中国-个人信息跨境处理活动安全认证规范

《网络安全法》于2017年6月1日起施行明确规范网络空间内网络运营者和关键信息基础设施运营者搜集、使用个人信息的责任和义务，特别是个人信息跨境传输转移的要求；除网络安全法以外，中国还针对特定行业制定相应的个人信息保护法律法规，根据金融服务行业等； 《数据出境安全评估办法（征求意见稿）》 《数据出境安全评估申报指南（第一版）》

《个人信息出境标准合同办法》

我国的法律对国外企业比较公平，并无歧视某些国家的规定，但如果谁要歧视中国企业的，我国立法对此也有规制。《个人信息保护法》第四十二条和第四十三条则规定：对列入负面清单的境外组织、个人，或者我国对其采取对等限制措施的国家和地区，我国采取限制或禁止传输个人信息的数据。若美国NSPDPA最终通过并生效，美国限制或者禁止向中国传输相关个人数据，而我国则可能根据对等原则，也会采取限制或禁止措施向美国传输相应的数据，这将会对中美两国的数据跨境传输产生重大影响，对企业跨境传输个人数据提出更高更严格的合规挑战。 跨境传输个人数据路径的触发条件基于三点考虑：一看数据类型，是重要数据还是非重要数据；二看行业类型，是不是关键基础设施运营者，或者掌握超过100万以上个人信息的；三看数据量，企业累计跨境传输的个人数据或者敏感个人数据的数量。 从上述路径的触发条件来看，出境路径均没有因为出境的国家或地区不同，而有所不同。因此，无论是向欧盟，还是向美国，我国跨境传输个人数据的路径是相同的。 具体而言，以安全评估的路径为例，只要符合下述任一情形的，个人信息处理者应当通过所在地省级网信部门向国家网信部门申报出境的安全评估：（一）向境外提供重要数据的；（二）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者；（三）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的。若企业不符合上述任一情形的，则不需要进行安全评估，即属于标准合同的适用范围，需要通过标准合同的路径进行数据出境。

Q1: 什么企业需要跨境合规？

根据《中华人民共和国个人信息保护法》规定，第三十八条　个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：

（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；

（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；

（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

（四）法律、行政法规或者国家网信部门规定的其他条件。

中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。

个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

Q2: 什么时候需要做数据出境评估？

数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：

（一）数据处理者向境外提供重要数据；

（二）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；

（三）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；

（四）国家网信部门规定的其他需要申报数据出境安全评估的情形。

Q3: 什么时候需要使用标准合同？

个人信息处理者通过订立标准合同的方式向境外提供个人信息的，应当同时符合下列情形：

（一）非关键信息基础设施运营者；

（二）处理个人信息不满100万人的；

（三）自上年1月1日起累计向境外提供个人信息不满10万人的；

（四）自上年1月1日起累计向境外提供敏感个人信息不满1万人的。

法律、行政法规或者国家网信部门另有规定的，从其规定。

个人信息处理者不得采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。

Q4: 发送方数据出境的技术和管理能力要求

安全管理制度

1. 具备数据出境安全管理体系，包括安全策略、管理制度、出境操作流程等;

2. 安全策略管理文件中包含总体目标、重要数据的范围、出境原则、出境安全总体框架等;

3. 各项数据出境安全管理制度中，应该覆盖数据的数量、范围、类型及其敏感程度的等内容;

4. 对个人信息应体现分级的数据出境安全操作流程，包括出境流程、后续安全保障等;

5. 对重要数据实施严格的出境安全操作流程，包括出境流程、后续安全保障等。

人员管理机制

1. 指定专职人员，应在组织内部指定专门的数据出境安全管理人员，并确保其履行相应职责，包括但不限于:数据出境转移的审计、合规管理、评估报告的编写与提交、配合主管部门监督检查、处理有关纠纷等;

2. 建立人员培训机制，应在组织内部建立人员培训机制，确保被培训人员达到培训要求，可以进行数据出境转移相关工作。

与数据接收方签订合同

内容应包括:

1. 建立数据安全审计机制，制定审计要求，按照审计要求开展审计工作;

2. 配合网络运营者或个人信息主体对数据出境活动进行合理调查;

3. 除法律规定外，在未获得网络运营者的授权以及个人信息主体知晓并同意前提下，数据接收方不得对数据进行处理、披露及再转移;

4. 采用适当的技术安全措施以保障数据的保密性和完整性。

审计机制

1. 对数据出境保护策略和规程、处理、安全保护措施的有效性进行审计，并形成审计结果，审计结果应能支持事件的处置、应急响应和事后调查;

2. 审计时应采用安全措施，防止非授权访问、篡改或删除。

应急预案

1. 当数据出境可能对数据主体权益产生危害时，应立即终止数据出境传输，并立即启动应急预案机制，采取相关措施保护数据主体的权益;

2. 应立即将对数据主体权益产生威胁的行为、原因以及紧急处置措施等相关信息上报给数据监管机构;

3. 在数据监管机构判定紧急处置不合理或不必要时，网络运营者应立即按要求进行更正。

投诉与处置策略

1. 确保相关数据主体均可通过该机制对数据出境转移过程中的行为进行申诉;

2. 指定具有相应权限的独立人员负责处理所有数据主体提出的申诉;

3. 数据出境投诉受理及处理机制的流程等信息需向所有数据主体公开。

安全事件上报机制

1. 上报触发条件，包括发生数据泄露、数据遗失、数据接收方违约进行数据处理，以及一切可能危害国家安全、损害公共利益、违反法律或侵害数据主体权益的行为;

2. 上报内容，包括发生紧急情况的时间、数据类型、规模、内容等。

技术手段保障能力

1. 总体安全防护技术手段

   • 建立完善的数据传输保护措施;

   • 在安全边界采用防护手段并进行定期安全评估和审核;

   • 及时发现并修补安全措施存在的漏洞;

   • 具备账户权限管理技术，杜绝数据的非授权访问。

2. 数据出境日志留存，应预先建立数据出境日志留存机制，留存信息包括但不限于:审计报告、数据出境转移日志、数据被访问日志等。

个人信息和重要数据出境安全风险评估方法

参考资料：数据跨境流动的合规之道——兼评数据跨境新规对数据跨境业务的影响

相关资源

《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》.pdf

《信息安全技术 数据出境安全评估指南》.pdf

个人信息出境标准合同办法

数据出境安全评估办法