日本一区二区不卡视频,高清成人免费视频,日日碰日日摸,国产精品夜间视频香蕉,免费观看在线黄色网,国产成人97精品免费看片,综合色在线视频

2022年7月21日，中央網絡安全和信息化委員會辦公室（下稱“網信辦”）宣布依據《網絡安全法》、《數據安全法》、《個人信息保護法》以及《行政處罰法》等法律法規對滴滴全球股份有限公司作出網絡安全審查相關行政處罰，對公司處以人民幣80.26億元罰款，占其前一年營收的4.6%，并對其董事長兼CEO程維、總裁柳青各處人民幣100萬元罰款。本次對滴滴的行政處罰無疑是我國《網絡安全法》實施以來開出的“創紀錄”罰單，遠超一年前亞馬遜因違反歐盟GDPR受到的7.43億歐元的處罰，成為全球數據保護領域歷史級最高額罰單。結合滴滴此前赴美上市的背景，業內猜測依法未公開的滴滴的部分違法事實可能與違規數據跨境傳輸有關。可以預見在強監管下，數據跨境傳輸將成為跨國企業和出海企業的數據合規重點。

就在滴滴的處罰結果公示前不久，我國的數據出境規則相繼制定或落地，為企業規范自身數據跨境傳輸活動送來了“及時雨”。2022年7月7日，網信辦發布《數據出境安全評估辦法》（下稱“《評估辦法》”），定于2022年9月1日起正式施行；同時，網信辦于2022年6月30日發布了《個人信息出境標準合同規定（征求意見稿）》（下稱“《標準合同規定》”）及其附件《標準合同》，《評估辦法》與《標準合同規定》互為補集，形成了重要數據與個人信息出境的高低路徑。此外，國家信息安全標準化技術委員會（簡稱“信安標委”）于2022年6月24日發布了《網絡安全標準實踐指南——個人信息跨境處理活動安全認證規范》（下稱“《認證規范》”），為個人信息跨境處理活動安全認證的流程提供了初步依據與參考。

至此，《個人信息保護法》第三十八條所述的個人信息跨境傳輸合規的三條主要路徑規則已大致完備，即（一）通過國家網信部門組織的安全評估；（二）按照國家網信部門的規定經專業機構進行個人信息保護認證；和（三）按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務。

本文旨在通過介紹上述三項數據出境規則的亮點要求，落腳于其所對應的三條數據跨境傳輸合規路徑，并對照企業各業務領域與應用場景進行分析，以期為企業選擇數據跨境傳輸合規路徑提供參考和借鑒。

一、  數據跨境傳輸合規路徑一——申報數據出境安全評估

《評估辦法》正式稿的出臺，標志著歷經三次征求意見后，數據出境安全評估的要求終于得以明確。同時，《評估辦法》將個人信息與重要數據的出境規則合并規定，也標志著2017年以來一度分立的個人信息和重要數據出境規則再次回歸統一監管。

1.1  《評估辦法》的適用范圍

根據《評估辦法》第四條，下述特定數據出境主體或活動，應當采用向企業所在地省級網信部門申報安全評估（不得選擇其他路徑）作為向境外提供數據的合規路徑：

?  向境外提供重要數據：根據《數據安全法》的規定，各地區、各部門應當確定本地區、本部門以及相關行業、領域的重要數據具體目錄。但截至發稿時，相關部門尚未發布該等具體目錄，我們建議企業可先行參考尚在征求意見之中的國家標準《重要數據識別指南》中提出的重要數據識別因素，識別企業自身是否具有重要數據。

?  關鍵信息基礎設施運營者：目前，關鍵信息基礎設施運營者系由相關行業主管部門、監督管理部門進行認定和通知。但企業可以依據《國家網絡安全檢查操作指南》，初步判斷自己是否可能屬于關鍵信息基礎設施運營者，做到未雨綢繆。為此，可參考本團隊于今年二月撰寫的《能源化工領域數據合規不得不關注的事兒-上篇》中所述判斷步驟。

?  處理100萬人以上個人信息的數據處理者：本條與滴滴網絡安全審查啟動后發布的《網絡安全審查辦法》中關于掌握超過100萬用戶個人信息的網絡平臺運營者國外上市，必須申報網絡安全審查的規定相呼應。因此，處理個人信息達到該門檻的網絡平臺運營者赴國外上市可能需同時申報數據出境安全評估與網絡安全審查，而兩者可能在審查要素方面存在重合。

?  自上年1月1日起累計向境外提供10萬人份個人信息或者1萬人份敏感個人信息：該條采用累計計算標準，意味著數據處理者若在最長2年（上年1月1日到今年12月31日）的期限內“多次少量”地進行個人信息出境，也可能需要申報安全評估。

?  國家網信部門規定的其他需要申報數據出境安全評估的情形：該條作為兜底條款，為未來可能產生的其他適用安全評估辦法的情形留下了立法空間，如《網絡數據安全管理條例（征求意見稿）》所規定核心數據的出境。

1.2  申報數據安全評估的“兩步走”流程

《評估辦法》將數據出境風險自評估明確為申報安全評估的前置流程。就評估事項，數據出境風險自評估與數據出境申報安全評估的具體事項大致相同，惟后者多了“境外接收方所在國家或者地區的數據安全保護政策法規和網絡安全環境對出境數據安全的影響；境外接收方的數據保護水平是否達到中華人民共和國法律、行政法規的規定和強制性國家標準的要求；遵守中國法律、行政法規、部門規章情況”等國家安全與數據安全考量因素。

1.3  其他要點

數據出境安全評估的流程較復雜，評估用時可能較長。理論上，無需材料補正與審查時限延長情況下的最長用時為5+7+45=57個工作日，若評估結果為不得出境，另有15個工作日的復評申請期。由于數據出境安全評估的有效期僅為兩年，企業需定期在有效期屆滿60個工作日前，或有效期內出境情況變化時重新申報評估，還意味著企業需定時完成數據出境自評估。

《評估辦法》雖未直接規定處罰，但其罰則直接指向《網絡安全法》、《數據安全法》、《個人信息保護法》等法律法規。綜合上述法律，非法數據出境的責任主體最高可被處以五千萬元以下或者上一年度營業額百分之五以下罰款，并可能被責令暫停相關業務或者停業整頓、吊銷相關業務許可或者吊銷營業執照；直接負責的主管人員和其他直接責任人員可被處十萬元以上一百萬元以下罰款，并可能被禁止在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人?！对u估辦法》一并規定，違反《評估辦法》構成犯罪的，還應依法追究刑事責任。

二、  數據跨境傳輸合規路徑二——完成個人信息跨境處理活動安全認證

《個人信息保護法》第三十八條所規定的個人信息出境第二條合規路徑為個人信息跨境處理活動安全認證。截至目前，網信辦仍未就該條路徑頒布具體的實施細則，但考慮到信安標委為多部信息安全技術領域國家標準的制定方，《認證規范》作為一部標準相關技術文件，對企業仍具有一定的參考價值。

根據《認證規范》，個人信息跨境處理活動安全認證的適用情形相對較狹窄，僅包括跨國公司或者同一經濟、事業實體下屬子公司或關聯公司之間的個人信息跨境處理活動，以及《個人信息保護法》第三條第二款所規定的境外處理境內自然人個人信息的活動。

《認證規范》除明確了個人信息保護認證的部分實體與程序要求之外，還規定個人信息處理者應當符合GB/T 35273《信息安全技術 個人信息安全規范》的要求。但是，受制于其體例與效力層級，個人信息保護認證的具體有權認證機構、程序與要求，仍待網信辦后續進一步發布相關法規予以明晰。

三、  數據跨境傳輸合規路徑三——簽訂標準合同

3.1  適用范圍

簽訂標準合同這一路徑與數據出境安全評估互為補集，前者的條件上限與后者的條件下限能夠完整對應。具體而言，可以將簽訂標準合同作為合規數據出境路徑的個人信息處理者需同時滿足以下條件：

?  非關鍵信息基礎設施運營者

?  處理個人信息不滿100萬人

?  自上年1月1日起累計向境外提供未達到10萬人個人信息

?  自上年1月1日起累計向境外提供未達到1萬人敏感個人信息

如前文所述，《評估辦法》要求企業在進行數據跨境傳輸前進行數據出境風險自評估，與之類似，《標準合同規定》也要求企業在進行個人信息跨境傳輸前進行個人信息保護影響評估，二者雖然不具有相互替代性，但評估事項的內容大體一致，均在《個人信息保護法》第五十六條規定基礎上細化了與數據出境相關的評估要點。

3.2  《標準合同》要點

《標準合同規定》所附的《標準合同》的要點頗多，例如：

?  必備條款：締約雙方應確保《標準合同》包含《標準合同規定》第六條所列的必備條款，以及確保所簽訂的個人信息出境其他相關合同不與《標準合同》相沖突。

?  當地個人信息保護政策法規的影響：《標準合同》采取了較為寬松的表述，要求個人信息處理者和境外接收方均保證，已經經過合理努力仍未獲悉當地的相關政策法規會阻止境外接收方履行本合同規定的義務。

?  爭議解決方式：履行《標準合同》期間若發生爭議的，合同雙方可以選擇中國法院進行訴訟，也可以選擇《紐約公約》成員國的仲裁機構解決糾紛，且未對仲裁地作進一步規定。《標準合同》所提供的境外仲裁選項，將增強境外接收方簽訂《標準合同》的意愿。

3.3  《標準合同》的備案管理

就《標準合同》的備案管理，個人信息處理者應向所在地省級網信部門提交標準合同文本與個人信息保護影響評估報告。值得注意的是，《標準合同規定》并未規定對備案材料進行實質性審查，也未將完成備案作為數據出境的前置步驟。標準合同生效后，個人信息處理者即可開展個人信息出境活動，而備案的時間節點則為標準合同生效之日起10個工作日內。

當然，《標準合同規定》第八條還就締約雙方應當重新簽訂合同并再次履行備案義務的情形進行了列舉，這些情形與安全評估路徑下應當重新申報評估的情形有一定重合。

四、  三條數據跨境傳輸合規路徑之比較

如上文介紹，三條數據跨境傳輸合規路徑的適用范圍均有明確的界限，其不同之處也較為明顯。

4.1  適用范圍

數據出境安全評估路徑的適用范圍為三者中最廣。我國互聯網用戶基數較大，意味著中型互聯網企業和其他領域頭部企業即可達到“100萬人以上個人信息”這一門檻，且重要數據跨境與關鍵信息基礎設施運營者所進行的跨境傳輸活動僅能申報數據出境安全評估。標準合同的適用范圍又廣于安全認證，后者的適用情形較為狹窄、確定。

4.2  流程與時限

安全評估的流程為三者中最復雜，其辦結時限也最長。由于標準合同路徑下的個人信息出境僅以標準合同生效為前置條件，其時限相對最短，為處理個人信息未達到安全評估門檻的企業的最佳選擇。至于安全認證，由于《安全認證規范》多為原則性內容，也非強制性規范，相關認證的流程、時限、具體要求等仍有待更高效力層級的法規文件予以補充規定。

4.3  靈活度

安全評估與簽訂標準合同都具備“一事一議”性，相關法規均規定了有效期內需重新簽訂標準合同或申報安全評估的情形。相較而言，安全認證適于跨國公司或者同一經濟、事業實體下屬子公司或關聯公司之間的個人信息跨境處理活動。由于安全認證具備長效性，在有效期（待相關法規進一步規定）內，若認證事項沒有發生實質性變化，業已取得的安全認證可作為人事、郵件信息交換等連續、高頻率跨境處理活動的合法性基礎，企業無需重復申請認證。

4.4  所需的法律文件要求

三條路徑均對數據處理者與境外接收方之間訂立的法律文件有明確要求，其中簽訂標準合同與安全評估兩條路徑都要求簽訂協議/合同，惟安全評估路徑對文件形式的要求不限于協議，可以為其他具有法律效力的文件。但是，安全評估將對該等文件是否約定數據安全保護責任進行實質審查，故該路徑下法律文件的自由度實際上有限。

協議內容上，簽訂標準合同對于境外接收方接受中國法管轄的規定相較于安全認證較為寬松，后者要求境外接收方承諾接受認證機構監督，并接受中國個人信息保護相關法律、行政法規管轄，而標準合同僅限定合同受中國法管轄，對爭議解決方式的規定也有一定自由度。

五、  結語

《評估辦法》規定了6個月的整改寬限期。在其適用范圍內的企業須在2023年2月28日之前完成整改，時間較為緊迫。由于整個安全評估流程可達兩個月以上，為避免企業在整改寬限期屆滿時，因評估結果未出而面臨無法開展數據出境活動的尷尬局面，我們建議相關企業在2022年12月1日前盡快完成包括自評估在內的自我整改工作，并準備好申報文件，以留出充分的時間向主管機關申報評估。

為在上述時限到來前做到“嚴陣以待”，具體而言，我們建議企業參考如下流程盡快完成對數據出境路徑的審視與選擇：

?  數據梳理、分類分級：包括計算所處理個人信息的主體數量、擬出境個人信息數量是否達到上述“門檻”，以及梳理出可能的重要數據。我們建議企業暫緩可能構成重要數據的數據出境，并等待相關數據目錄的正式發布。

?  可依據“最小必要”原則剔除并非必須出境的數據，以降低出境數據規模。為此，可對非必要出境數據考慮落實數據本地化措施。

?  由于上述事項與個人信息保護影響評估和數據出境自評估的內容有一定重合度，可一并進行個人信息保護影響評估或數據出境自評估。

?  根據初步選定的數據出境路徑，依據相關數據出境規則的要求完成申報材料、標準合同等文件的準備。