【中国数据保护】中国的跨境数据传输机制和要求

关键点

• 个人信息处理者是指独立决定个人信息处理目的和手段的组织或个人，通常相当于《欧盟通用数据保护条例》（GDPR）2016/679中的“数据控制者”一词。
• 中国现行法律规定的中国大陆境外跨境转移（数据出口）不仅包括在中华人民共和国境内收集和生成的数据在中国境外转移和存储的情况，还包括外国实体或个人被授权访问或使用在中国境内存储的任何数据的情况。
• 公司对业务性质、数据性质、转移目的、范围和方法的自我评估对于确定中国法律允许的哪种机制适用于跨境数据转移以及如何完成转移并满足合规要求至关重要。

03.22.23

近年来，随着数字经济的快速发展，以及中华人民共和国（PRC或China）数据生成、收集、处理和监控的增加，中国政府加快了建立强有力的数据保护法律框架的努力。在过去的五年里，中国颁布了几部主要的数据保护法，包括《网络安全法》（自2017年6月1日起生效）、《个人信息保护法》（于2021年11月1日生效）和《数据安全法》，以及一系列实施条例和行政指导。这些法律法规，特别是关于个人信息处理和跨境数据传输的要求，对跨国公司在中国开展业务和与中国开展业务构成了重大挑战和合规义务。本文概述了我们对中国现行法律框架下个人信息跨境转移机制和实践的看法。

PIPL为中国大陆的个人信息处理者（PI处理者）在中国大陆以外转移个人信息提供了三种法律机制。（请参阅我们对PIPL的详细分析）。

这些法律机制包括：

• 在中国网络空间管理局（CAC）的管理下接受强制性安全评估（强制性CAC安全评估）；
• 获得CAC认可的专业机构的个人信息保护认证（第三方安全认证）；或
• 与海外收件人签订共享/传输个人信息的标准合同（标准合同）。

如果跨境数据传输活动没有触发强制性CAC安全评估，PI处理者可以选择第三方安全认证或标准合同作为向海外传输个人信息的机制。

然而，由于CAC尚未澄清和公布专业认证机构的身份和第三方安全认证程序的细节，如果CAC强制性安全评估不适用，跨国公司在跨境转移个人信息时可能会采用标准合同机制。

我们在下文概述了上述每一种机制的适用情况，并从实际角度讨论了跨国公司应考虑采取的合规行动。

强制性CAC安全评估

2022年7月7日，CAC发布了《数据出口安全评估办法（安全评估办法）》的最终版本。此外，CAC于2022年8月31日发布了《跨境数据传输安全评估申请指南（第一版）》（《安全评估指南》）。上述措施和指导方针均于2022年9月1日生效。根据《安全评估办法》和《安全评估指南》，强制性CAC安全评估适用于以下任何情况下的跨境数据传输：

• 当中国的数据处理器将“重要数据”转移到中国境外时；
• 当中国的关键信息基础设施运营商将个人信息转移到中国境外时；
• 当中国境内处理100万或以上个人信息的数据处理机构将个人信息出口或转移到中国境外时；
• 自上一年1月1日以来，中国境内的数据处理者累计转移个人信息超过10万条或累计转移敏感个人信息超过1万条，在中国境外转移个人信息；或
• 根据中华人民共和国法律法规需要进行安全评估的其他情况。

“重要数据”被定义为“一旦被篡改、销毁、泄露或非法获取或使用，可能危及国家安全、经济运行、社会稳定、公共健康和安全的数据。”重要数据的概念最早在中超联赛中提出，根据该法案，中国的网络运营商必须对数据进行分类，并制定备份和加密措施来保护“重要数据”。此外，根据DSL，中国将建立数据分类和分类系统，中国当局将制定“重要数据的目录”。到目前为止，还没有公开此类目录。预计行业监管机构将在定义和分类每个行业的“重要数据”方面发挥关键作用，并制定行业规则或提供识别“重要数据的行政指导。”

“CII”是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的重要网络设施和信息系统，功能丧失和数据泄露可能严重危害国家安全、人民生活和公共利益。2021年7月30日，国务院发布了《关键信息基础设施安全保护条例》，根据该条例，监管上述重要行业和领域的行业监管机构将在各自行业内制定自己的CII识别规则。

在实践中，监管每个行业的监管机构都会识别并通知该行业的经营者，他们被指定为CII。跨国公司可就其是否被归类为CII运营商咨询各自的行业监管机构。一般来说，如果一家公司到目前为止还没有被行业监管机构通知为CII运营商，那么在现阶段它很可能不是CII运营方。然而，由于公司的业务和规模正在发展和扩大，行业监管机构可能会不时更新规则，我们建议公司继续监控CII定义的任何变化。

第三方安全认证

中国国家信息安全标准化技术委员会于2022年6月24日发布了《个人信息跨境转移安全认证规范（认证指南）》第1版。在六个月内，它于2022年12月16日发布了《跨境认证指南》2.0版，并立即生效。此外，2022年11月18日，国家市场监管总局和食典委联合发布了《个人信息保护认证实施细则》（认证规则）。《认证准则》第1版将认证限于跨国公司集团内的跨境数据传输。第2版删除了这一限制，并将认证范围扩大到所有个人信息跨境处理活动。

尽管根据《认证指南和认证规则》，认证是自愿的，但此类指南和规则鼓励公司采用认证机制来改善数据治理和合规性。《认证指南》为有资质的第三方机构开展跨境个人信息处理和交易认证提供了依据。《认证指南》和《认证规则》要求PI处理者对数据保护的影响进行自我评估，包括制定自我评估报告和三年报告保留要求。PI处理方和海外数据接收方还需要就数据跨境处理签订具有法律约束力和可执行性的合同。此后，PI处理者可以向第三方认证机构申请个人信息的数据处理和跨境传输认证。认证机构将对申请进行评估，并在必要时进行技术验证和/或现场检查。

认证一经授予，有效期为三年。如果PI处理器想要更新证书（如果其名称或注册地址、证书要求或证书范围发生变化），则必须在现有证书到期前六个月内提出申请。

标准合同

CAC于2023年2月24日发布了《个人信息跨境传输标准合同办法》（标准合同办法）的最终版本，其中包括一份标准合同模板。《办法》将于2023年6月1日生效，但规定了六个月的宽限期，至2023年12月1日，以便公司有时间对2023年1日之前发生的个人信息跨境转移采取合规行动。

根据《标准合同措施》，只有满足以下四个条件时，PI处理方才能选择使用标准合同方法来遵守PIPL下的跨境数据传输要求：

• 它不是CII运营商；
• 它处理不到一百万人的个人信息；
• 自上一年1月1日起，累计向境外转移个人信息不到10万人；和
• 自去年1月1日以来，该公司已累计将不到1万人的敏感个人信息转移到海外。

《标准合同办法》明确禁止PI处理者通过“分解”相关个人信息量来规避强制性CAC安全评估。此外，这些措施要求PI处理方“严格按照标准合同”与海外接收方签订合同，双方同意的任何附加条款不得与标准合同相矛盾。

与《认证指南和认证规则》要求的自我评估类似，在将个人信息转移到海外之前，PI处理者还需要进行个人信息保护影响评估（PIPIA）并编写报告。此类报告必须至少保存三年。PI处理方必须在标准合同生效后10个工作日内向CAC省级对应方提交（i）已执行的标准合同和（ii）PIPIA报告。标准合同的适用法律应为中华人民共和国法律。

个人信息跨境传输的其他关键要求

单独同意：在执行过程中需要澄清的一个问题是，标准合同措施所附的标准合同模板取消了所有法律依据下对跨境转让的单独同意要求，尽管PIPL明确要求单独同意。根据标准合同模板，只有在处理个人信息的法律依据基于数据主体同意的情况下，才需要个人单独同意。如果跨境数据传输基于其他法律基础，例如履行个人作为一方的合同或人力资源管理所必需的合同，或履行法定职责或义务，根据模板标准合同，PI处理方没有义务就跨境转让获得数据主体的单独同意。然而，当局将如何在实践中执行这一规定还有待观察。

应对外国管辖权调查或法律行动的跨境转移：DSL第36条规定，除非获得中国主管部门的批准，否则不得将存储在中国境内的数据提供给外国法律或执法机构。这种对数据传输和生成的限制适用于所有类型的数据。PIPL（第41条）包含一项相同的条款，禁止未经中国指定机构批准向外国司法或执法机构转移个人信息。DSL和PIPL都没有提供关于这一限制范围或寻求此类批准机制的进一步细节。

结论

建议在中国境内和与中国有业务和运营的跨国公司采取以下适当的合规行动，以促进其业务运营期间的跨境数据传输：

• 进行自我评估，以评估拟议的跨境数据传输是否需要进行强制性CAC安全评估；
• 寻求专业协助，编写跨境转移的相关文件，例如跨境数据转移协议和自我评估报告；
• 制定数据收集和处理的同意机制，制定隐私通知和同意书，以确保数据处理和跨境转移获得必要的同意；
• 建立自我评估协议，制定自我评估制度；
• 在中国指定一名合格的数据保护人员，并组织内部培训，使员工熟悉相关的合规参数；
• 建立风险缓解和报告机制，以应对数据泄露和其他可能的数据风险；和
• 监督中国的立法和执法动态，并相应地更新数据相关文件。