日本一区二区不卡视频,高清成人免费视频,日日碰日日摸,国产精品夜间视频香蕉,免费观看在线黄色网,国产成人97精品免费看片,综合色在线视频

  一、  前言

隨著全球數字化程度的不斷加深，越來越多的企業涉足數字產業，數據的跨境流動已成為經濟活動中不可或缺的部分，世界各國也越來越重視本國的數據安全，數據跨境法律監管制度作為維護數據安全的重要一環也變得愈加重要，我國也在其中之列。2022年7月7日，國家網信辦正式發布《數據出境安全評估辦法》（國家互聯網信息辦公室令第11號，“《安全評估辦法》”），該安全評估辦法于2022年9月1日起正式施行。2023年2月24日，國家網信辦正式發布《個人信息出境標準合同辦法》及《個人信息出境標準合同》，該《標準合同辦法》于2023年6月1日正式施行，這就標志著《個人信息保護法》第38條所規定的個人信息出境三大路徑已基本明晰。2023年9月28日，國家互聯網信息辦公室又就《規范和促進數據跨境流動規定（征求意見稿）》公開征求意見，數據跨境流動的各類規范越來越有所完善。

二、  數據出境活動

1.  數據出境活動類型

數據跨境流動的活動類型多種多樣，數據出境出境活動主要包括兩類，第一類是數據處理者將在境內運營中收集和產生的數據通過各種方式傳輸、存儲至境外。如境內企業使用境外供應商以及境內企業將數據上傳境外的云存儲空間供自己使用等情況。即便是境內企業將數據傳輸至境外供自己使用的，由于該部分數據已存儲至境外，存在著境外云服務商或境外政府調取的風險，該種數據出境行為仍然需要受到監管。第二類則是數據處理者將其境內數據庫對外開放，使得境外的機構、組織、個人能夠對數據進行查詢、調取、下載、導出的操作。如外資企業的信息技術團隊部署在境外，外資企業能夠通過互聯網訪問并處理境內服務器上存儲的數據以提供服務。

2.  非數據出境行為

一些數據跨境流動并不屬于數據出境。如將非境內收集和產生的數據傳輸至境外，且該部分數據并未經過任何變動或加工，則這并不屬于數據出境行為，而是數據過境。另外，如將在境內存儲的不是在中國境內運營中收集和產生的個人信息和重要數據傳輸至境外，雖然此種情況存在部分加工行為，但由于未涉及到中國個人信息和重要數據，不屬于數據出境。

2023年9月28日，國家網信辦發布的《規范和促進數據跨境流動規定（征求意見稿）》進一步列舉了不需要“申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證”的具體條件：

（一）國際貿易、學術合作、跨國生產制造和市場營銷等活動中產生的數據出境，不包含個人信息或者重要數據的。

（二）未被相關部門、地區告知或者公開發布為重要數據的。

（三）不是在境內收集產生的個人信息向境外提供。

（四）為訂立、履行個人作為一方當事人的合同所必需，如跨境購物、跨境匯款、機票酒店預訂、簽證辦理等，必須向境外提供個人信息的；

（五）按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理，必須向境外提供內部員工個人信息的；

（六）緊急情況下為保護自然人的生命健康和財產安全等，必須向境外提供個人信息的。

綜上，部分數據跨境行為由于對國家、社會或者個人的利益影響較大故需受到國家監管，而這部分受到監管的數據出境活動將須依法依規出境，以便國家對此進行監管，否則將會遭受嚴厲的行政處罰。

 

三、  個人信息出境三大路徑

對于境內企業進行個人信息出境活動的合規方式，《中華人民共和國個人信息保護法》第三十八條明給出了數據出境安全評估、個人信息保護認證以及與境外接收方訂立標準合同三大路徑。

（一） 數據出境安全評估：

指對于關鍵信息基礎設施運營者和處理個人信息達到規定數量的個人信息處理者向境外提供在中國境內收集和產生的個人信息，應當通過所在地省級網信部門申報并通過國家網信辦組織的安全評估。

數據出境安全評估主要是基于保障國家安全和公共利益考慮的數據跨境安全監管機制，適用于出境數據規模大、數據類型特殊或數據處理者身份特殊的場景。

數據出境安全評估的適用條件:(1) 出境數據中含有重要數據;(2) 數據據處理者為關鍵信息基礎設施運營者（簡稱“CIIO”）;(3) 數據處理者為處理100萬人以上個人信息的數據處理者;(4) 自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者。

（二） 個人信息保護認證：

指希望通過獲得認證來開展跨境處理活動的個人信息處理者，需要在符合GB/T 35273《信息安全技術 個人信息安全規范》的基礎上，滿足TC260-PG-20222A《個人信息跨境處理活動安全認證規范》的要求。

個人信息保護認證機制更適用于股權關聯企業或業務關聯企業，也即集團公司或關聯公司之間存在長期頻繁、多方之間的數據傳輸場景，中國網絡安全審查技術與認證中心是目前明確的官方認證機構。

（三） 個人信息出境標準合同備案：

指滿足特定條件的境內企業可以通過與境外接收方共同簽訂標準合同并向所在地的省級網信部門備案的方式向境外提供個人信息。

個人信息出境標準合同是基礎性個人信息出境的機制，適用范圍最廣，通過標準合同簽署生效加備案即可。標準合同是跟大多數企業最相關、最基礎和最常用的跨境機制。

個人信息出境標準合同備案的適用條件:非關鍵信息基礎設施運營者、處理個人信息不滿100萬人、自上年1月1日起累計向境外提供個人信息不滿10萬人、自上年1月1日起累計向境外提供敏感個人信息不滿1萬人。

另外，根據國家網信辦于2023年9月28日發布的《規范和促進數據跨境流動規定（征求意見稿）規定，預計一年內向境外提供不滿1萬人個人信息的，不需要申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。但是，基于個人同意向境外提供個人信息的，應當取得個人信息主體同意。如該數據跨境流動規定通過，無疑有利于減輕企業的數據出境合規壓力。

四、  個人信息出境標準合同備案落地方案解析

（一） 出境數據及出境場景的設別

   數據出境企業在對自身企業數據情況做評估時應就個人信息安全管理能力與個人信息安全技術能力做整體評估，而不是僅就數據出境保護能力進行評估。故數據出境企業應對其整體業務數據做梳理及評估，以便準確設別出境數據類型及出境場景，進行評估是否需要“申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證”或評估匹配適用哪種出境路徑。

（二） 個人信息保護影響評估

該環節并非標準合同備案的獨有的要求，依據《中華人民共和國個人信息保護法》第五十五條，個人信息處理者向境外提供個人信息都應當事前進行個人信息保護影響評估。

如前所述，企業在開展個人信息保護影響評估時需要全面梳理企業業務場景及全盤數據，為更清晰地梳理各個流程涉及的數據類型，可通過業務交易流程圖的方式將業務的各個條線展示出來。在梳理了各個業務可能涉及的數據類型后，通過數據流轉圖的方式展示企業各類數據的合規及流轉現狀，比如某業務流程中公司收集的數據是否依法進行了匿名化處理、是否履行了告知同意義務或進行了分類分級處理等等，進而通過分析數據合規現狀對《個人信息出境標準合同》第2條第8項明確的評估內容進行評估，并給出能夠落實的整改措施，為后期評估報告的出具提供有力依據。

個人信息保護影響評估報告的內容應當包括個人信息的處理目的與合法性基礎、對個人權益的影響及安全風險大?。话踩Ｗo措施是否合法有效這三部分內容。評估報告的結構、內容、顆粒度可以參考國家網信辦發布的《個人信息保護影響評估報告（模板）》。

（三） 簽署標準合同

標準合同并非完全不能調整，但合同正文是不得變更的，合同附件二雖能夠進行調整但調整后的內容不得與合同正文相沖突。因此，個人信息處理者及境外接收方可以對出境活動的具體細節、聯系方式、境外接收方采取的保護措施、爭議解決等事項進行磋商并調整標準合同。

值得注意的是，可以在進行個人信息保護影響評估的時候就著手與境外接收方對標準合同文本進行討論，以便境外接收方能夠提前熟悉標準合同內容并就標準合同內容的簽署爭取境外接收方的認同。

（四） 提交備案

在數據出境企業與境外接收方簽署標準合同且在標準合同生效之日起的10日內，個人信息處理者應向其所在的省級網信部門提供標準合同及個人信息保護影響評估報告進行備案。企業須確保提交的材料的準確性、真實性與一致性。值得注意的是，應確保備案主體與標準合同簽訂的主體一致，且不同地區的關聯主體原則上應獨立向屬地網信部門辦理標準合同備案。

五、  合規建議

（一）建立數據分類分級制度

企業應建立數據分類分級制度，便于提升數據資產梳理效率，提升數據資產管理的合規程度。具體來講，評估定級需要根據數據的影響程度進行分析，從高到低對數據進行定級。影響程度是指數據如遭遇泄露、篡改等破壞行為時可能會產生的負面影響程度。

通過影響對象“國家合法權益、社會公共利益、個人合法權益”、影響廣度“超大范圍、較大范圍、較小范圍”兩個因素可以確定影響程度。例如，影響程度認定為特別嚴重危害的數據可設定為三級數據，而影響程度為一般危害的數據可設定為一級數據。以金融行業為例，C3級別的信息為銀行賬號及交易密碼、C2級別是登錄名、短信驗證碼、密碼提示答案及交易流水、C1級別是賬戶的開立時間及開立機構。

（二）建立數據出境和個人信息保護方面的管理機制

《標準合同備案指南》規定，個人信息出境企業需證明其已建立符合中國法律要求的個人信息保護合規體系，該體系包括個人信息安全管理能力、個人信息安全技術能力、個人信息保護措施有效性等方面。因此，未系統性開展合規整改的企業應當全面建立符合中國法律要求的個人信息保護合規體系，才可以符合對PIA報告的填寫及后續監管。企業應從制度層面、安全技術措施層面、管理流程層面著手建立彬完善個人信息保護合規體系。

具體來講，企業應建立數據安全生命周期管理（比如數據資產管理、數據采集安全管理等），設立數據安全負責人或管理機構，同時企業內部應制定數據安全管理制度以及優化跨境傳輸過程中所涉各類協議文本（隱私政策、用戶協議、數據共享協議、數據委托處理協議等），并定期進行數據安全評估，另外還需定期加強對企業人員的合規培訓，加強企業人員合規意識。

綜上，企業應以積極的心態擁抱合規，盡快開展相關準備工作，將不確定因素帶來的不利影響最小化。