Vào ngày 30 tháng 6 năm 2022, Cơ quan quản lý không gian mạng Trung Quốc đã ban hành "Quy định hợp đồng tiêu chuẩn về chuyển m88 moi nhat ra nước ngoài (Dự thảo lấy ý kiến)" ("《Quy định》”) và “Hợp đồng tiêu chuẩn về chuyển m88 moi nhat ra nước ngoài (Dự thảo lấy ý kiến)” (“"Hợp đồng tiêu chuẩn""), đối với "Đạo luật bảo vệ m88 moi nhat" ("《Luật bảo vệ m88 moi nhat》”) cung cấp kế hoạch triển khai cho “hợp đồng tiêu chuẩn”, một trong những điều kiện xuyên biên giới đối với m88 moi nhat.
"Hợp đồng tiêu chuẩn" dựa trên Điều khoản hợp đồng tiêu chuẩn của Liên minh Châu Âu ("SCC”), điều này cũng phản ánh đặc điểm và trọng tâm của việc bảo vệ và giám sát m88 moi nhat ở nước tôi. Haiwen Lawyer đã hỗ trợ nhiều công ty Trung Quốc vào SCC của EU, đặc biệt là Schrems. Để đáp ứng các yêu cầu về các biện pháp bảo vệ nội dung bổ sung và biện pháp bổ sung sau vụ việc II, doanh nghiệp có thể tham khảo các xu hướng mới nhất được phản ánh trong "Quy định" và "Hợp đồng tiêu chuẩn" để thực hiện trước các thỏa thuận tuân thủ về việc cung cấp m88 moi nhat xuyên biên giới. và tiến hành cung cấp m88 moi nhat xuyên biên giới dựa trên GDPR của Liên minh Châu Âu. Thực hiện các điều chỉnh tương ứng đối với khuôn khổ môi trường (nếu có). Trong số đó, những điểm sau đáng được đặc biệt chú ý.
Theo "Quy định", đơn vị xử lý m88 moi nhat áp dụng hợp đồng tiêu chuẩn ("Bộ xử lý” hoặc “Nhà cung cấp trong nước”) phải đáp ứng đồng thời các trường hợp sau: (1) Nhà khai thác cơ sở hạ tầng thông tin không quan trọng, (2) Xử lý m88 moi nhat của dưới 1 triệu người, (3) Số lượng cung cấp tích lũy ở nước ngoài kể từ ngày 1 tháng 1 của năm trước chưa đạt m88 moi nhat của 100.000 người và (4) số lượng m88 moi nhat nhạy cảm được cung cấp cho nước ngoài kể từ ngày 1 tháng 1 năm trước không vượt quá 10.000
Nếu tình huống trái ngược với bất kỳ tình huống nào ở trên thì đó là "Biện pháp đánh giá bảo mật truyền dữ liệu (Dự thảo lấy ý kiến)" ("《Phương pháp đánh giá》”), việc đánh giá an ninh cần được thực hiện bởi bộ phận an ninh mạng và thông tin hóa. Tuy nhiên, "Quy định" bổ sung giới hạn mới là "từ ngày 1 tháng 1 năm trước" đối với việc tính lũy kế các chuyến đi ra nước ngoài. nghĩa là, thời gian tích lũy sẽ không quá 2 năm, nới lỏng một cách thích hợp các hạn chế đối với các hoạt động ra nước ngoài. Tuy nhiên, dựa trên cơ sở dân số của đất nước tôi, các ngưỡng 1 triệu, 100.000 và 10.000 trên thực tế là thấp và chúng dựa trên toàn bộ bộ xử lý và không phân biệt giữa các kịch bản kinh doanh. của các công ty có thể không thể áp dụng hợp đồng tiêu chuẩn và cần phải đánh giá mức độ bảo mật.
Ngoài ra, hợp đồng tiêu chuẩn và đánh giá an toàn vẫn có những điểm tương đồng trong thực tế. Ví dụ: "Các biện pháp đánh giá" yêu cầu nhà chế biến phải soạn thảo các tài liệu ràng buộc về mặt pháp lý như hợp đồng với người nhận ở nước ngoài và có nhiều điểm trùng lặp trong các yêu cầu về nội dung hợp đồng và "Hợp đồng tiêu chuẩn".
Các "Quy định" áp dụng phương pháp quản lý "kết hợp hợp đồng độc lập và quản lý hồ sơ" cho các hợp đồng tiêu chuẩn. Một mặt, hợp đồng tiêu chuẩn không cần phải có sự phê duyệt trước để có hiệu lực.
So với GDPR của EU, sau vụ Schrems II, EU chắc chắn đã đưa ra các yêu cầu cao hơn đối với SCC - các nhà cung cấp trong nước cần chứng minh rằng dữ liệu m88 moi nhat có thể đạt được mức độ bảo vệ tương tự ở EU sau khi được xuất khẩu, thay vì chỉ cần ký vào văn bản SCC, nhưng vẫn không cần phải nộp đơn SCC.
Các "Quy định" yêu cầu nộp các hợp đồng tiêu chuẩn. Mặc dù khác với việc phê duyệt trước các trường hợp riêng lẻ để đánh giá bảo mật, nhưng nó cung cấp đủ điểm khởi đầu để cơ quan giám sát xem xét sau khi thực tế - các bộ phận an ninh mạng và thông tin ở cấp cao hơn. cấp tỉnh nhận thấy hoạt động gửi m88 moi nhat ra nước ngoài không còn đáp ứng yêu cầu quy định thì thông báo cho cơ quan xử lý bằng văn bản để chấm dứt hoạt động ra nước ngoài. Nếu bộ xử lý vi phạm yêu cầu nộp hồ sơ, bộ xử lý sẽ được yêu cầu sửa chữa trong một thời hạn; nếu bộ xử lý từ chối sửa hoặc làm tổn hại đến quyền và lợi ích của m88 moi nhat, bộ xử lý sẽ bị yêu cầu ngừng xuất m88 moi nhat và bị trừng phạt theo quy định của pháp luật; nếu có dấu hiệu phạm tội thì sẽ bị truy cứu trách nhiệm hình sự theo quy định của pháp luật.
"Luật bảo vệ cá nhân" đề xuất đánh giá tác động đến việc bảo vệ m88 moi nhat ("PIA”) và quy định các mục đánh giá chung cho từng tình huống áp dụng: (1) Liệu mục đích xử lý, phương pháp xử lý, v.v. có hợp pháp, hợp pháp và cần thiết hay không (2) Tác động đến quyền m88 moi nhat và rủi ro bảo mật; ( 3) Biện pháp bảo vệ Có hợp pháp, hiệu quả và phù hợp với mức độ rủi ro không?
"Quy định" tiếp tục cải tiến các mục đánh giá của PIA cho trường hợp gửi đi và nhấn mạnh thêm: (1) cam kết, biện pháp và khả năng của người nhận ở nước ngoài trong việc thực hiện nghĩa vụ và trách nhiệm bảo vệ m88 moi nhat, (2) chuyển dữ liệu ra nước ngoài về m88 moi nhat Các rủi ro như rò rỉ, hư hỏng, giả mạo, sử dụng sai mục đích sau đó, v.v. (3) Quốc gia hoặc khu vực nơi người nhận ở nước ngoài ("Nơi tiếp nhận ở nước ngoài”) m88 moi nhat về việc thực hiện các hợp đồng tiêu chuẩn "Quy định" yêu cầu người xử lý gửi báo cáo PIA nhưng không nêu rõ mức độ chi tiết của báo cáo, điều này có thể trở thành một trong những trọng tâm trong hoạt động tuân thủ của công ty. .
PIA của "Quy định" và tự đánh giá rủi ro xuất dữ liệu trong "Biện pháp đánh giá" có nhiều mục đánh giá tương tự nhau là mục sau nhấn mạnh thêm vào việc đánh giá tác động của việc xuất dữ liệu đối với an ninh quốc gia. , lợi ích công cộng, quyền và lợi ích hợp pháp của m88 moi nhat hoặc tổ chức. Rủi ro có thể do tính chất đặc biệt của việc đánh giá an ninh cũng liên quan đến dữ liệu quan trọng và lượng dữ liệu lớn.
"Quy định" yêu cầu đơn vị xử lý đánh giá tác động của m88 moi nhat của nơi tiếp nhận ở nước ngoài đối với việc thực hiện hợp đồng tiêu chuẩn trong PIA và quy định nội dung đánh giá cụ thể tại Điều 4 của “Hợp đồng tiêu chuẩn”. Điều tra nguồn gốc của nó, Liên minh Châu Âu đã tăng cường công cụ xuyên biên giới của SCC trong vụ Schrems II, đồng thời yêu cầu đánh giá xem liệu luật pháp và thông lệ của nơi nhận dữ liệu có ngăn cản người nhận dữ liệu thực hiện nghĩa vụ hợp đồng hay không ("Đánh giá tác động truyền tải/TIA”), TIA cũng đã trở thành một phần không thể thiếu trong phiên bản mới nhất của SCC.
TIA phiên bản tiếng Trung đã được đơn giản hóa trên cơ sở EU, nhưng đây vẫn là một hành động tuân thủ khó khăn đối với các doanh nghiệp. Chúng tôi kết hợp kinh nghiệm thực tế khi thực hiện TIA dựa trên khuôn khổ xuyên biên giới của GDPR để nhắc nhở mình. rằng trong "Hợp đồng tiêu chuẩn" của đất nước tôi, những cân nhắc cốt lõi khi tiến hành TIA như sau.
Hợp đồng tiêu chuẩn không chỉ giới hạn ở các văn bản đơn giản. Các biện pháp kỹ thuật và quản lý được thống nhất trong đó là cách trực tiếp và hiệu quả hơn để giảm thiểu rủi ro bảo mật khi đưa m88 moi nhat ra nước ngoài. Chúng cũng là những điểm quan trọng và khó khăn trong việc thực hiện và tuân thủ hợp đồng. luyện tập. "Hợp đồng tiêu chuẩn" yêu cầu các bên ký kết chỉ định các biện pháp kỹ thuật và quản lý do chính họ thực hiện và cung cấp mã hóa, ẩn danh, khử nhận dạng và kiểm soát truy cập làm ví dụ.
An toàn không phải là một khái niệm tuyệt đối. "Hợp đồng tiêu chuẩn" cũng hạn chế các biện pháp kỹ thuật và quản lý: một mặt, nhà cung cấp trong nước phải nỗ lực "hợp lý" để đảm bảo rằng người nhận ở nước ngoài thực hiện các biện pháp an toàn và các biện pháp an toàn. được xem xét toàn diện. Các dữ kiện cụ thể về việc chuyển m88 moi nhat ra nước ngoài sẽ được lựa chọn theo từng trường hợp cụ thể. Mặt khác, người nhận ở nước ngoài được yêu cầu thực hiện các biện pháp "hiệu quả" và tiến hành kiểm tra thường xuyên để duy trì mức độ an toàn "thích hợp".
"Luật bảo vệ cá nhân" quy định việc "cung cấp" m88 moi nhat ra nước ngoài bởi các nhà xử lý Ngoài việc "truyền một lần" m88 moi nhat từ trong nước tôi ra nước ngoài, "Các biện pháp đánh giá" đã ghi nhận " truyền lại" dữ liệu sau khi xuất khẩu ra nước ngoài. Vấn đề "chuyển giao", "Hợp đồng tiêu chuẩn" quy định việc "cung cấp lại" (tức là " m88 moi nhat theo nghĩa vụ của người nhận ở nước ngoàiTruyền thứ hai”).
Theo "Hợp đồng tiêu chuẩn", người nhận ở nước ngoài không được cung cấp m88 moi nhat cho bên thứ ba ở bên ngoài Trung Quốc trừ khi đáp ứng các yêu cầu sau: (1) Có nhu cầu kinh doanh thực sự; (2) Cá nhân đã được thông báo và đã có được sự đồng ý riêng (Trừ khi luật pháp và quy định có quy định khác); (3) Đạt được thỏa thuận bằng văn bản với bên thứ ba để đảm bảo rằng bên thứ ba đạt được mức độ bảo vệ tương tự và chịu trách nhiệm chung và một số trách nhiệm pháp lý; nhà cung cấp trong nước kèm theo bản sao thỏa thuận với bên thứ ba. Hơn nữa, Phụ lục 1 của Hợp đồng Tiêu chuẩn yêu cầu mô tả về các bên thứ ba đó.
Đất nước chúng tôi đang cố gắng mở rộng các tiêu chuẩn bảo vệ m88 moi nhat của đất nước chúng tôi trong đường truyền thứ cấp thông qua nghĩa vụ hợp đồng của người nhận ở nước ngoài. Tuy nhiên, trên thực tế có thể có những khó khăn sau: (1) Khi ký hợp đồng tiêu chuẩn, đó là. người nhận ở nước ngoài khó ước tính chính xác nhu cầu chuyển khoản thứ cấp, đặc biệt là danh tính cụ thể của bên thứ ba (EU S CC chỉ cho phép loại bên thứ ba được thông báo cho cá nhân); (2) "Hợp đồng tiêu chuẩn" không nêu rõ mức độ chi tiết của sự đồng ý "cá nhân"; (3) việc truyền tải thứ cấp yêu cầu ký kết một thỏa thuận, nhưng có không nêu rõ liệu "Bảo hiểm cá nhân" có thể được áp dụng hay không. Các điều kiện khác của Điều 38 của Luật (EU SCC cho phép chuyển khoản thứ cấp sử dụng nhiều công cụ chuyển tiền xuyên biên giới theo GDPR).
Trong bối cảnh bảo vệ m88 moi nhat, "kiểm toán" là một khái niệm tương đối mới và là biện pháp giám sát tuân thủ tương đối mạnh mẽ. "Luật bảo vệ cá nhân" đề xuất kiểm tra sự tuân thủ của bộ xử lý đối với các hoạt động xử lý của chính họ và tiêu chuẩn quốc gia "Thông số kỹ thuật bảo mật m88 moi nhat về công nghệ bảo mật thông tin" (GB/T 35273-2020) đề xuất sự tuân thủ của bộ xử lý với người được ủy thác và các công cụ truy cập của bên thứ ba của kiểm toán.
"Hợp đồng tiêu chuẩn" tiếp tục mở rộng các kịch bản ứng dụng kiểm toán và có thể trở thành điểm đàm phán khó khăn cho cả hai bên khi ký hợp đồng. Người nhận ở nước ngoài, cho dù đó là nhà chế biến độc lập hay người được ủy thác xử lý, đều có nghĩa vụ cho phép và hợp tác với nhà cung cấp trong nước để kiểm tra các hoạt động xử lý được nêu trong hợp đồng này và nhà cung cấp trong nước có nghĩa vụ cung cấp thông tin cho cơ quan quản lý Trung Quốc. theo các quy định và pháp luật có liên quan.
Ngoài ra, "Hợp đồng tiêu chuẩn" quy định hai trường hợp trong đó người nhận ở nước ngoài cần cung cấp báo cáo kiểm toán cho nhà cung cấp trong nước: (1) khi hợp đồng bị chấm dứt, m88 moi nhat sẽ bị hủy hoặc ẩn danh; người được ủy thác, xóa hoặc ẩn danh m88 moi nhat sau khi hết thời gian lưu trữ. Trong những trường hợp tương tự, SCC của EU chỉ yêu cầu người nhận ở nước ngoài phải "chứng nhận", trong khi "Hợp đồng tiêu chuẩn" còn yêu cầu "cung cấp báo cáo kiểm toán", điều này cũng phản ánh sự công nhận của cơ quan quản lý đối với hình thức kiểm toán này.
"Luật bảo vệ cá nhân" làm rõ quyền được biết của một cá nhân và yêu cầu người xử lý tiết lộ các quy tắc xử lý m88 moi nhat. "Hợp đồng tiêu chuẩn" còn quy định thêm rằng cả nhà cung cấp trong nước và người nhận ở nước ngoài đều có nghĩa vụ cung cấp bản sao hợp đồng tiêu chuẩn theo yêu cầu cá nhân.
Bản sao của hợp đồng không chỉ giới hạn ở các điều khoản định dạng do Cơ quan quản lý không gian mạng Trung Quốc xây dựng mà còn bao gồm các biện pháp bảo vệ cụ thể cho từng trường hợp và mô tả tình huống thoát trong hợp đồng tiêu chuẩn. bảo vệ quyền của cá nhân được biết về hoạt động xử lý m88 moi nhat của mình. Đồng thời, “Hợp đồng chuẩn” cũng tính đến nhu cầu của doanh nghiệp trong việc bảo vệ bí mật thương mại hoặc các thông tin bí mật khác, cho phép che dấu bản sao hợp đồng một cách thích hợp nhưng vẫn cần cung cấp cho các cá nhân một bản tóm tắt hiệu quả để giúp họ. hiểu nội dung của hợp đồng.
ICP Bắc Kinh số 05019364-1
