91精品国产99久久久久久红楼,欧美高清另类,欧美日韩中文在线观看,久久激情精品,91视频导航,亚洲欧美日韩一级,巨人精品福利官方导航

  一、  前言

隨著全球數(shù)字化程度的不斷加深，越來越多的企業(yè)涉足數(shù)字產(chǎn)業(yè)，數(shù)據(jù)的跨境流動已成為經(jīng)濟活動中不可或缺的部分，世界各國也越來越重視本國的數(shù)據(jù)安全，數(shù)據(jù)跨境法律監(jiān)管制度作為維護數(shù)據(jù)安全的重要一環(huán)也變得愈加重要，我國也在其中之列。2022年7月7日，國家網(wǎng)信辦正式發(fā)布《數(shù)據(jù)出境安全評估辦法》（國家互聯(lián)網(wǎng)信息辦公室令第11號，“《安全評估辦法》”），該安全評估辦法于2022年9月1日起正式施行。2023年2月24日，國家網(wǎng)信辦正式發(fā)布《個人信息出境標準合同辦法》及《個人信息出境標準合同》，該《標準合同辦法》于2023年6月1日正式施行，這就標志著《個人信息保護法》第38條所規(guī)定的個人信息出境三大路徑已基本明晰。2023年9月28日，國家互聯(lián)網(wǎng)信息辦公室又就《規(guī)范和促進數(shù)據(jù)跨境流動規(guī)定（征求意見稿）》公開征求意見，數(shù)據(jù)跨境流動的各類規(guī)范越來越有所完善。

二、  數(shù)據(jù)出境活動

1.  數(shù)據(jù)出境活動類型

數(shù)據(jù)跨境流動的活動類型多種多樣，數(shù)據(jù)出境出境活動主要包括兩類，第一類是數(shù)據(jù)處理者將在境內(nèi)運營中收集和產(chǎn)生的數(shù)據(jù)通過各種方式傳輸、存儲至境外。如境內(nèi)企業(yè)使用境外供應商以及境內(nèi)企業(yè)將數(shù)據(jù)上傳境外的云存儲空間供自己使用等情況。即便是境內(nèi)企業(yè)將數(shù)據(jù)傳輸至境外供自己使用的，由于該部分數(shù)據(jù)已存儲至境外，存在著境外云服務商或境外政府調(diào)取的風險，該種數(shù)據(jù)出境行為仍然需要受到監(jiān)管。第二類則是數(shù)據(jù)處理者將其境內(nèi)數(shù)據(jù)庫對外開放，使得境外的機構、組織、個人能夠?qū)?shù)據(jù)進行查詢、調(diào)取、下載、導出的操作。如外資企業(yè)的信息技術團隊部署在境外，外資企業(yè)能夠通過互聯(lián)網(wǎng)訪問并處理境內(nèi)服務器上存儲的數(shù)據(jù)以提供服務。

2.  非數(shù)據(jù)出境行為

一些數(shù)據(jù)跨境流動并不屬于數(shù)據(jù)出境。如將非境內(nèi)收集和產(chǎn)生的數(shù)據(jù)傳輸至境外，且該部分數(shù)據(jù)并未經(jīng)過任何變動或加工，則這并不屬于數(shù)據(jù)出境行為，而是數(shù)據(jù)過境。另外，如將在境內(nèi)存儲的不是在中國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)傳輸至境外，雖然此種情況存在部分加工行為，但由于未涉及到中國個人信息和重要數(shù)據(jù)，不屬于數(shù)據(jù)出境。

2023年9月28日，國家網(wǎng)信辦發(fā)布的《規(guī)范和促進數(shù)據(jù)跨境流動規(guī)定（征求意見稿）》進一步列舉了不需要“申報數(shù)據(jù)出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證”的具體條件：

（一）國際貿(mào)易、學術合作、跨國生產(chǎn)制造和市場營銷等活動中產(chǎn)生的數(shù)據(jù)出境，不包含個人信息或者重要數(shù)據(jù)的。

（二）未被相關部門、地區(qū)告知或者公開發(fā)布為重要數(shù)據(jù)的。

（三）不是在境內(nèi)收集產(chǎn)生的個人信息向境外提供。

（四）為訂立、履行個人作為一方當事人的合同所必需，如跨境購物、跨境匯款、機票酒店預訂、簽證辦理等，必須向境外提供個人信息的；

（五）按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理，必須向境外提供內(nèi)部員工個人信息的；

（六）緊急情況下為保護自然人的生命健康和財產(chǎn)安全等，必須向境外提供個人信息的。

綜上，部分數(shù)據(jù)跨境行為由于對國家、社會或者個人的利益影響較大故需受到國家監(jiān)管，而這部分受到監(jiān)管的數(shù)據(jù)出境活動將須依法依規(guī)出境，以便國家對此進行監(jiān)管，否則將會遭受嚴厲的行政處罰。

 

三、  個人信息出境三大路徑

對于境內(nèi)企業(yè)進行個人信息出境活動的合規(guī)方式，《中華人民共和國個人信息保護法》第三十八條明給出了數(shù)據(jù)出境安全評估、個人信息保護認證以及與境外接收方訂立標準合同三大路徑。

（一） 數(shù)據(jù)出境安全評估：

指對于關鍵信息基礎設施運營者和處理個人信息達到規(guī)定數(shù)量的個人信息處理者向境外提供在中國境內(nèi)收集和產(chǎn)生的個人信息，應當通過所在地省級網(wǎng)信部門申報并通過國家網(wǎng)信辦組織的安全評估。

數(shù)據(jù)出境安全評估主要是基于保障國家安全和公共利益考慮的數(shù)據(jù)跨境安全監(jiān)管機制，適用于出境數(shù)據(jù)規(guī)模大、數(shù)據(jù)類型特殊或數(shù)據(jù)處理者身份特殊的場景。

數(shù)據(jù)出境安全評估的適用條件:(1) 出境數(shù)據(jù)中含有重要數(shù)據(jù);(2) 數(shù)據(jù)據(jù)處理者為關鍵信息基礎設施運營者（簡稱“CIIO”）;(3) 數(shù)據(jù)處理者為處理100萬人以上個人信息的數(shù)據(jù)處理者;(4) 自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數(shù)據(jù)處理者。

（二） 個人信息保護認證：

指希望通過獲得認證來開展跨境處理活動的個人信息處理者，需要在符合GB/T 35273《信息安全技術 個人信息安全規(guī)范》的基礎上，滿足TC260-PG-20222A《個人信息跨境處理活動安全認證規(guī)范》的要求。

個人信息保護認證機制更適用于股權關聯(lián)企業(yè)或業(yè)務關聯(lián)企業(yè)，也即集團公司或關聯(lián)公司之間存在長期頻繁、多方之間的數(shù)據(jù)傳輸場景，中國網(wǎng)絡安全審查技術與認證中心是目前明確的官方認證機構。

（三） 個人信息出境標準合同備案：

指滿足特定條件的境內(nèi)企業(yè)可以通過與境外接收方共同簽訂標準合同并向所在地的省級網(wǎng)信部門備案的方式向境外提供個人信息。

個人信息出境標準合同是基礎性個人信息出境的機制，適用范圍最廣，通過標準合同簽署生效加備案即可。標準合同是跟大多數(shù)企業(yè)最相關、最基礎和最常用的跨境機制。

個人信息出境標準合同備案的適用條件:非關鍵信息基礎設施運營者、處理個人信息不滿100萬人、自上年1月1日起累計向境外提供個人信息不滿10萬人、自上年1月1日起累計向境外提供敏感個人信息不滿1萬人。

另外，根據(jù)國家網(wǎng)信辦于2023年9月28日發(fā)布的《規(guī)范和促進數(shù)據(jù)跨境流動規(guī)定（征求意見稿）規(guī)定，預計一年內(nèi)向境外提供不滿1萬人個人信息的，不需要申報數(shù)據(jù)出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。但是，基于個人同意向境外提供個人信息的，應當取得個人信息主體同意。如該數(shù)據(jù)跨境流動規(guī)定通過，無疑有利于減輕企業(yè)的數(shù)據(jù)出境合規(guī)壓力。

四、  個人信息出境標準合同備案落地方案解析

（一） 出境數(shù)據(jù)及出境場景的設別

   數(shù)據(jù)出境企業(yè)在對自身企業(yè)數(shù)據(jù)情況做評估時應就個人信息安全管理能力與個人信息安全技術能力做整體評估，而不是僅就數(shù)據(jù)出境保護能力進行評估。故數(shù)據(jù)出境企業(yè)應對其整體業(yè)務數(shù)據(jù)做梳理及評估，以便準確設別出境數(shù)據(jù)類型及出境場景，進行評估是否需要“申報數(shù)據(jù)出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證”或評估匹配適用哪種出境路徑。

（二） 個人信息保護影響評估

該環(huán)節(jié)并非標準合同備案的獨有的要求，依據(jù)《中華人民共和國個人信息保護法》第五十五條，個人信息處理者向境外提供個人信息都應當事前進行個人信息保護影響評估。

如前所述，企業(yè)在開展個人信息保護影響評估時需要全面梳理企業(yè)業(yè)務場景及全盤數(shù)據(jù)，為更清晰地梳理各個流程涉及的數(shù)據(jù)類型，可通過業(yè)務交易流程圖的方式將業(yè)務的各個條線展示出來。在梳理了各個業(yè)務可能涉及的數(shù)據(jù)類型后，通過數(shù)據(jù)流轉(zhuǎn)圖的方式展示企業(yè)各類數(shù)據(jù)的合規(guī)及流轉(zhuǎn)現(xiàn)狀，比如某業(yè)務流程中公司收集的數(shù)據(jù)是否依法進行了匿名化處理、是否履行了告知同意義務或進行了分類分級處理等等，進而通過分析數(shù)據(jù)合規(guī)現(xiàn)狀對《個人信息出境標準合同》第2條第8項明確的評估內(nèi)容進行評估，并給出能夠落實的整改措施，為后期評估報告的出具提供有力依據(jù)。

個人信息保護影響評估報告的內(nèi)容應當包括個人信息的處理目的與合法性基礎、對個人權益的影響及安全風險大??；安全保護措施是否合法有效這三部分內(nèi)容。評估報告的結(jié)構、內(nèi)容、顆粒度可以參考國家網(wǎng)信辦發(fā)布的《個人信息保護影響評估報告（模板）》。

（三） 簽署標準合同

標準合同并非完全不能調(diào)整，但合同正文是不得變更的，合同附件二雖能夠進行調(diào)整但調(diào)整后的內(nèi)容不得與合同正文相沖突。因此，個人信息處理者及境外接收方可以對出境活動的具體細節(jié)、聯(lián)系方式、境外接收方采取的保護措施、爭議解決等事項進行磋商并調(diào)整標準合同。

值得注意的是，可以在進行個人信息保護影響評估的時候就著手與境外接收方對標準合同文本進行討論，以便境外接收方能夠提前熟悉標準合同內(nèi)容并就標準合同內(nèi)容的簽署爭取境外接收方的認同。

（四） 提交備案

在數(shù)據(jù)出境企業(yè)與境外接收方簽署標準合同且在標準合同生效之日起的10日內(nèi)，個人信息處理者應向其所在的省級網(wǎng)信部門提供標準合同及個人信息保護影響評估報告進行備案。企業(yè)須確保提交的材料的準確性、真實性與一致性。值得注意的是，應確保備案主體與標準合同簽訂的主體一致，且不同地區(qū)的關聯(lián)主體原則上應獨立向?qū)俚鼐W(wǎng)信部門辦理標準合同備案。

五、  合規(guī)建議

（一）建立數(shù)據(jù)分類分級制度

企業(yè)應建立數(shù)據(jù)分類分級制度，便于提升數(shù)據(jù)資產(chǎn)梳理效率，提升數(shù)據(jù)資產(chǎn)管理的合規(guī)程度。具體來講，評估定級需要根據(jù)數(shù)據(jù)的影響程度進行分析，從高到低對數(shù)據(jù)進行定級。影響程度是指數(shù)據(jù)如遭遇泄露、篡改等破壞行為時可能會產(chǎn)生的負面影響程度。

通過影響對象“國家合法權益、社會公共利益、個人合法權益”、影響廣度“超大范圍、較大范圍、較小范圍”兩個因素可以確定影響程度。例如，影響程度認定為特別嚴重危害的數(shù)據(jù)可設定為三級數(shù)據(jù)，而影響程度為一般危害的數(shù)據(jù)可設定為一級數(shù)據(jù)。以金融行業(yè)為例，C3級別的信息為銀行賬號及交易密碼、C2級別是登錄名、短信驗證碼、密碼提示答案及交易流水、C1級別是賬戶的開立時間及開立機構。

（二）建立數(shù)據(jù)出境和個人信息保護方面的管理機制

《標準合同備案指南》規(guī)定，個人信息出境企業(yè)需證明其已建立符合中國法律要求的個人信息保護合規(guī)體系，該體系包括個人信息安全管理能力、個人信息安全技術能力、個人信息保護措施有效性等方面。因此，未系統(tǒng)性開展合規(guī)整改的企業(yè)應當全面建立符合中國法律要求的個人信息保護合規(guī)體系，才可以符合對PIA報告的填寫及后續(xù)監(jiān)管。企業(yè)應從制度層面、安全技術措施層面、管理流程層面著手建立彬完善個人信息保護合規(guī)體系。

具體來講，企業(yè)應建立數(shù)據(jù)安全生命周期管理（比如數(shù)據(jù)資產(chǎn)管理、數(shù)據(jù)采集安全管理等），設立數(shù)據(jù)安全負責人或管理機構，同時企業(yè)內(nèi)部應制定數(shù)據(jù)安全管理制度以及優(yōu)化跨境傳輸過程中所涉各類協(xié)議文本（隱私政策、用戶協(xié)議、數(shù)據(jù)共享協(xié)議、數(shù)據(jù)委托處理協(xié)議等），并定期進行數(shù)據(jù)安全評估，另外還需定期加強對企業(yè)人員的合規(guī)培訓，加強企業(yè)人員合規(guī)意識。

綜上，企業(yè)應以積極的心態(tài)擁抱合規(guī)，盡快開展相關準備工作，將不確定因素帶來的不利影響最小化。