Vào ngày 30 tháng 6 năm 2022, Cục Quản lý Không gian mạng Trung Quốc đã ban hành "Quy định hợp đồng tiêu chuẩn về chuyển m88 trang chủ ra nước ngoài (Dự thảo lấy ý kiến)" ("《Quy định》”) và “Hợp đồng tiêu chuẩn về chuyển m88 trang chủ ra nước ngoài (Dự thảo lấy ý kiến)” (“《Hợp đồng tiêu chuẩn》”), cung cấp kế hoạch hạ cánh cho “hợp đồng tiêu chuẩn”, một trong những điều kiện xuyên biên giới đối với m88 trang chủ theo “Luật bảo vệ cá nhân”.

"Hợp đồng tiêu chuẩn" dựa trên Điều khoản hợp đồng tiêu chuẩn của Liên minh Châu Âu ("SCC”), điều này cũng phản ánh đặc điểm và trọng tâm của việc bảo vệ và giám sát m88 trang chủ ở nước tôi. Haiwen Lawyer đã hỗ trợ nhiều công ty Trung Quốc vào SCC của EU, đặc biệt là Schrems. Để đáp ứng yêu cầu về các biện pháp bảo vệ nội dung bổ sung và biện pháp bổ sung sau vụ việc II, doanh nghiệp có thể tham khảo các xu hướng mới nhất được phản ánh trong "Quy định" và "Hợp đồng tiêu chuẩn" để thực hiện trước các thỏa thuận tuân thủ về việc cung cấp m88 trang chủ xuyên biên giới. , và tiến hành cung cấp m88 trang chủ xuyên biên giới dựa trên GDPR của EU. Thực hiện các điều chỉnh tương ứng đối với khuôn khổ môi trường (nếu có). Trong số đó, những điểm sau đáng được đặc biệt chú ý.

1. Xác định phạm vi áp dụng của hợp đồng tiêu chuẩn. Các công ty xuất khẩu một lượng lớn m88 trang chủ ra nước ngoài có thể gặp khó khăn khi áp dụng hợp đồng tiêu chuẩn

Theo "Quy định", hợp đồng tiêu chuẩn áp dụng cho bên xử lý m88 trang chủ ("Bộ xử lý” hoặc “Nhà cung cấp trong nước”) phải đáp ứng đồng thời các trường hợp sau: (1) Nhà khai thác cơ sở hạ tầng thông tin không quan trọng, (2) Xử lý m88 trang chủ của dưới 1 triệu người, (3) Số lượng cung cấp tích lũy ở nước ngoài kể từ ngày 1 tháng 1 của năm trước chưa đạt m88 trang chủ của 100.000 người và (4) số lượng m88 trang chủ nhạy cảm được cung cấp cho nước ngoài kể từ ngày 1 tháng 1 năm trước không vượt quá 10.000

Trái ngược với bất kỳ tình huống nào ở trên, đó là "Các biện pháp đánh giá bảo mật truyền dữ liệu (Dự thảo để lấy ý kiến)" ("《Phương pháp đánh giá》”), việc đánh giá an ninh cần được thực hiện bởi bộ phận không gian mạng. Tuy nhiên, "Quy định" bổ sung giới hạn mới là "từ ngày 1 tháng 1 của năm trước" đối với việc tính lũy kế các chuyến đi ra nước ngoài. thời gian tích lũy không quá 2 năm, nới lỏng một cách thích hợp các hạn chế đối với các hoạt động ra nước ngoài. Tuy nhiên, dựa trên cơ sở dân số của đất nước tôi, các ngưỡng 1 triệu, 100.000 và 10.000 trên thực tế là thấp và chúng dựa trên toàn bộ bộ xử lý và không phân biệt giữa các kịch bản kinh doanh. của các công ty có thể không thể áp dụng hợp đồng tiêu chuẩn và cần phải đánh giá mức độ bảo mật.

Ngoài ra, hợp đồng tiêu chuẩn và đánh giá an toàn vẫn có những điểm tương đồng trong thực tế. Ví dụ: "Các biện pháp đánh giá" yêu cầu nhà chế biến phải soạn thảo các tài liệu ràng buộc về mặt pháp lý như hợp đồng với người nhận ở nước ngoài và các yêu cầu về nội dung hợp đồng rất giống với "Hợp đồng tiêu chuẩn".

2. Hợp đồng tiêu chuẩn yêu cầu nộp hồ sơ để làm điểm khởi đầu cho quá trình giám sát tiếp theo

Các "Quy định" áp dụng phương pháp quản lý "kết hợp hợp đồng độc lập và quản lý hồ sơ" cho các hợp đồng tiêu chuẩn. Một mặt, hợp đồng tiêu chuẩn không cần phải có sự phê duyệt trước để có hiệu lực.

So với GDPR của EU, sau vụ Schrems II, EU chắc chắn đã đưa ra các yêu cầu cao hơn đối với SCC - các nhà cung cấp trong nước cần chứng minh rằng dữ liệu m88 trang chủ có thể đạt được mức độ bảo vệ tương tự ở EU sau khi xuất khẩu, thay vì chỉ cần ký vào văn bản SCC, nhưng vẫn không cần phải nộp đơn SCC.

Các "Quy định" yêu cầu nộp hợp đồng tiêu chuẩn. Mặc dù khác với việc phê duyệt trước các trường hợp riêng lẻ để đánh giá bảo mật, nhưng nó cung cấp đủ điểm khởi đầu để cơ quan giám sát xem xét sau khi thực tế - các bộ phận an ninh mạng và thông tin ở cấp cao hơn. cấp tỉnh nhận thấy hoạt động gửi m88 trang chủ ra nước ngoài không còn đáp ứng yêu cầu quy định thì thông báo cho cơ quan xử lý bằng văn bản để chấm dứt hoạt động ra nước ngoài. Nếu bộ xử lý vi phạm yêu cầu nộp đơn, bộ xử lý sẽ được yêu cầu sửa chữa trong một thời hạn; nếu bộ xử lý từ chối sửa hoặc làm tổn hại đến quyền và lợi ích của m88 trang chủ, bộ xử lý sẽ bị yêu cầu ngừng xuất m88 trang chủ và bị trừng phạt theo quy định của pháp luật; nếu có dấu hiệu phạm tội thì sẽ bị truy cứu trách nhiệm hình sự theo quy định của pháp luật.

3. Đánh giá chi tiết tác động của việc bảo vệ m88 trang chủ trong trường hợp gửi đi và yêu cầu nộp báo cáo đánh giá

"Luật bảo vệ cá nhân" đề xuất đánh giá tác động đến việc bảo vệ m88 trang chủ ("PIA”) và quy định các mục đánh giá chung cho từng tình huống áp dụng: (1) Liệu mục đích xử lý, phương pháp xử lý, v.v. có hợp pháp, hợp pháp và cần thiết hay không (2) Tác động đến quyền cá nhân và rủi ro bảo mật; ( 3) Biện pháp bảo vệ Có hợp pháp, hiệu quả và phù hợp với mức độ rủi ro không?Hệ thống chứng nhận bảo vệ m88 trang chủ của 34347_34421

"Quy định" tiếp tục tinh chỉnh các mục đánh giá của PIA cho tình huống gửi đi và nhấn mạnh thêm: (1) cam kết, biện pháp và khả năng của người nhận ở nước ngoài trong việc thực hiện nghĩa vụ và trách nhiệm bảo vệ m88 trang chủ, (2) chuyển tiền ra nước ngoài về m88 trang chủ Các rủi ro như rò rỉ, hư hỏng, giả mạo, lạm dụng, v.v. sau đó. (3) Quốc gia hoặc khu vực nơi người nhận ở nước ngoài ("Nơi tiếp nhận ở nước ngoài”) các chính sách và quy định bảo vệ m88 trang chủ về việc thực hiện các hợp đồng tiêu chuẩn "Quy định" yêu cầu người xử lý gửi báo cáo PIA nhưng không nêu rõ mức độ chi tiết của báo cáo, điều này có thể trở thành một trong những trọng tâm trong hoạt động tuân thủ của công ty. .

PIA của "Quy định" và tự đánh giá rủi ro xuất dữ liệu trong "Biện pháp đánh giá" có nhiều mục đánh giá tương tự nhau là mục sau nhấn mạnh thêm vào việc đánh giá tác động của việc xuất dữ liệu đối với an ninh quốc gia. , lợi ích công cộng, quyền và lợi ích hợp pháp của m88 trang chủ hoặc tổ chức. Rủi ro có thể do tính chất đặc biệt của việc đánh giá an ninh cũng liên quan đến dữ liệu quan trọng và lượng dữ liệu lớn.

4. Phiên bản tiếng Trung của TIA: Đánh giá tác động của các chính sách và quy định bảo vệ m88 trang chủ của các địa điểm tiếp nhận ở nước ngoài đối với việc thực hiện hợp đồng tiêu chuẩn

"Quy định" yêu cầu đơn vị xử lý đánh giá tác động của các chính sách và quy định bảo vệ m88 trang chủ của nơi tiếp nhận ở nước ngoài đối với việc thực hiện hợp đồng tiêu chuẩn trong PIA và quy định nội dung đánh giá cụ thể tại Điều 4 của “Hợp đồng tiêu chuẩn”. Điều tra nguồn gốc của nó, Liên minh Châu Âu đã tăng cường công cụ xuyên biên giới của SCC trong vụ Schrems II, đồng thời yêu cầu đánh giá xem liệu luật pháp và thông lệ của nơi nhận dữ liệu có ngăn cản người nhận dữ liệu thực hiện nghĩa vụ hợp đồng hay không ("Đánh giá tác động truyền tải/TIA”), TIA cũng đã trở thành một phần không thể thiếu trong phiên bản mới nhất của SCC.

TIA phiên bản tiếng Trung đã được đơn giản hóa trên cơ sở EU, nhưng đây vẫn là một hành động tuân thủ khó khăn đối với các doanh nghiệp. Chúng tôi kết hợp kinh nghiệm thực tế khi thực hiện TIA với khuôn khổ xuyên biên giới dựa trên GDPR và nhắc nhở chúng tôi. rằng trong "Hợp đồng tiêu chuẩn" của đất nước tôi, những cân nhắc cốt lõi khi tiến hành TIA như sau.

5. Thực hiện các biện pháp quản lý và kỹ thuật phù hợp để đảm bảo an toàn m88 trang chủ một cách hiệu quả

Hợp đồng tiêu chuẩn không chỉ giới hạn ở các văn bản đơn giản. Các biện pháp kỹ thuật và quản lý được thống nhất trong đó là cách trực tiếp và hiệu quả hơn để giảm thiểu rủi ro bảo mật khi đưa m88 trang chủ ra nước ngoài. Chúng cũng là những điểm quan trọng và khó khăn trong việc thực hiện và tuân thủ hợp đồng. luyện tập. "Hợp đồng tiêu chuẩn" yêu cầu các bên ký kết chỉ định các biện pháp kỹ thuật và quản lý do chính họ thực hiện, đồng thời cung cấp mã hóa, ẩn danh, khử nhận dạng và kiểm soát truy cập làm ví dụ.

An toàn không phải là một khái niệm tuyệt đối. “Hợp đồng tiêu chuẩn” cũng hạn chế các biện pháp kỹ thuật và quản lý: một mặt, nhà cung cấp trong nước phải nỗ lực “hợp lý” để đảm bảo rằng người nhận ở nước ngoài thực hiện các biện pháp an toàn và biện pháp an toàn. được xem xét toàn diện. Các dữ kiện cụ thể về việc chuyển m88 trang chủ ra nước ngoài sẽ được lựa chọn theo từng trường hợp cụ thể. Mặt khác, người nhận ở nước ngoài được yêu cầu thực hiện các biện pháp "hiệu quả" và tiến hành kiểm tra thường xuyên để duy trì mức độ an toàn "thích hợp".

6. Các quy định cụ thể về việc truyền m88 trang chủ thứ cấp sau khi rời khỏi đất nước và thỏa thuận bằng văn bản để đảm bảo mức độ bảo vệ tương tự

"Luật bảo vệ cá nhân" quy định việc "cung cấp" m88 trang chủ ra nước ngoài bởi các nhà xử lý Ngoài việc "truyền một lần" m88 trang chủ từ trong nước tôi ra nước ngoài, "Các biện pháp đánh giá" đã ghi nhận " truyền lại" dữ liệu sau khi được xuất khẩu ra nước ngoài. Vấn đề "chuyển giao", "Hợp đồng tiêu chuẩn" quy định việc "cung cấp lại" (tức là " m88 trang chủ theo nghĩa vụ của người nhận ở nước ngoàiTruyền thứ hai”).

Theo "Hợp đồng tiêu chuẩn", người nhận ở nước ngoài không được cung cấp m88 trang chủ cho bên thứ ba ở bên ngoài Trung Quốc trừ khi đáp ứng các yêu cầu sau: (1) Có nhu cầu kinh doanh thực sự; (2) Cá nhân đã được thông báo và đã có được sự đồng ý riêng (Trừ khi luật pháp và quy định có quy định khác); (3) Đạt được thỏa thuận bằng văn bản với bên thứ ba để đảm bảo rằng bên thứ ba đạt được mức độ bảo vệ tương tự và chịu trách nhiệm chung và một số trách nhiệm pháp lý; nhà cung cấp trong nước kèm theo bản sao thỏa thuận với bên thứ ba. Hơn nữa, Phụ lục 1 của Hợp đồng Tiêu chuẩn yêu cầu mô tả về các bên thứ ba đó.

Đất nước chúng tôi đang cố gắng mở rộng các tiêu chuẩn bảo vệ m88 trang chủ của đất nước trong đường truyền thứ cấp thông qua nghĩa vụ hợp đồng của người nhận ở nước ngoài. Tuy nhiên, trên thực tế, có thể có những khó khăn sau: (1) Khi ký hợp đồng tiêu chuẩn, điều đó có thể xảy ra. người nhận ở nước ngoài khó ước tính chính xác nhu cầu chuyển khoản thứ cấp, đặc biệt là danh tính cụ thể của bên thứ ba (EU S CC chỉ cho phép loại bên thứ ba được thông báo cho cá nhân); (2) "Hợp đồng tiêu chuẩn" không nêu rõ mức độ chi tiết của sự đồng ý "cá nhân"; (3) việc truyền tải thứ cấp yêu cầu ký kết một thỏa thuận, nhưng có không nêu rõ liệu "Bảo hiểm cá nhân" có được áp dụng hay không. Các điều kiện khác của Điều 38 của Luật (EU SCC cho phép chuyển khoản thứ cấp sử dụng nhiều công cụ chuyển tiền xuyên biên giới theo GDPR).

7. Mở rộng áp dụng kiểm toán, người nhận ở nước ngoài có nghĩa vụ chấp nhận kiểm toán đối với các hoạt động xử lý theo hợp đồng

Trong bối cảnh bảo vệ m88 trang chủ, "kiểm toán" là một khái niệm tương đối mới và là biện pháp giám sát tuân thủ tương đối mạnh mẽ. "Luật bảo vệ cá nhân" đề xuất kiểm tra sự tuân thủ của bộ xử lý đối với các hoạt động xử lý của chính họ và tiêu chuẩn quốc gia "Thông số kỹ thuật bảo mật m88 trang chủ về công nghệ bảo mật thông tin" (GB/T 35273-2020) đề xuất sự tuân thủ của bộ xử lý với người được ủy thác và các công cụ truy cập của bên thứ ba Kiểm tra . (chẳng hạn như SDK).

"Hợp đồng tiêu chuẩn" tiếp tục mở rộng các kịch bản ứng dụng kiểm toán và có thể trở thành điểm đàm phán khó khăn cho cả hai bên trong việc ký kết hợp đồng. Người nhận ở nước ngoài, cho dù đó là nhà chế biến độc lập hay người được ủy thác xử lý, đều có nghĩa vụ cho phép và hợp tác với nhà cung cấp trong nước để kiểm tra các hoạt động xử lý được nêu trong hợp đồng này và nhà cung cấp trong nước có nghĩa vụ cung cấp thông tin cho cơ quan quản lý Trung Quốc. theo các quy định và pháp luật có liên quan.

Ngoài ra, "Hợp đồng tiêu chuẩn" quy định hai trường hợp trong đó người nhận ở nước ngoài cần cung cấp báo cáo kiểm toán cho nhà cung cấp trong nước: (1) khi hợp đồng bị chấm dứt, m88 trang chủ sẽ bị hủy hoặc ẩn danh; người được ủy thác, xóa hoặc ẩn danh m88 trang chủ sau khi hết thời gian lưu trữ. Trong những trường hợp tương tự, SCC của EU chỉ yêu cầu người nhận ở nước ngoài phải "chứng nhận", trong khi "Hợp đồng tiêu chuẩn" còn yêu cầu "cung cấp báo cáo kiểm toán", điều này cũng phản ánh sự công nhận của cơ quan quản lý đối với hình thức kiểm toán này.

8. m88 trang chủ có quyền yêu cầu cả hai bên cung cấp bản sao hợp đồng cụ thể để tiếp tục thực hiện quyền được biết

"Luật bảo vệ cá nhân" làm rõ quyền được biết của một cá nhân và yêu cầu người xử lý tiết lộ các quy tắc xử lý m88 trang chủ. "Hợp đồng tiêu chuẩn" còn quy định thêm rằng cả nhà cung cấp trong nước và người nhận ở nước ngoài đều có nghĩa vụ cung cấp bản sao hợp đồng tiêu chuẩn theo yêu cầu cá nhân.

Bản sao của hợp đồng không chỉ giới hạn ở các điều khoản định dạng do Cơ quan quản lý không gian mạng Trung Quốc xây dựng mà còn bao gồm các biện pháp bảo vệ cụ thể cho từng trường hợp trong hợp đồng tiêu chuẩn và mô tả tình huống thoát ra. Đây là ý nghĩa thích hợp. bảo vệ quyền của cá nhân được biết về hoạt động xử lý m88 trang chủ của họ. Đồng thời, “Hợp đồng chuẩn” cũng tính đến nhu cầu của doanh nghiệp trong việc bảo vệ bí mật thương mại hoặc các thông tin bí mật khác, cho phép che đậy bản sao hợp đồng một cách thích hợp nhưng vẫn cần cung cấp bản tóm tắt hiệu quả cho các cá nhân. giúp họ hiểu rõ nội dung của hợp đồng.

Doanh nghiệp có thể lập kế hoạch trước khi soạn thảo hợp đồng tiêu chuẩn: một mặt nên thiết kế hợp lý bản sao hợp đồng tiêu chuẩn để cân bằng giữa quyền được biết của cá nhân và việc bảo vệ bí mật của công ty; mặt khác nên hợp lý; thiết kế việc xác nhận danh tính cá nhân và các hoạt động bên ngoài liên quan đến m88 trang chủ. Cơ chế cung cấp các bản sao có mục tiêu nhằm tránh việc lưu hành trên quy mô lớn các hợp đồng tiêu chuẩn doanh nghiệp.