_($0PXQFQ7Y(P~4838LJ_]L.png

管理培训搜索
18318889481 17875936848

合规
| 合规与政府管制

支付清算 监察稽核 机构合规 网络套路贷 稽察稽核 矿业法务 纪检监察 行政合规 巡视巡察 党风廉政 医药反腐 行政监督 党内法规

| 企业合规

消费者安全 数据安全审计 企业合规师 备案登记 劳动用工合规管理 知识产权合规 个人信息与隐私权保护 企业廉洁合规 经营合规 风险提示与预警信息 IPO合规 安全生产合规管理 企业合规典型案例 合同合规管理 企业合规实务 企业数据合规 企业刑事合规

| 网络安全与隐私保护

网络犯罪 人工智能合规 网络安全 新基建安全资讯 保密科技 数据合规 元宇宙合规 数字合规 网络与数据法学 电信网络诈骗 区块链合规 信息与网络安全 网络不正当竞争 数字贸易合规 数据出境合规 互联网合规

| 法证会计与反舞弊

法证会计 涉案企业合规 调查及法证会计 舞弊审计 金融科技合规 司法会计 价格舞弊

| 反洗钱与制裁合规

反洗钱知识系列宣传 经济制裁和出口管制 反洗钱中心

| 反垄断中心

反垄断合规 竞争法(反不正当竞争、反垄断)

| 企业合规管理咨询

上市公司合规管理 税务合规 企业合规管理 商业秘密 财务合规 商业合规 内控资讯 合同法律 信息披露风险 公司法实务 人力资源合规 信用规制 知识产权合规 合规尽职调查 内控稽查 内部控制和风险管理合规 会计监管风险 税务异常处理 税务检查应对

| 合规中心

征信合规 涉税合规 经济犯罪案例 合规文化主题月 劳动与人力资源合规 合规运行报告 网络直播合规 信用合规 刑事合规管理 工程合规与舞弊调查 涉案企业合规 安全审计 合规科技 劳务派遣合规 采购合规 财务风控 招投标合规

| 转创全球企业合规

国际注册合规师 公司治理与公司合规 全球金融监管动态月刊 境外合规专项行动 国企合规 反不正当竞争合规管理 出口退税合规风险 全球反垄断 全球企业合规事务 国际监管合规服务 进出口管制和贸易制裁 境外投资和“一带一路” 跨境投资和经营合规 知识产权内部控制 商业贿赂 外汇合规 合规与诚信

| 合规律师事务所

企业法务 涉外企业合规 合同内控 反腐败合规 不正当接触 泄露公司机密罪 合规法务 刑事合规 贪污贿赂 科技法律 信披违规 企业刑事风险防控及刑事合规 法律风险管理 洗钱犯罪

| 金融安全与合规

证券合规 银行合规 金融犯罪合规 保险合规 金融消费者保护 银保监督 私募合规 互联网金融合规 银行合规资讯 投融资合规 支付 银行合规综合 金融安全 信托合规 担保合规 金融合规 信用合规 股权合规 内保外贷合规 外汇合规 保理合规

| 海关及全球贸易合规

海关及贸易合规 农食产品技术贸易 国际经贸预警 国际商事认证 出口管制 海关税收征管 走私罚罪研究 出口退税行政诉讼 跨境电商合规 AEO海关认证 出口骗税 外贸企业合规 全球贸易规则

| ESG合规
| 反欺诈中心

反欺诈实践 反欺诈反冒领专栏 欺诈调查

| 合规中心(产业)

医药合规 环保合规 医美合规 生态环境合规专题 教育合规

| 知识产权合规专题

知识产权合规 知产纠纷调解案例 知识产权确权

| 私募股权基金合规

私募投资基金 融资合规 基金合规

| 除签订标准合同外,数据出境还有哪些路径?当前您所在的位置:首页 > 合规 > 网络安全与隐私保护 > 数据出境合规

Q1、什么情况下数据跨境传输需要进行安全评估?

  根据《数据出境安全评估办法》,若拟进行的数据跨境传输存在下列任一情形,企业必须开展安全评估,且不得选择其他另外两种途径:

  (1)向境外提供重要数据;

  (2)关键信息基础设施运营者向境外传输数据;

  (3)处理100万人以上个人信息的数据处理者向境外传输数据;

  (4)在从上年1月1日到今年12月31日的期限内累计向境外提供10万人个人信息或者1万人敏感个人信息。

  Q2、安全评估的流程是怎样的?

  安全评估可大致分为三个步骤。第一步是企业开展自评估;第二步是向企业所在地省级网信部门申报安全评估,并由省级网信部门完成材料完备性查验;第三步由省级网信部门将申报材料报送国家网信部门审核,由后者进行正式的安全评估。虽然自评估和正式安全评估的评估内容大致相同,在正式申报安全评估时,申报企业还需要额外提交信息,例如数据接收方的数据保护水平等等。

  总体来说,安全评估全流程细节繁多、较为复杂,我们强烈建议企业向专业律师寻求帮助来完成。

  Q3、安全评估需要多长时间?

  安全评估的流程较复杂,通常需要较长时间。理论上,即使无需材料补正与审查时限延长,整个评估流程可长达57个工作日。若评估结果为不得出境,另有15个工作日的复评申请期。

  直至2023年1月,全国首个及第二个成功通过安全评估的案例才正式出炉。可见,实践中的安全评估流程时长已远远超过上述理论用时,且评估难度也显著高于预期。

  由于安全评估的有效期仅为两年,企业需定期在有效期届满60个工作日前重新申报评估。有效期内,出境情况发生变化时,也需要重新申报评估。

  Q4、如果没有合规进行安全评估,有什么法律后果吗?

  非法数据出境将面临较为严重的法律后果。对于企业来说,最高可被处以人民币五千万元或者上一年度营业额百分之五的罚款,同时还可能被责令暂停业务、停业整顿或被吊销业务许可证或营业执照。

  对于企业人员来说,直接责任人最高可被处以人民币一百万元的罚款,同时还可能被禁止在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。除此以外,企业及其人员构成犯罪的,还可能被追究刑事责任。

  鉴于数据出境安全评估的宽限期已于上月底届满,且国家网信办也于2023年3月23日发布《网信部门行政执法程序规定》,明确了网信部门行政执法的范围、办案流程和时限等具体要求,我们可以预见已达“门槛”却尚未开展安全评估的数据出境行为,无疑将成为下一阶段各级网信部门执法的重点关注对象,各相关企业必须审慎对待并及时整改。

  Q5、哪些主体可以申请个人信息保护认证?有什么要求?

  国家网信办在2022年底公布了《个人信息保护认证实施规则》[1]。该规则要求企业在进行个人数据的跨境传输时必须符合GB/T 35273-2020《信息安全技术 个人信息安全规范》以及TC260-PG-20222A《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》(“《安全认证规范》”)的最新版本的要求。目前,该等《安全认证规范》的最新版本为2.0,于2022年12月16日发布。

  《个人信息保护认证实施规则》和《安全认证规范》均未限定可申请认证的主体范围,所有个人信息处理者均可以通过申请此认证后开展个人信息的跨境传输。同时,根据《安全认证规范》,跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动可由境内一方申请认证;而根据《个人信息保护法》第三条第二款规定,在境外处理境内自然人个人信息的个人信息处理者,可由其在境内设置的专门机构或指定代表申请认证。

  由于申请认证的主体必须具备法人资格,我们理解外国企业的常驻代表机构由于不具备法人资格而无法申请个人信息保护认证。

  Q6、目前可以去哪些机构申请个人信息保护认证?

  目前,仅中国网络安全审查技术与认证中心(“CCRC”)在其官方网站上发布个人信息保护认证申办系统入口,并声明其负责个人信息保护认证的具体实施工作。但是,不排除后续将有更多机构加入认证机构的行列。

  Q7、申请个人信息保护认证的流程是怎样的?

  个人信息保护认证流程包括认证申请、技术验证、现场审核、认证决定、获证后监督5个主要环节。

  个人信息处理者向认证机构提交认证申请资料,认证机构对申请资料进行评审后作出受理决定并确定认证方案,采用技术检测、现场核查、人员访谈等方式进行技术验证和现场审核,认证机构根据申请资料、技术验证报告和现场审核报告等进行综合评价,作出认证决定。认证决定通过后,认证机构向认证申请方颁发认证证书,并授权获证个人信息处理者使用规定的认证标志。获证后监督是为确保个人信息处理者在获得证书后持续满足认证标准的要求,维持认证证书有效性。

  Q8、个人信息保护认证的有效期为多久?

  个人信息保护认证的有效期为三年,申请人应在该三年有效期届满前六个月内提出认证续期申请。认证的有效期内,如果获得认证的个人信息处理者名称、注册地址,或认证要求的合规情况、认证范围等发生变化,申请人应当提出变更初始认证申请的要求。认证机构将考虑是否有需要重新进行技术验证和/或现场审核,以及是否可以批准变更。

  Q9、企业在数据出境安全评估和个人信息保护认证路径下,也可以签订《标准合同》吗?

  可以,但我们建议采取安全评估或保护认证路径的企业以《标准合同》为基础,增补相关条款以反映《数据出境安全评估办法》或《安全认证规范》对法律文件的特殊要求。为此,数据处理者与境外接收方在签署法律文件过程中,既可在《标准合同》附件中增加相关条款,也可在其正文中作出修改或补充约定。

  Q10、数据跨境传输的三条路径应如何选择?哪条更好?

  三条数据跨境传输路径的适用范围均有明确的界限,其不同之处也较为明显。

  就适用范围而言,数据出境安全评估路径的适用范围为三者中最广。我国互联网用户基数较大,意味着中型互联网企业和其他领域头部企业即可达到“100万人以上个人信息”这一门槛。此外,重要数据跨境传输与关键信息基础设施运营者所进行的跨境传输活动仅能申报数据出境安全评估。

  就办理流程和时限而言,安全评估的流程为三者中最复杂,有省级和国家级两级审批机关把关,其办结时限也最长。由于标准合同路径下的个人信息出境仅以标准合同生效为前置条件,其完成时限相对最短,为处理个人信息未达到安全评估门槛的企业的理想选择。保护认证的时限一般为70个工作日左右。

  各企业需要结合自身处理的数据类型和体量,以及业务模式等实际情况,获取专业律师的法律建议后,选择最适合自己的数据出境方式。

  通过最近两篇文章整理的相关问题和解答,相信大家对数据跨境传输方式有了一个基本了解。我们建议各企业根据自己的实际需求和安排,妥善处理数据跨境传输的合规问题,严格遵守法规要求,必要时寻求专业人士帮助,以避免面临不必要的法律风险和承担相关法律责任。

  注释:

  [1]详见:中共中央网络安全和信息化委员会办公室 中华人民共和国国家互联网信息办公室网站 http://www.cac.gov.cn/2022-11/18/c_1670399936983876.htm


转创君
企业概况
联系我们
专家顾问
企业文化
党风建设
核心团队
资质荣誉
领导资源
专家库
公司公告
资源与智库
战略合作伙伴
质量保证
咨询流程
联系我们
咨询
IPO咨询
中国企业国际化发展战略
投融资规划
企业管理咨询
人力资源管理
风险管理
竞争战略
集团管控
并购重组
家族办公室
资产管理
股权设计
企业管治与内部审计
企业估值
价值办公室
内控咨询
投资银行
管治、内控及合规服务
法律咨询
服务
管理咨询服务
投融资规划
人力资源
资产评估服务
会计服务
科技服务
资质认证
ESG服务
商务咨询
内部控制服务
转创投服
金融服务咨询
企业服务
财会服务
翻译服务
财审
金融会计专题
法证会计
国际财务管理
会计中心
财务咨询
内部审计专题
审计创新与全球化
代理记账中心
会计师事务所
审计中心
审计及鉴证
专项审计
审计工厂
审计咨询服务
税律
财税中心
转创税务
华税律所
税务师事务所
IPO财税
国际税收
涉税服务
金融
纳斯达克
并购交易服务
北交所
IPO咨询
深交所
上交所
直通新三板
董秘工作平台
独立董事事务
SPAC
资本市场服务中心
澳洲上市
加拿大上市
估值分析事务
香港联交所
新交所
金融分析师事务所
合规
合规与政府管制
企业合规
网络安全与隐私保护
法证会计与反舞弊
反洗钱与制裁合规
反垄断中心
企业合规管理咨询
合规中心
转创全球企业合规
合规律师事务所
金融安全与合规
海关及全球贸易合规
ESG合规
反欺诈中心
合规中心(产业)
知识产权合规专题
私募股权基金合规
法信
征信管理
信用中心
法信中心
信用评级
价值办公室
联合资信
国际信用
安企中心
转创法信
诚信管理
产服
产业中心
企业与产业管理
行业中心
转创产研
城市中国
转创科研
全球城市
乡村振兴战略
创新创业中心
转型升级中心
数据经济与网安
绿创中心
双碳与可持续发展
管理
并购重组
转创国际企业研究所
创新创业
转型升级
投融资与股权激励
ESG中心
管理咨询
资产评估中心
人力资源
IPO咨询
法律
刑事法律服务
资本市场法律服务
财税金融法律事务
转创国际合规律师
民商事法律服务
公司法律服务
公共法律服务中心
转创国际法律事务所
内控
危机管理
金融风险专题
风险管理中心
网络安全与隐私保护
企业风险管理
独立董事
风险控制师事务所
国际风险研究
风险管理咨询
监督中心
管制中心
风控中心
内部控制中心
经济安全与企业内控
监管中心
转创
转创深圳(深莞)
转创广佛
转创国际福建
转创梅州
客汕经济
转创珠三角
转创潮州
转创网校
转创国际汕头
转创揭阳
18318889481 17875936848
在线QQ
在线留言
返回首页
返回顶部
留言板
发送