文章分类
2023年5月30日,中国网信办发布了适用于中国大陆个人信息国际传输的标准合同条款的使用指南(“SCC”和“SCC指南”)。
SCC指南的背景
正如我们在单独的简报中更详细地讨论的那样(点击此处),来自中国大陆的国际数据传输触发以下任何一种情况,都要接受CAC的安全评估:
- 数据出口商是关键信息基础设施的运营商;
- 数据出口商处理超过一百万个数据主体的个人信息;
- 数据出口商导出重要数据;或
- 自上一年1月1日起,数据出口商累计转移了:(i)超过十万个人的个人信息;或(ii)一万名以上个人的敏感个人信息。
如上所述,无需向CAC完成安全评估的数据出口商必须获得为此目的授权的专业机构的第三方认证,或者从2023年6月1日起,实施并提交SCC以涵盖转让。
SCC指南确认,离岸访问中国大陆托管的个人信息被视为国际转移。
SCC
SCC规定数据出口商和数据进口商在处理个人信息的国际传输时都有义务,目的是确保根据《个人信息保护法》(“PIPL”)处理数据。
SCC需要逐字逐句使用,为数据出口商和离岸接收方提供一些附加非标准术语的空间,前提是这些术语与SCC的规定条款不冲突。数据出口商必须在SCC生效后的十个工作日内向当地省级CAC提交SCC,并附上个人信息保护影响评估(“PIPIA”)报告。
PIPIA报告
SCC指南中概述的PIPIA的范围与CAC安全评估类似。在这方面,该指南引发了人们的担忧,即SCC流程实际上不会为组织提供比CAC的安全评估流程更容易的合规途径。由于要求提供大量信息以及CAC要求披露的敏感性,CAC的安全评估过程一直在努力解决提交率低的问题。由于SCC的合规途径适用于较小数量的个人信息,人们预计它将比CAC安全评估涉及更轻的监管负担。不幸的是,SCC指南复制了PIPIA报告模板中的大部分相同信息要求,该报告必须随SCC文件一起提交。
PIPIA报告需要在SCC备案的同时向省级CAC备案。
SCC备案流程
省级CAC官员必须在十五个工作日内对每份申请进行审查,结果要么是“通过”,要么是“不通过”。如果评定为不合格等级,将通知数据出口商不合格的原因,并要求其在十个工作日内向其提供补充材料。目前尚不清楚已经实施但未能提交PIPIA报告的SCC会发生什么。
审查的时间很短,这表明省CAC的审查是“轻描淡写”的,但鉴于CAC安全评估程序下的程序性时限在实践中经常被超过,仅从时间上很难得出任何结论,特别是当考虑到PIPIA报告的实质性要求时。
PIPIA报告要求
PIPIA报告预计涵盖以下内容:
PIPIA简介
PIPIA报告应提供为编制PIPIA所做工作的详细信息,包括何时开始和完成,如何完成,以及参与其编制的任何第三方机构的详细信息。
国际转让说明
本节包含多个子节,包括:
有关数据出口商的基本信息
本节必须包括数据出口商的股权结构、组织结构、子公司信息及其业务的一般描述的详细信息。
有关数据出口商业务的信息
本节包括与传输相关的业务、个人信息在该业务中的使用方式、数据出口商存储数据的数据中心以及用于传输数据的网络的描述。
有关数据传输的信息
本节要求包括数据导出者和数据导入者处理数据的目的、范围和方式的说明、处理的合法依据和转移的必要性、个人信息本身及其敏感性的说明、转移的具体机制以及数据导入者将进行的任何后续转移。
关于各方保护个人信息能力的信息
本节应详细介绍各方的信息安全管理和治理、事件响应能力以及在数据收集、存储、使用和销毁的整个生命周期中应用于数据的技术安全措施。
应参考个人信息保护措施的有效性证明,如认证、审计计划和安全评估。
PIPIA报告还应说明如何遵守转让方面的法律法规。
有关数据导入程序的信息
本节应列出数据进口商的基本信息,包括进口商的公司信息、数据进口商的处理、其保护数据的能力、目的地司法管辖区有关数据保护的法律法规以及个人信息处理过程的说明。
风险评估和结论
PIPIA报告应包括一份逐项的影响评估,重点是已识别的风险和为就转让的安全性得出合理结论而采取的纠正措施。
SCC指南中的语言与CAC安全评估的官方指南非常相似,这引发了一个问题,即尽管涉及的个人信息量较低,SCC流程是否真的比CAC安全评价更容易完成。与安全评估的情况一样,我们预计提交SCC文件的组织会担心风险评估需要有多详细,以及确定风险缓解措施充分性的标准有多高。
风险评估的范围非常广泛,考虑到被转移的个人信息的敏感性、处理目的和处理方式、转移的必要性、离岸接收方的信息安全能力以及目的地管辖区适用于保护个人信息的法律法规。
重新加注的必要性
如果出现以下任何情况,数据出口商需要准备一份新的PIPIA报告,并提交SCC的补充文件:
- 对个人信息的目的、范围或处理方式、个人信息的类型或敏感性的任何更改,或保留期的任何延长;
- 数据进口商处理个人信息所在司法管辖区的个人信息保护法律的任何变更;或
- 可能对个人信息主体的利益产生影响的任何其他情况。
当地CAC对SCC指南的回应
2023年6月2日,北京CAC发布了地方版SCCs指南(“北京SCCs指南”)。上海CAC于2023年6月7日紧随其后,浙江和山东CAC于2021年6月14日分别发布了各自的本地版本。地方SCC指南遵循了国家级SCC指南的实质内容,重点是向申请人提供详细信息,如查询的联系方式、提交文件的预期方法等。值得注意的是,《北京SCC指导意见》规定,备案主体应为根据中国法律设立的法人实体,因此将分支机构或代表处排除在备案主体范围之外。其他地方SCC的指导说明对此问题保持沉默。《北京SCC指导意见》还值得注意的是,规定一个实体可以代表其企业集团中的其他数据出口商提交SCC申请。目前尚不清楚其他本地CAC是否会采用相同的方法来分组应用程序。
结论
既然SCCs指南已经发布,从中国大陆转移个人信息的组织将需要评估这些要求。我们预计,与CAC安全评估的情况一样,还有大量工作要做,以使人们对完成备案过程所需提交的信息量、详细程度和敏感性的期望保持一致。
[View source.]
- 登录 发表评论