2022-07-03

Quan điểm về “Phiên bản tiếng Trung của SCC”—Hợp đồng tiêu chuẩn về chuyển giao m88 moi nhat

Tác giả: Dương Kiến Nguyên Wu Dan Li Tianshuo

30 tháng 6 năm 2022,Cơ quan quản lý không gian mạng Trung Quốc đã ban hành "Quy định hợp đồng tiêu chuẩn về chuyển m88 moi nhat ra nước ngoài (Dự thảo lấy ý kiến)" ("《Quy định》”) và “Hợp đồng tiêu chuẩn về chuyển m88 moi nhat ra nước ngoài (Dự thảo lấy ý kiến)” (“"Hợp đồng tiêu chuẩn""), đối với "Đạo luật bảo vệ m88 moi nhat" ("《Luật bảo vệ m88 moi nhatn》”) cung cấp kế hoạch hạ cánh cho “hợp đồng tiêu chuẩn”, một trong những điều kiện xuyên biên giới đối với m88 moi nhat。

"Hợp đồng tiêu chuẩn" dựa trên Điều khoản hợp đồng tiêu chuẩn của Liên minh Châu Âu ("SCC”),Cũng phản ánh đặc điểm và trọng tâm của việc bảo vệ và giám sát m88 moi nhat ở quốc gia của tôi。Haiwen Lawyer đã hỗ trợ nhiều công ty Trung Quốc vào EU SCC,Đặc biệt sau vụ Schrems II, cần có thêm các biện pháp bảo vệ thực chất và biện pháp bổ sung。Doanh nghiệp có thể tham khảo các xu hướng mới nhất được phản ánh trong "Quy định" và "Hợp đồng chuẩn",Thực hiện trước công việc triển khai tuân thủ để cung cấp m88 moi nhat xuyên biên giới,Và thực hiện các điều chỉnh tương ứng đối với khuôn khổ xuyên biên giới (nếu có) dựa trên GDPR của Liên minh Châu Âu。Trong số đó,Những điểm sau đây đáng được đặc biệt chú ý。

一、Xác định phạm vi áp dụng hợp đồng tiêu chuẩn,Doanh nghiệp lớn có thể khó áp dụng hợp đồng tiêu chuẩn

Theo "Quy định",Người xử lý m88 moi nhat tuân theo hợp đồng tiêu chuẩn (“Bộ xử lý” hoặc “Nhà cung cấp trong nước”) phải đồng thời đáp ứng các tình huống sau: (1) Nhà khai thác cơ sở hạ tầng thông tin không quan trọng,(2) Xử lý m88 moi nhat dưới 1 triệu người,(3) m88 moi nhat tích lũy cung cấp cho nước ngoài kể từ ngày 1 tháng 1 năm trước chưa đạt 100.000 người,Và (4) số lượng m88 moi nhat nhạy cảm được cung cấp cho nước ngoài kể từ ngày 1 tháng 1 năm trước không vượt quá 10.000 người。

Nếu ngược lại với bất kỳ điều nào ở trên,Đó là "Các biện pháp đánh giá bảo mật truyền dữ liệu (Dự thảo lấy ý kiến)" ("《Phương pháp đánh giá》”) Phạm vi áp dụng,Yêu cầu đánh giá bảo mật thông qua bộ phận thông tin mạng。Tuy nhiên, "Quy định" bổ sung thêm giới hạn mới là "kể từ ngày 1 tháng 1 năm trước" về cách tính tích lũy số chuyến đi nước ngoài,Tức là thời gian tích lũy không quá 2 năm,Quy định về hoạt động ra nước ngoài đã được nới lỏng một cách thích hợp。Tuy nhiên,Dựa trên cơ sở dân số của đất nước tôi,Trên 1 triệu、100.000、Ngưỡng 10.000 thực tế thấp hơn,Và dựa trên toàn bộ bộ xử lý,Không phân biệt các tình huống kinh doanh,Do đó,Trên thực tế, một số lượng lớn doanh nghiệp có thể không áp dụng được hợp đồng tiêu chuẩn,Cần phải thực hiện đánh giá bảo mật。

Ngoài ra,Hợp đồng tiêu chuẩn và đánh giá an toàn vẫn có những điểm tương đồng trong thực tế。Ví dụ,"Các biện pháp đánh giá" yêu cầu nhà xử lý phải soạn thảo hợp đồng và các tài liệu ràng buộc về mặt pháp lý khác với người nhận ở nước ngoài,Và có rất nhiều điểm trùng lặp trong yêu cầu về nội dung hợp đồng và "Hợp đồng tiêu chuẩn"。"Hợp đồng tiêu chuẩn" do Cục không gian mạng quốc gia xây dựng,Ngay cả khi doanh nghiệp không trực tiếp áp dụng hợp đồng tiêu chuẩn,Bạn cũng có thể tham khảo "Hợp đồng tiêu chuẩn" để soạn thảo hợp đồng liên quan đến xuất dữ liệu。

2. Hợp đồng tiêu chuẩn yêu cầu nộp hồ sơ để làm điểm khởi đầu cho quá trình giám sát tiếp theo

Các "Quy định" áp dụng phương pháp quản lý "kết hợp hợp đồng độc lập và quản lý hồ sơ" cho các hợp đồng tiêu chuẩn。Một mặt,Hợp đồng tiêu chuẩn có thể có hiệu lực mà không cần phê duyệt trước。Mặt khác,Các nhà cung cấp trong nước phải trong vòng 10 ngày làm việc kể từ ngày hợp đồng tiêu chuẩn có hiệu lực,Ghi nhận với phòng thông tin mạng tỉnh thành,Phải nộp hợp đồng tiêu chuẩn khi nộp hồ sơ (ngoại trừ các điều khoản tiêu chuẩn,Cũng bao gồm các biện pháp bảo vệ dành riêng cho từng trường hợp và mô tả về điều kiện thoát)、Báo cáo đánh giá tác động của việc bảo vệ m88 moi nhat。

So sánh GDPR của Liên minh Châu Âu,Sau vụ Schrems II,EU chắc chắn đã đưa ra các yêu cầu cao hơn đối với SCC - các nhà cung cấp trong nước cần chứng minh rằng dữ liệu m88 moi nhatn thực sự có thể đạt được mức độ bảo vệ tương tự như EU sau khi xuất khẩu,Không chỉ chính thức ký văn bản SCC,Nhưng vẫn không cần phải nộp SCC。

Các "Quy định" yêu cầu nộp hợp đồng tiêu chuẩn,Mặc dù nó khác với phê duyệt trước về đánh giá an toàn cho từng trường hợp,Nhưng điều này vẫn đủ chỗ để cơ quan giám sát tiến hành đánh giá sau thực tế—các sở an ninh mạng và thông tin cấp tỉnh trở lên nhận thấy rằng các hoạt động gửi m88 moi nhat ra bên ngoài không còn đáp ứng các yêu cầu quy định,Thông báo bằng văn bản cho bộ xử lý về việc chấm dứt các hoạt động gửi đi。Người xử lý đã vi phạm yêu cầu gửi hồ sơ,Được yêu cầu chỉnh sửa trong thời gian giới hạn;Từ chối sửa hoặc làm tổn hại đến quyền m88 moi nhat,Được lệnh dừng hoạt động xuất khẩu m88 moi nhat,Bị trừng phạt theo pháp luật;Cấu thành tội phạm,Truy cứu trách nhiệm hình sự theo pháp luật。

三、Đánh giá tác động bảo vệ m88 moi nhat được cải tiến trong các tình huống gửi đi,Và báo cáo đánh giá yêu cầu phải nộp

"Luật bảo vệ cá nhân" đề xuất đánh giá tác động đến việc bảo vệ m88 moi nhat ("PIA”),Và quy định các mục đánh giá chung cho từng trường hợp áp dụng: (1) Mục đích xử lý、Phương pháp xử lý này có hợp pháp không、Hợp pháp、Bắt buộc,(2) Tác động đến quyền m88 moi nhatn và rủi ro bảo mật,(3) Liệu các biện pháp bảo vệ có hợp pháp không、Hiệu quả và phù hợp với mức độ rủi ro。

"Quy định" tập trung vào các tình huống đi nước ngoài,Tinh chỉnh thêm các hạng mục đánh giá của PIA,Nhấn mạnh thêm vào: (1) Cam kết của người nhận ở nước ngoài trong việc thực hiện nghĩa vụ và trách nhiệm bảo vệ m88 moi nhat、Biện pháp、Khả năng,(2) m88 moi nhat bị rò rỉ sau khi rời khỏi đất nước、Bị phá hủy、Giả mạo、Rủi ro như lạm dụng,(3) Quốc gia hoặc khu vực nơi người nhận ở nước ngoài sống (“Nơi tiếp nhận ở nước ngoài”) đối với việc thực hiện các hợp đồng tiêu chuẩn。"Quy định" yêu cầu bộ xử lý gửi báo cáo PIA,Nhưng mức độ chi tiết của báo cáo không được chỉ định,Điều này có thể trở thành một trong những trọng tâm trong hoạt động tuân thủ của công ty。

PIA của "Quy định" và tự đánh giá rủi ro xuất dữ liệu của "Biện pháp đánh giá" có nhiều mục đánh giá tương tự nhau,Sự khác biệt là,Phần sau nhấn mạnh thêm việc đánh giá tác động của việc xuất dữ liệu đối với an ninh quốc gia、Lợi ích công cộng、Rủi ro xâm phạm quyền và lợi ích hợp pháp của m88 moi nhatn, tổ chức,Có lẽ việc đánh giá bảo mật cũng liên quan đến dữ liệu quan trọng、Do tính chất đặc biệt của lượng lớn dữ liệu。

四、TIA phiên bản Trung Quốc: Đánh giá tác động của các chính sách và quy định bảo vệ m88 moi nhat của các địa điểm nhận m88 moi nhat ở nước ngoài đối với việc thực hiện hợp đồng tiêu chuẩn

"Quy định" yêu cầu bộ xử lý đánh giá tác động của các chính sách và quy định bảo vệ m88 moi nhat của nơi tiếp nhận ở nước ngoài đối với việc thực hiện các hợp đồng tiêu chuẩn trong PIA,Và nội dung đánh giá cụ thể được quy định tại Điều 4 của "Hợp đồng tiêu chuẩn"。Khám phá nguồn gốc của nó,EU tăng số lượng SCC làm công cụ xuyên biên giới trong vụ Schrems II,Các yêu cầu bổ sung bao gồm đánh giá xem luật pháp và thông lệ của nơi nhận dữ liệu có ngăn cản người nhận dữ liệu thực hiện nghĩa vụ hợp đồng của mình hay không ("Đánh giá tác động truyền tải/TIA”),TIA cũng đã trở thành một phần không thể thiếu trong phiên bản SCC mới nhất。

TIA phiên bản tiếng Trung đã được đơn giản hóa dựa trên Liên minh Châu Âu,Nhưng đây vẫn là một hành động tuân thủ khó khăn đối với doanh nghiệp,Kinh nghiệm thực tế của chúng tôi trong việc tiến hành TIA dựa trên khuôn khổ xuyên biên giới dựa trên GDPR,Lời nhắc về những điểm cân nhắc cốt lõi khi tiến hành TIA theo “Hợp đồng tiêu chuẩn” của quốc gia tôi như sau。

捕获3.jpg
五、Áp dụng công nghệ phù hợp、Biện pháp quản lý,Đảm bảo an toàn m88 moi nhat một cách hiệu quả

Hợp đồng tiêu chuẩn không giới hạn ở văn bản thuần túy,Công nghệ đã được thống nhất、Các biện pháp quản lý trực tiếp hơn nhằm giảm thiểu rủi ro bảo mật khi xuất m88 moi nhat、Cách hiệu quả,Đây cũng là một điểm quan trọng và khó khăn trong việc thực hiện hợp đồng và thực hành tuân thủ。"Hợp đồng tiêu chuẩn" yêu cầu các bên ký kết chỉ định công nghệ được áp dụng、Biện pháp quản lý,Và cung cấp mã hóa、Ẩn danh、Khử nhận dạng、Kiểm soát quyền truy cập làm ví dụ。EU trong SCC Phụ lục II、Hướng dẫn của EDPB về các biện pháp bổ sung cung cấp lời nhắc chi tiết về các biện pháp đó,Có thể dùng làm tài liệu tham khảo cho doanh nghiệp trong thực tế。

An toàn không phải là khái niệm tuyệt đối,"Hợp đồng tiêu chuẩn" cũng ảnh hưởng đến công nghệ、Biện pháp quản lý còn hạn chế: một mặt,Các nhà cung cấp trong nước phải nỗ lực “hợp lý” để đảm bảo rằng người nhận ở nước ngoài thực hiện các biện pháp an toàn,Và các biện pháp bảo mật được lựa chọn tùy theo từng trường hợp dựa trên việc xem xét toàn diện các thực tế cụ thể của việc chuyển giao m88 moi nhat。Mặt khác,Người nhận ở nước ngoài cần có biện pháp "hiệu quả",Và tiến hành kiểm tra thường xuyên để duy trì mức độ an toàn “thích hợp”。Trong thực tế,Việc kiểm soát các biện pháp an toàn chắc chắn sẽ trở thành vấn đề then chốt,Khó có câu trả lời chuẩn。

Sáu、Quy định cụ thể về việc truyền m88 moi nhat thứ cấp sau khi xuất cảnh,Thỏa thuận bằng văn bản để đảm bảo mức độ bảo vệ tương tự

"Luật bảo vệ cá nhân" quy định việc người xử lý "cung cấp" m88 moi nhat ở nước ngoài,Ngoài việc "truyền một lần" m88 moi nhat từ trong nước tôi ra nước ngoài,Các biện pháp đánh giá đã ghi nhận vấn đề "chuyển lại" dữ liệu sau khi rời khỏi đất nước,"Hợp đồng tiêu chuẩn" quy định việc "cung cấp lại" (tức là " m88 moi nhat trong nghĩa vụ của người nhận ở nước ngoàiTruyền thứ hai”).

Theo "Hợp đồng chuẩn",Người nhận ở nước ngoài không được cung cấp m88 moi nhat cho bên thứ ba bên ngoài Trung Quốc,Trừ khi đồng thời đáp ứng các yêu cầu sau: (1) Có nhu cầu kinh doanh thực sự;(2) Các cá nhân đã được thông báo,Và xin phép riêng (trừ khi luật pháp và quy định có quy định khác);(3) Đạt được thỏa thuận bằng văn bản với bên thứ ba,Đảm bảo mức độ bảo vệ tương tự cho bên thứ ba,Và chịu trách nhiệm chung;(4) Cung cấp cho nhà cung cấp dịch vụ trong nước bản sao thỏa thuận với bên thứ ba。và,Phụ lục 1 của "Hợp đồng tiêu chuẩn" yêu cầu mô tả về các bên thứ ba đó。

đất nước của tôi cố gắng vượt qua nghĩa vụ hợp đồng của người nhận ở nước ngoài,Mở rộng tiêu chuẩn bảo vệ m88 moi nhat của quốc gia tôi ở đường truyền thứ cấp,Nhưng trên thực tế có thể gặp những khó khăn sau: (1) Khi ký hợp đồng tiêu chuẩn,Các máy thu ở nước ngoài khó có thể ước tính chính xác nhu cầu truyền tải thứ cấp,Đặc biệt, danh tính cụ thể của bên thứ ba (EU SCC chỉ cho phép thông báo loại bên thứ ba cho các cá nhân);(2) "Hợp đồng tiêu chuẩn" không nêu rõ mức độ chi tiết của thỏa thuận "cá nhân";(3) Truyền thứ cấp yêu cầu ký thỏa thuận,Nhưng nó không nêu rõ liệu có thể áp dụng các điều kiện khác của Điều 38 của Luật Bảo vệ Cá nhân hay không (EU SCC cho phép chuyển khoản thứ cấp sử dụng nhiều công cụ chuyển xuyên biên giới theo GDPR)。

bảy、Khả năng áp dụng kiểm tra mở rộng,Người nhận ở nước ngoài có nghĩa vụ phải được kiểm tra các hoạt động xử lý theo hợp đồng

Trong bối cảnh bảo vệ m88 moi nhat,"Kiểm toán" là một khái niệm tương đối mới,Đây cũng là biện pháp giám sát tuân thủ tương đối mạnh mẽ。"Luật bảo vệ cá nhân" đề xuất rằng các đơn vị xử lý tiến hành kiểm tra tính tuân thủ đối với các hoạt động xử lý của chính họ,Tiêu chuẩn quốc gia "Thông số kỹ thuật bảo mật m88 moi nhat về công nghệ bảo mật thông tin" (GB/T 35273-2020) đề xuất rằng bên xử lý nên đối xử với người được ủy thác、Kiểm tra công cụ truy cập của bên thứ ba。

"Hợp đồng tiêu chuẩn" tiếp tục mở rộng các kịch bản ứng dụng kiểm toán,Đây có thể trở thành điểm đàm phán khó khăn cho cả hai bên trong việc ký kết hợp đồng。Người nhận ở nước ngoài là người xử lý độc lập hoặc người được ủy thác xử lý,Cả hai đều có nghĩa vụ cho phép và hợp tác với các nhà cung cấp trong nước để kiểm tra các hoạt động xử lý trong hợp đồng này,Và các nhà cung cấp trong nước có nghĩa vụ cung cấp kết quả kiểm tra đó cho các cơ quan quản lý Trung Quốc theo luật pháp và quy định có liên quan。So sánh SCC của EU,Chỉ người được ủy thác mới có nghĩa vụ cho phép kiểm tra như vậy,Không cần kiểm tra giữa hai bộ xử lý độc lập,Trừ khi cơ quan quản lý yêu cầu kiểm tra người nhận ở nước ngoài。

Ngoài ra,"Hợp đồng tiêu chuẩn" quy định hai trường hợp trong đó người nhận ở nước ngoài cần cung cấp báo cáo kiểm toán cho nhà cung cấp trong nước: (1) Khi chấm dứt hợp đồng,Hủy hoặc ẩn danh m88 moi nhat;(2)Là người được ủy thác,Sau khi hết thời gian lưu trữ,Xóa hoặc ẩn danh m88 moi nhat。Trong trường hợp tương tự,EU SCC chỉ yêu cầu người nhận ở nước ngoài phải “chứng nhận”,"Hợp đồng tiêu chuẩn" còn yêu cầu "cung cấp báo cáo kiểm tra",Điều này cũng phản ánh sự công nhận của cơ quan quản lý đối với hình thức kiểm tra này。

tám、m88 moi nhatn có quyền yêu cầu các bản sao hợp đồng cụ thể từ cả hai bên,Thực hiện thêm quyền được biết

"Luật bảo vệ cá nhân" làm rõ quyền được biết của cá nhân,Và yêu cầu người xử lý tiết lộ quy tắc xử lý m88 moi nhat。“Hợp đồng chuẩn” đề xuất thêm,Nhà cung cấp trong nước、Người nhận ở nước ngoài có nghĩa vụ cung cấp bản sao hợp đồng tiêu chuẩn theo yêu cầu cá nhân。SCC của EU cũng có yêu cầu tương tự,Theo quan sát, nó chưa được triển khai đầy đủ trên thực tế。

Bản sao của hợp đồng không bị giới hạn ở các điều khoản về định dạng do Cục Quản lý Không gian mạng Trung Quốc xây dựng,Cũng bao gồm các biện pháp bảo vệ dành riêng cho từng trường hợp và mô tả các điều kiện thoát trong hợp đồng tiêu chuẩn,Đây là ý nghĩa đúng đắn của việc bảo vệ quyền được biết của cá nhân về hoạt động xử lý m88 moi nhat của mình。Đồng thời,"Hợp đồng tiêu chuẩn" cũng tính đến nhu cầu của doanh nghiệp trong việc bảo vệ bí mật thương mại hoặc các thông tin bí mật khác,Cho phép che giấu các bản sao hợp đồng một cách thích hợp,Tuy nhiên, cá nhân vẫn phải cung cấp bản tóm tắt hợp lệ để giúp họ hiểu nội dung hợp đồng。

Doanh nghiệp có thể lập kế hoạch trước khi soạn thảo hợp đồng tiêu chuẩn: một mặt,Bản sao Hợp đồng Tiêu chuẩn Thiết kế Hợp lý,Cân bằng giữa quyền được biết cá nhân và bảo vệ bí mật doanh nghiệp;Mặt khác,Thiết kế đúng cơ chế xác nhận danh tính cá nhân và các hoạt động bên ngoài liên quan đến m88 moi nhat,Cung cấp bản sao được nhắm mục tiêu,Tránh lưu hành trên quy mô lớn các hợp đồng tiêu chuẩn doanh nghiệp。

Liên hệ với chúng tôi
Địa chỉ: Số 5, Đường vành đai 3 phía Đông, Quận Triều Dương, Bắc Kinh
Tầng 20, Trung tâm Tài chính Fortune (Mã Zip 100020)
Tel: +86 10 8560 6888
Fax: +86 10 8560 6999
Email: haiwenbj@haiwen-law.com
Địa chỉ: Số 1515, Đường Tây Nam Kinh, Thượng Hải
Phòng 2605, Tháp 1, Trung tâm Jing'an Kerry (Mã bưu điện 200040)
Tel: +86 21 6043 5000
Fax: +86 21 5298 5030
Email: haiwensh@haiwen-law.com
Địa chỉ: Phòng 1101-1104, 11/F, Giai đoạn 1, Exchange Square, 8 Connaught Place, Central, Hong Kong
ĐT: +852 3952 2222
Fax: +852 3952 2211
Email: haiwenhk@haiwen-law.com
Địa chỉ: Số 1, Đường Zhongxin 4, Quận Futian, Thâm Quyến
Phòng 3801, Tháp 3, Kerry Properties Plaza (Mã bưu điện 518048)
ĐT: +86 755 8323 6000
Fax: +86 755 8323 0187
Email: haiwensz@haiwen-law.com
Địa chỉ: Số 233, Đại lộ Giao Tử, Khu công nghệ cao, Thành Đô
Tầng 20, Tháp C, Trung tâm Quốc tế Hải ngoại Trung Quốc 01、Đơn vị 11-12 (Mã vùng 610041)
Tel: +86 28 6391 8500
Fax: +86 28 6391 8397
Email: haiwencd@haiwen-law.com