Cross-Border Data Transfer
From September 1, 2022, the rule of Cross-Border Data Transfer will be implemented with specific requirements and descriptions of procedures. It was announced as a draft in 2021. The rule defines that Data Processors should request an assessment from the Cyberspace Administration of China (CAC). Two bodies are responsible for this: the police with MLPS and the CAC with Cross-Border Data Transfer. This is a subordinate rule under the Data Security Law (DSL), with relevant laws such as the Personal Information Protection Law (PIPL). The DSL is different from the GDPR, as it only defines Data Processors, but the goal is similar: to protect personal and important/sensitive information.
全球数据安全法律概述
资料保安条款
谁应该担心?
(1)将重要数据转移到国外的数据处理者;
(2)关键信息基础设施运营者或者处理个人信息超过100万人的数据处理者将个人信息向境外转移的;
(3)自上一年(此处为2021年)1月1日起,累计将10万人以上的个人信息转移到境外的,或者将1万人以上的敏感个人信息转移到境外的
(4)国家网信办要求对出境数据传输进行安全评估的其他情形。
例如,公司有全球网络服务器,人力资源系统,CRM/供应链/OA系统,文件共享等应该关注。
FAQ
Q:
数据是从中国收集的吗?
A:
- 数据处理者不限于在中国注册的实体。它适用于任何向中国提供服务并从中国收集数据的人。
- 未在中国处理的中间数据不适用
Q:
界定跨境转移
A:
- 包括:
- 中国境外的服务器和中国公司通过客户端或浏览器输入数据
- 数据存储在中国并发送/同步到总部,或者总部可以按需读取/访问数据,但数据仍然托管在中国。
- 香港、澳门、台湾按出入境管理机关规定,一律视为出境
- 数据传输到外国公司代表处也适用
Q:
公司应该怎么做?评估@CAC或/和个人信息标准合同?
A:
该规则提供了两个选项,一个是“评估”,如果满足所有标准,而另一个是个人信息的标准合同。然而,标准合同本身不足以满足跨境数据传输的要求;它仅适用于公司转移个人信息且不符合“评估”条件的情况。另一方面,单靠“评估”也是不够的;企业在传输个人信息时也必须签订标准合同。
Q:
谁可以使用标准合同?
A:
(1)将重要数据转移到国外的数据处理者;
(2)非关键信息基础设施运营者或者处理个人信息超过100万人的数据处理者将个人信息向境外转移的;
(3)自上一年1月1日起累计向境外转移个人信息10万人以上或者敏感个人信息1万人以上的数据处理者
(4)国家网信办要求对出境数据传输进行安全评估的其他情形。
总结:不符合考核要求的数据处理人员。
Q:
没有cac评估,标准合同是否足够?
A:
- 不,该规则意味着标准合同不是跨境数据传输的唯一必要部分。如果数据处理者符合“规则”的要求,仍应进行评估。
- 亦然。
- 因此,我们建议两者兼用。
CAC评估过程的工作流程
您想了解更多关于我们跨境数据传输服务的信息吗?
您可以预约我们进行现场洽谈,或者我们来贵公司进行现场考察,共同探讨您的安全需求。