EN

3 分钟 2022年1月14日

聚能大湾区系列 中国内地数据跨境传输

作者
郑宝玉 Kareena Teh

合伙人

直线︰+852 2629 3207 | 手机︰+852 9661 5325 | kareena.teh@eylaw.com.hk

郭思锋 Philip Kwok

顾问律师

直线︰+852 2675 2160 | 手机︰+852 9661 1806 | philip.kwok@eylaw.com.hk

林子乐 Ken Lam

律师

直线︰+852 3471 2671 | 手机︰+852 9661 9006 | ken.tl.lam@eylaw.com.hk

3 分钟 2022年1月14日
Related topics 最新视野

2021年,中国内地的数据保护制度发生了重大变化。特别是《中华人民共和国数据安全法》(“《数据安全法》”)及《中华人民共和国个人信息保护法》(“《个人信息保护法》”)分别于2021年9月1日及2021年11月1日生效。

些新法律对各组织有深远的影响,尤其对于中国内地经营或向中国内地客户提供产品或服务的组织。 任何组织从中国内地向其他司法管辖区(包括香港)转移数据时,应遵守《数据安全法》及《个人信息保护法》的规定。本文重点介绍于中国内地开展业务及/或与中国内地的组织开展业务应考虑的几个关键问题。

中国内地针对数据出境有哪些主要规定?

中国内地在数据出境方面有一系列的法律法规。主要的法律为《中华人民共和国网络安全法》(“《网络安全法》”)、《数据安全法》及《个人信息保护法》。

根据《数据安全法》,任何关键信息基础设施的运营者于中国内地收集及产生的重要数据的出境,将须遵守《网络安全法》的规定。其他中国内地的数据处理者所收集及产生的重要数据,将须遵守适用的实施办法。

根据《网络安全法》,关键信息基础设施的运营者于中国境内的运营所收集及产生的个人信息及重要数据(广泛定义为与国家安全、经济发展或公共利益密切相关的数据),应当于中国境内存储。如因业务需要向境外提供该等信息及数据,应当按照国家互联网信息办公室(“国家网信办”)与国务院有关部门制定的办法进行安全评估,其他法律、行政法规另有规定除外。

根据《个人信息保护法》,处理个人信息(定义为以电子或其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的数据)的关键信息基础设施的运营者,以及达到国家网信办规定数量的个人信息处理者,应当将中国境内收集及产生的个人信息存储在境内。需要传输该等个人信息到境外的个人信息处理者必须:

  • 通过国家网信办组织的安全评估;
  • 按照国家网信办的规定经专业机构进行个人信息保护认证;
  • 与境外接收方订立标准合同,约定双方的权利和义务;或
  • 遵守法律、行政法规或者国家网信办规定的其他条件。

另外,个人信息处理者亦须取得有关个人的单独同意,并向个人告知接收方的身份及联系方式、处理目的及方式、个人信息的种类以及有关个人的权利。

2021年10月29日,国家网信部门发布了《数据出境安全评估办法(征求意见稿)》(“征求意见稿”)[1],以就《网络安全法》、《数据安全法》及《个人信息保护法》下有关安全评估的要求提供更详细的规定。如征求意见稿一经通过,符合以下其中一项的数据处理者将须在数据出境到中国境外前通过安全评估:

  • 处理关键信息基础设施的运营者所收集及产生的个人信息及重要数据的数据处理者;
  • 向境外提供重要数据的数据处理者;
  • 处理个人信息达到一百万人的个人信息处理者;
  • 累计向境外提供超过十万人以上个人信息,或一万人以上敏感个人信息的数据处理者;
  • 国家网信办规定的其他需要申报数据出境安全评估的情形。

除了上述限制,《数据安全法》及《个人信息保护法》也禁止向外国司法或执法机构提供存储于中国境内的个人信息。《中华人民共和国证券法 (2019修订)》亦同样禁止向境外提供与证券业务活动有关的文件和资料,得到中国证券监督管理委员会同意除外。

哪些行业的数据相对较敏感?

各组织可以从《数据安全法》、《网络安全法》、《个人信息保护法》及其实施办法中获取关于比较敏感的数据类型以及可能拥有该类数据的行业的指引。

《数据安全法》把与国家安全、经济发展、民生或公共利益密切相关的数据定义为国家核心数据(因此需要更严格的保护)。虽然《数据安全法》并没有具体定义重要数据,但其明确要求加强对重要数据的保护。而组织可以参考《数据安全管理办法(征求意见稿)》[2] ,因其将重要数据定义为可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,例如未公开的政府信息及大面积人口、基因健康、地理,及/或矿产资源。

《网络安全法》,连同2021年9月1日起生效的《关键信息基础设施安全保护条例》[3],指明属以下行业的网络运营者为关键信息基础设施的运营者,标志着其所持数据的敏感性:公共通信及信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等[4]行业,以及其他拥有一旦遭到破坏、丧失功能或数据泄露,可能严重危害国家安全、国计民生,及/或公共利益的重要网络设施、信息系统等。

《个人信息保护法》也将某些类型的个人信息确定为敏感个人信息。该等类型包括一旦泄露或非法使用,容易导致自然人的人格尊严受到侵害,或人身、财产安全受到危害的个人信息,例如生物识别、宗教信仰、特定身份、健康及医疗记录、金融账户、行踪轨迹等信息,以及不满十四岁未成年人的个人信息。

组织该如何做好准备?

最近推出的《数据安全法》及《个人信息保护法》,连同《网络安全法》,使中国内地现在拥有一套全面的数据保护制度,以管治在中国内地经营的企业的整个数据周期。各组织应通过实施细则以及执法行动,密切关注法律的实施情况。现时,行业监管机构(亦称为“保护部门”)被授权制定识别关键信息基础设施的实施规则,各组织应密切关注该些实施规则,并评估其业务是否属于关键信息基础设施的分类。此外,各组织,特别是从事跨境业务的组织,必须制定及实施一个全面的数据治理框架,以确保于不断变化的监管环境中保持合规性。

结语

各组织,特别是从事跨境业务的组织,必须熟悉相关监管要求,制定及实施一个全面的数据治理框架,以确保于不断变化的监管环境中保持合规性。

关于本文

作者
郑宝玉 Kareena Teh

合伙人

直线︰+852 2629 3207 | 手机︰+852 9661 5325 | kareena.teh@eylaw.com.hk

郭思锋 Philip Kwok

顾问律师

直线︰+852 2675 2160 | 手机︰+852 9661 1806 | philip.kwok@eylaw.com.hk

林子乐 Ken Lam

律师

直线︰+852 3471 2671 | 手机︰+852 9661 9006 | ken.tl.lam@eylaw.com.hk

Related topics 最新视野