我國的跨境資料傳輸機制及可採取的實際措施

在過去的五年裡，我們見證了社會數字化的極快發展。在大資料時代，資料已成為國際和國內企業在中國的戰略資產，這對企業組織來說既是機遇也是合規挑戰。我國的《網路安全法》、《資料安全法》和《個人資訊保護法》構成了我國資料保護和網路安全的綜合法律體系，對資料本地化和資料跨境傳輸提出了具體要求。

自 2022 年 6 月以來，我國資料監管機構釋出了一系列範圍廣泛的法律法規，為跨境資料傳輸機制的實施提供了更多的細節和指導。目前將資料轉移出中國的可用機制是：

• 個人資訊跨境處理活動安全認證規範

• 個人資訊出境標準合同規定 (SCC)

• 國家網際網路資訊辦公室(CAC)安全評估

本文概述了上述三種方法，比較了不同的應用場景，並從實際角度討論了企業應該考慮哪些合規行動。

CAC 資料出境安全評估辦法

網信辦於 2022 年 7 月 7 日釋出了《資料出境安全評估辦法(安全評估辦法)》和 2022 年 8 月 31 日釋出的《資料出境資料傳輸安全評估申請指南(第一版)》(安全評估指南)。兩者均於2022年9月1日起實施。根據《安全評估辦法》和《安全評估指引》，有下列情形之一的跨境資料傳輸需要進行CAC安全評估：

• 重要資料的跨境傳輸

• 關鍵資訊基礎設施 (CII) 運營商的個人資料跨境傳輸

• 資料出口商處理 100 萬或更多個人資料的跨境傳輸

• 自上一年 1 月 1 日以來發生的超過 100,000 人的個人資料或超過 10,000 人的敏感個人資料的任何轉移(合計)

• 其他根據中國法律法規需要進行安全評估的情形

在實踐中，為了進行安全評估，應考慮以下問題：

1) 重要資料

“重要資料”是指任何被篡改、銷燬、洩露或者非法獲取、使用，可能危害中國國家安全、經濟執行、社會穩定、公共衛生或者公共安全的資料。識別重要資料的一般原則預計將針對特定行業、特定部門或特定地區，並將由行業監管機構和地方當局進一步詳細說明。

2)關鍵資訊基礎設施

CII被定義為公共通訊和資訊服務、能源、交通、水利、金融、公共服務、電子政務、國防、科技等領域以及工業領域的“重要網路設施和資訊系統”任何損壞、功能喪失或資料洩露都可能嚴重危害國家安全、國計民生、公共利益的。

在實踐中，對於那些沒有被行業監管機構通報為關鍵資訊基礎設施運營商的實體，極有可能不會被視為關鍵資訊基礎設施。但仍需及時瞭解關鍵資訊基礎設施定義的變化，不時與行業監管機構溝通現狀。

請注意，中國監管機構正在最終確定重要資料和關鍵資訊基礎設施的規定，最終版本可能會在不久的將來發布。

3) 國際資料傳輸

《安全評估指南》明確，來自中國的國際資料傳輸包括以下幾種情況：

• 實體在其在中國的日常運營中收集或生成資料，並將資料儲存或傳輸到國外。

• 中國境外的外國實體可以遠端訪問(包括能夠檢視、下載、檢索和匯出)在中國日常運營中收集或生成並儲存在中國本地的資料。

• CAC 不時酌情決定的任何其他國際資料傳輸。

在實踐中，跨國公司經常執行共享的 IT 系統或應用程式，其中中國子公司共享、轉讓或授予訪問在中國收集或生成的資料的許可權。如果屬於上述任何一種情況，這將被視為跨境資料傳輸，需要進行強制性安全評估。

4) 檔案、流程和時間表

為了啟動安全評估程式，中國的資料輸出方必須與外國資料接收方一起準備大量必要的檔案，包括自我評估報告、跨境資料傳輸協議、申請表和任何其他補充資訊，取決於 CAC 在《安全評估辦法》和《安全評估指南》中的具體要求。

CAC 安全評估大約需要 60 個工作日，但複雜情況可能會延長。通知資料輸出方的可能結果是：(i) 評估不適用，(ii) 評估透過且允許資料傳輸或 (iii) 評估未透過且不允許資料傳輸。資料輸出方對網信辦安全評估結果不滿意的，有權申請審查，審查結果為最終結果。

安全評估有效期為兩年。資料輸出方必須在兩年期限屆滿或發生任何影響資料安全的變化時提交新的評估，例如資料保留期延長、外國資料接收方控制權發生變化、重大目的地國家的資料法律和慣例的變化以及不可抗力。

任何未能完全遵守新規則的先前評估都必須在 2023 年 3 月 1 日之前糾正。

個人資訊出境標準合同規定(SCC)

2022 年 6 月 30 日，CAC 釋出了《個人資訊出境標準合同規定》(SCC 規定草案)，從而揭開了人們期待已久的中國 SCC 條款。根據 SCC 條例草案，如果滿足以下所有條件，資料輸出者可以透過 SCC 機制將個人資料轉移到國外：

• 資料匯出方不是 CII 操作員。

• 它尚未處理超過 100 萬人的個人資料。

• 自上一年 1 月 1 日以來，其未對超過 100,000 人(合計)的個人資料進行跨境傳輸。

• 自上一年 1 月 1 日起，未跨境傳輸超過 10,000 人(合計)的敏感個人資料。

只有滿足以上所有條件，資料匯出方才能選擇 SCC 選項;否則必須透過安全評估。

中國 SCC 與歐盟通用資料保護條例 (GDPR) 下的 SCC 有一些相似之處。但是，與 GDPR SCC 下的不同模組(即 CC、CP、PP 和 PC)不同，中國 SCC 不根據各方的角色區分情景。中國 SCC 還提出了具體要求，包括：

• 中國法律應為跨境資料協議的準據法，當事人只能選擇在中國法院提起訴訟或在中國或 1958 年《紐約公約》成員國的仲裁庭進行仲裁程式。

• 個人資料保護影響評估報告和簽署的 SCC 必須在 SCC 生效後的 10 個工作日內向 CAC 備案，但 SCC 生效或中國資料輸出方無需向 CAC 備案將個人資料轉移到國外。但值得注意的是，未按照適用規則提交可能會導致資料跨境傳輸中止。

個人資訊跨境處理活動安全認證規範

2022年6月24日，中國發布了《個人資訊跨境處理活動安全認證規範》(《安全認證規範》)，作為國家標準指南。根據中國個人資訊保護法的域外適用，《安全認證指引》適用於集團內個人資料的跨境轉移和個人資料在中國境外的處理。中國境內的實體或外國資料控制者在中國的指定代表可以申請安全認證並承擔相應的責任。

根據 GDPR 第 47 條，安全認證指南與 BCR 有相似之處。安全認證指南或 BCR 下的安全認證是跨境資料傳輸的機制之一，適用於同一集團公司內的所有相關成員，並且必須遵守。

《安全認證規範》包含了適用於安全認證的基本原則和要求，作為進行安全認證的基礎，並作為個人資料跨境傳輸背景下資料控制者的合規指南。

安全認證還需要一份具有法律約束力和可執行性的協議，以涵蓋處理跨境資料傳輸的關鍵條款和條件。除具有約束力的協議外，相關資料控制者和資料處理者必須成立資料保護部門，任命資料保護官，適當進行資料保護影響評估，並制定資料控制者和海外資料接收者必須遵守的規則。個人資料的跨境傳輸。這些規則類似於約束性公司規則(BCR)，但具有中國特色;例如，BCR 規則不必涵蓋有關第三國或多個國家的識別，但安全認證指南要求披露此類資訊。

安全認證指南尚未詳細說明認證程式。我們希望在不久的將來提供有關如何獲得認證的更多詳細資訊。

三種機制的比較以及選擇

這三種機制是中國當前跨境資料傳輸制度的重要組成部分。

如果滿足任何所需場景，則必須進行安全評估。例如，如果跨國公司是 CII 運營商，或者打算將重要資料轉移出中國，那麼安全評估將是唯一的選擇。安全評估可能需要長達 60 個工作日甚至更長的時間才能完成，並且具有三種可能的結果，這可能會給預期的資料傳輸帶來不確定性。另一方面，一旦透過，安全評估的有效期為兩年，因此可以在有效期內涵蓋向同一海外接收者的多次資料傳輸。

與 GDPR 在中國的 BCR 等效，安全認證適用於位於中國的資料輸出方的集團內傳輸。一旦透過，安全認證適用於同一集團公司內的所有相關成員。但是，關於實施安全認證的詳細指南可能需要更加明確。

SCC 條例草案尚未最終確定。由於合同條款和時間/成本效率的可預測性更高，預計中國 SCC 制度將具有明顯優勢。但是，中國 SCC 條款僅適用於未觸發強制安全評估的情況。此外，中國 SCC 受中國法律管轄，必須在規定時間內向 CAC 備案。海外受助人可能難以解決中國 SCC 與其現有 SCC 之間的差異。

下圖說明了適用於不同場景的跨境資料傳輸機制：

實用要點

既然新的國際資料傳輸機制已經到位，強烈建議商業組織採取適當的合規措施，以促進跨境資料傳輸。儘管每個跨國公司的合規要求可能因具體情況而異，但以下要求應作為一般參考：

• 自我評估以評估跨境資料傳輸是否屬於安全評估的適用範圍，評估跨境資料傳輸的最佳方法，為國際資料傳輸建立整體和協調的程式並準備相關檔案規定的方式，例如跨境資料傳輸協議和自我評估報告。

• 對相關的資料庫和資料活動進行資料對映，以瞭解在中國的業務運營所收集或產生的資料的性質、類別和數量，並確定是否有任何資料從中國子公司轉移到中國境外的總部/附屬公司即使中國收集的資料沒有儲存或轉移到國外，是否已授予任何海外總部/關聯公司對在中國收集的資料的任何遠端訪問許可權。

• 評估資料出口商的資料安全管理能力以及對資料隱私和網路安全法律的遵守情況。如果發現任何差距，必須儘快採取補救措施。請注意，一些補救措施可能很耗時。例如，中國的多層次保護計劃下的測試和備案可能需要幾個月的時間，並且應該提前計劃以降低風險。

• 如果需要，任命一名合格的資料保護官 (DPO)。擁有合格的 DPO 有助於最佳化資料安全管理體系，促進與 CAC 的溝通，降低違規風險。

• 密切關注立法和執法進展，並相應更新資料相關檔案。

• 就資料合規策略和資料安全體系的建立尋求專業的法律和技術支援。