数字化转型网企业出海将关注品牌出海,全球化战略,合规与风控,供应链管理,数据保护与隐私安全,知识产权,税务,海外团队建设,海外运营,人力资源管理,组织管理等企业出海、全球化相关全产业链相关环节。点击图片或扫描图片二维码,加入数字化转型网企业出海研习社:
数据合规所依据的是我国的数据法律体系,数据跨境合规又依据于我国的数据跨境法律体系。两个体系既相互关联又自成系统,涉及法律、行政法规、部门规章、规范性文件、标准、指引以及具体行业通用实践。概括而言,我们可以用两个“3+1”来快速掌握法律体系的轮廓。在这两个体系之下,我国也于2021年专门出台了《汽车数据安全管理若干规定(试行)》,亦是汽车数据合规的重要法规。
1. 数据治理“3+1”
数据治理法律体系包括3部法律:《网络安全法》《数据安全法》《个人信息保护法》,以及1部行政法规:《网络数据安全管理条例》。数字化转型网www.szhzxw.cn
《网络安全法》于2016年出台,2017年起实施,主要从网络运营安全的视角进行管理,其中第三十七条涉及数据管理,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定,依照其规定。”《网络安全法》把关键信息基础设施运营者的个人信息和重要数据跨境作为切入点,确定了管理思路及模式,形成了我国数据治理及跨境数据监管的雏形。
《数据安全法》于2021年出台和实施,在《网络安全法》的基础上,把数据作为一个独立的对象进行治理,不再局限于关键信息基础设施运营者的数据,而是规范一般意义的数据处理者,确定了数据安全义务。同时,《数据安全法》亦坚持和延展了《网络安全法》第三十七条的规定,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。”这就重申了《网络安全法》对关键信息基础设施运营者的管理,同时把其他数据处理者纳入管理范围,并将个人信息的部分交给《个人信息保护法》规范。
《个人信息保护法》于2021年出台和实施,其中对个人信息跨境专门用了一章来规定。《个人信息保护法》以个人信息为对象,确立了出境的三种方式:安全评估、保护认证和标准合同,同时也坚持了《网络安全法》第三十七条的跨境管理制度(见《个人信息保护法》第四十条)。
《网络数据安全管理条例》于2024年9月出台,并将于2025年1月1日起实施。这部《条例》是国务院的行政法规,定位于《网络安全法》《数据安全法》《个人信息保护法》的配套法规,在数据治理体系中无疑具有非常重要的地位。《条例》也用了专门一章对数据跨境进行规定,其中对重要数据识别的实践问题首次作出了明确的回应。数字化转型网www.szhzxw.cn
2. 数据跨境“3+1”
《网络安全法》《数据安全法》《个人信息保护法》和《网络数据安全管理条例》从整体上构建并明确了我国数据治理的体系,其中正如前文所述,亦搭建完成我国的跨境数据管理体系。从数据类型上来说,涉及重要数据和个人信息;从出境方式上来说,涉及安全评估、保护认证和标准合同,以及增加的豁免情形。据此,我国通过部门规章和规范性文件的形式,确定了数据跨境“3+1”体系,包括《数据出境安全评估办法》《个人信息出境标准合同办法》《关于实施个人信息保护认证的公告》和《促进和规范数据跨境流动规定》。
《数据出境安全评估办法》于2022年出台和实施,并留出6个月的宽恕期,即2023年3月1日起完成整改。这部《办法》明确了通过安全评估方式进行数据出境的适用情形以及申报流程,其中关键信息基础设施运营者和向境外提供重要数据的数据处理者需注意此项义务,而涉及一定数量以上的个人信息也需要申报安全评估出境。数字化转型网www.szhzxw.cn
《个人信息出境标准合同办法》于2023年出台和实施,也留出6个月宽恕期,即2024年1月1日起完成整改。订立标准合同的方式仅适用于个人信息出境活动,涉及重要数据以及出境主体为关键信息基础设施运营者的,不能使用标准合同的方式。
《关于实施个人信息保护认证的公告》于2022年公布,附有《个人信息保护认证实施规则》。个人信息保护认证区分为“不含跨境处理活动的”和“包含跨境处理活动的”。申请个人信息保护认证的个人信息处理者应当符合GB/T 35273《信息安全技术 个人信息安全规范》的要求,而对于开展跨境处理活动的个人信息处理者,还应当符合TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求。据公开信息,2023年12月,五家企业获发首批个人信息保护认证证书,但应不涉及跨境事宜。数字化转型网www.szhzxw.cn
《促进和规范数据跨境流动规定》于2024年公布实施。这部《规定》因给出了明确的豁免情形而备受关注,亦对跨境数据流动管理做出了很大的调整和完善。这部《规定》对免予申报安全评估的情形和免予所有申报手续的情形予以明确,有效促进数据依法有序自由流动。同时,在此后公布的《网络数据安全管理条例》亦将豁免情形进一步上升为行政法规层级,可以说我国整体的数据跨境政策得以固化,未来将在实践中逐步厘清操作性指引。
声明:本文来自网络,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网企业出海专题包含哪些内容
数字化转型网企业出海将关注品牌出海,全球化战略,合规与风控,供应链管理,数据保护与隐私安全,知识产权,税务,海外团队建设,海外运营,人力资源管理,组织管理等企业出海、全球化相关全产业链相关环节。数字化转型网www.szhzxw.cn
数字化转型网企业出海专题包含:
1、企业出海、全球化外脑支持:100+企业出海、全球化相关专家、100+企业出海、全球化实践者、1000+相关资料
2、企业出海、全球化研习社:与出海、全球化相关的专家、实践者共同探讨相关问题,推动企业全球化发展! 数字化转型网(www.szhzxw.cn)
3、典型案例参考:与数字化转型网企业出海、全球化研习社社员一起学习典型案例,共探企业全球化发展!
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于 金杜研究院;编辑/翻译:数字化转型网Jack。
