備案
《辦法》規(guī)定個人信息處理者應當在標準合同生效之日起10個工作日內向所在地省級網(wǎng)信部門備案,。備案需提交的材料包括標準合同和個人信息保護影響評估報告。
03違規(guī)面臨的處罰
一方面,,任何組織和個人發(fā)現(xiàn)個人信息處理者違反《辦法》規(guī)定向境外提供個人信息的,,可以向省級以上網(wǎng)信部門舉報。另一方面,,當省級以上網(wǎng)信部門發(fā)現(xiàn)個人信息出境活動存在較大風險或者發(fā)生個人信息安全事件的,,可以依法對個人信息處理者進行約談。個人信息處理者應當按照要求整改,,消除隱患,。此外,還規(guī)定了違反《辦法》規(guī)定的應當依據(jù)《個人信息保護法》等法律法規(guī)處理,,構成犯罪的依法追究刑事責任,。
另外,本辦法施行前已經(jīng)開展的個人信息出境活動,,不符合本辦法規(guī)定的,,應當自本辦法施行之日起6個月內完成整改。
04紅途科技解決方案
辦法自2023年6月1日起執(zhí)行,,因此,,具有個人信息出境需求的企業(yè),亟待在實施之日前,,完成合規(guī)建設,。如何快速高效地完成安全評估和風險自評估工作,避免違規(guī)風險,,成為數(shù)據(jù)處理者的一大關注焦點,。
4.1 企業(yè)面臨的挑戰(zhàn)
(一)如何厘清個人信息資產(chǎn),明確個人信息資產(chǎn)的屬性,、量級,;
(二)如何清楚知道個人信息流轉情況;
(三)如何持續(xù)動態(tài)監(jiān)測個人信息,,及時發(fā)現(xiàn)違規(guī)出境風險,。
4.2 數(shù)據(jù)出境評估及監(jiān)測解決方案
解決企業(yè)個人信息出境的面臨的難題,確保企業(yè)數(shù)據(jù)合規(guī),,需要通過技術手段清楚知道“數(shù)據(jù)有什么,,在哪里,怎么用,,誰在使用,?”作為整個數(shù)據(jù)合規(guī)而言,這是所有環(huán)節(jié)的第一步,。紅途科技的核心技術“全鏈路數(shù)據(jù)流轉追蹤技術”可以厘清數(shù)據(jù)資產(chǎn)以及數(shù)據(jù)流轉全過程,。
紅途科技提供一整套數(shù)據(jù)出境評估及監(jiān)測解決方案,具備以下特色:
(一)個人隱私數(shù)據(jù),、經(jīng)營數(shù)據(jù)和重要數(shù)據(jù)等全類型數(shù)據(jù)識別和分類分級,覆蓋全面,,智能高效,快速完成自評估環(huán)節(jié);
(二)清晰掌握數(shù)據(jù)流轉全過程,。哪些數(shù)據(jù),,哪些人,在什么時間,,什么地點,,如何使用。
(三)針對出境過程實時動態(tài)監(jiān)測,,出境內容自動統(tǒng)計,,方便企業(yè)隨時追蹤出境風險、問題整改等,,打造全流程閉環(huán)數(shù)據(jù)出境風險管控體系,。
_1660204974.png)
系電話_1657091297.png)
_1657090934.png)
