陆国际信息与数据跨境传输的法律分析备忘录-KWM2018908
跨境数据交流的合规与风险防范
跨境数据交流的合规与风险防范随着全球化的加速推进,跨境数据交流已经成为企业日常运营中不可或缺的一部分。
然而,在进行跨境数据交流时,企业面临着诸多合规与风险防范方面的挑战。
本文将从合规和风险防范两个方面进行探讨。
首先,企业在进行跨境数据交流时需要遵守各国家和地区的相关法律法规。
不同国家和地区对于数据隐私、保护和存储等方面都有不同的规定,企业在进行跨境数据交流时必须确保遵守相关法律法规,避免触犯法律。
在欧盟地区,实施的《通用数据保护条例》(GDPR)对于个人数据的处理和跨境传输提出了相当严格的要求,企业应当对数据的收集、处理、存储和传输进行严格控制,保障用户数据隐私的安全。
在美国,HIPAA法案规定了对于医疗数据的保护措施,企业需要遵守相关规定,保护患者的个人医疗信息。
因此,企业在进行跨境数据交流时,需要对目标国家或地区的相关法律法规有详细的了解,确保自身的数据交流活动合规。
此外,随着数据安全问题的日益严峻,企业在进行跨境数据交流时也面临着诸多风险。
数据泄露、数据丢失和数据被篡改等问题可能对企业造成严重影响,因此企业需要加强数据安全意识,采取相应的风险防范措施。
对于数据的加密、备份、权限访问控制、数据流监控等措施都是企业保障数据安全的重要手段。
此外,企业还可以考虑使用安全可靠的云服务提供商,加强数据安全防护。
定期进行安全漏洞扫描和安全培训也是企业在跨境数据交流中防范风险的有效措施。
综上所述,跨境数据交流的合规与风险防范是企业在全球化背景下必须重视的问题。
企业应当加强对于不同国家和地区法律法规的了解,确保数据交流活动合规。
同时,企业需加强数据安全意识,采取有效措施防范数据风险,保障数据的安全性和完整性。
只有做好合规与风险防范工作,企业在跨境数据交流中才能获得更多机遇并取得长期发展。
网络安全法中的个人信息跨境传输法律规制
网络安全法中的个人信息跨境传输法律规制在当今数字化的时代,信息的流动变得日益频繁和复杂,个人信息跨境传输更是其中一个备受关注的领域。
随着全球经济一体化的推进和互联网技术的飞速发展,个人信息的跨境传输已成为一种常见现象。
然而,这种传输也带来了一系列的安全隐患和法律风险,为了保障个人信息的安全和合法利用,我国《网络安全法》对个人信息跨境传输进行了明确的法律规制。
个人信息跨境传输的需求源于多种因素。
一方面,跨国企业在全球范围内开展业务,员工的个人信息、客户的资料等需要在不同国家和地区的分支机构之间流转;另一方面,云计算、大数据等技术的广泛应用,使得数据存储和处理不再局限于本地,个人信息可能被传输到境外的数据中心。
此外,国际合作、学术交流等活动也可能涉及个人信息的跨境传输。
然而,个人信息跨境传输并非毫无限制和风险。
在传输过程中,可能会出现个人信息被非法获取、篡改、滥用的情况,导致个人权益受到侵害。
例如,个人的金融信息、健康信息等敏感数据一旦泄露,可能会给个人带来财产损失、名誉损害甚至人身安全威胁。
同时,不同国家和地区对于个人信息保护的法律标准和要求存在差异,这也增加了跨境传输的复杂性和不确定性。
我国《网络安全法》对个人信息跨境传输的规制主要体现在以下几个方面。
首先,明确了个人信息跨境传输的原则和条件。
原则上,个人信息的跨境传输应当经过个人的同意,并且要符合法定的条件和程序。
其次,规定了关键信息基础设施运营者在个人信息跨境传输方面的特殊义务。
关键信息基础设施运营者收集和产生的个人信息和重要数据应当在境内存储。
因业务需要,确需向境外提供的,应当进行安全评估。
这一规定旨在保障国家的网络安全和公共利益。
此外,《网络安全法》还强调了个人信息跨境传输中的数据保护责任。
信息传输者和接收者都应当采取必要的措施,保障个人信息的安全。
如果发生个人信息泄露等安全事件,应当及时采取补救措施,并告知相关个人和主管部门。
为了更好地落实《网络安全法》中关于个人信息跨境传输的法律规制,相关部门出台了一系列配套的法规和政策。
数据跨境传输安全管理规范解读
数据跨境传输安全管理规范解读随着数字化时代的到来,全球各地的数据交流变得越发频繁。
数据的跨境传输也成为了当今社会中不可或缺的一部分。
然而,由于数据的敏感性和重要性,数据跨境传输安全问题也越来越引起人们的关注。
为了保护个人隐私和国家安全,各国纷纷制定了相应的数据跨境传输安全管理规范。
本文将对这些规范进行解读,帮助读者更好地了解和应对数据跨境传输安全管理问题。
一、背景介绍数据跨境传输安全管理规范是各国政府为了保护数据安全而制定的一系列法规和标准。
这些规范旨在限制和监管数据的跨境传输,以防止数据被非法获取、篡改或滥用。
数据跨境传输安全管理规范的出现是为了应对普遍存在的数据安全风险和挑战,确保数据传输的合法性和安全性。
二、数据跨境传输的挑战与风险数据跨境传输面临着多种挑战和风险。
首先,不同国家的法律体系和隐私保护标准存在差异,导致数据在跨境传输过程中易于受到侵犯。
其次,网络攻击和黑客入侵的频率和手段不断升级,使得数据跨境传输的安全性难以保障。
此外,大规模的数据泄露和滥用事件时有发生,给个人隐私和企业利益带来了巨大威胁。
三、数据跨境传输安全管理规范的主要内容为了规范数据的跨境传输行为,数据跨境传输安全管理规范主要包括以下内容:1. 数据隐私保护数据跨境传输安全管理规范要求各方在数据传输过程中确保数据的机密性和完整性。
各国可要求数据传输方使用加密技术和其他安全措施,保护数据不被非法获取或篡改。
2. 合规审核和监管数据跨境传输安全管理规范要求各方进行合规审核和监管,确保数据传输符合法律法规的要求。
各国政府可以设立专门的机构或部门负责数据跨境传输的监管和管理工作。
3. 数据使用目的和范围限制数据跨境传输安全管理规范要求各方在数据传输中明确规定数据的使用目的和范围。
传输方和接收方应当达成共识,并严格遵守相关约定,不得超出约定范围使用数据。
4. 跨境数据流转机制数据跨境传输安全管理规范要求建立跨境数据流转机制,确保数据传输符合法律法规的要求。
数据保护与跨境传输管理办法
数据保护与跨境传输管理办法随着全球化的发展和信息科技的广泛应用,数据保护和跨境传输管理成为了愈发重要的议题。
在信息化时代,个人数据的保护和安全性至关重要,而数据的流动也面临着一系列的挑战和风险。
为了更好地保护用户的隐私和数据安全,各国纷纷制定数据保护与跨境传输管理办法,以规范数据流动和保护个人信息。
一、数据保护的必要性和背景随着互联网和移动通信技术的飞速发展,人们的个人信息越来越容易被收集、传输和利用。
这些个人信息包括但不限于身份证号码、银行账户、健康状况等,一旦落入不法分子手中,将会对个人的隐私权利产生不可逆的伤害。
因此,数据保护成为了一项重要的法律和伦理问题。
二、数据保护与隐私权保护数据保护与隐私权保护有着密切的关系,它们共同构建了信息安全的法律框架。
数据保护以个人数据的收集、存储和使用为核心,旨在确保个人数据的合法性和安全性。
而隐私权保护涉及到个人隐私的保护,包括但不限于个人通信、家庭生活、住宅等。
数据保护与隐私权保护紧密结合,共同构建了数据安全和个人权利的保护体系。
三、跨境数据传输管理的挑战随着全球化的推进和互联网技术的普及,数据的跨境传输成为了一种常态。
然而,跨境数据传输涉及到不同国家和地区的法律制度、文化习惯和隐私保护标准的不同。
这给数据的流动带来了一系列的挑战。
首先,不同国家对个人数据的保护标准存在差异,难以实现全球数据的统一保护。
其次,随着云计算等技术的发展,跨境数据传输的方式日益多样化,给监管带来了困难。
此外,跨境数据传输还存在着数据泄露、数据滥用和隐私侵犯等风险。
四、数据保护与跨境传输管理办法的制定和实施为了解决数据保护和跨境传输管理的问题,各国纷纷制定了相应的法律法规和管理办法。
这些办法主要包括但不限于以下几个方面:1. 数据保护法律和标准的制定:各国制定了个人数据保护法律和标准,明确了个人数据的收集、存储、使用和处理规则,为数据保护提供了法律依据。
2. 跨境数据传输管理机制的建立:各国建立了跨境数据传输管理机制,包括数据出境审批、数据安全评估和隐私影响评估等,以规范跨境数据传输的合规性和安全性。
cross border data transfer 法规内容
cross border data transfer 法规内容随着互联网的普及与发展,跨境数据传输已成为国际商务领域中越来越重要的一环,但由于存在的法规限制,对于跨境数据传输的管理与规范成为各国政府普遍关注的焦点。
本文将轮廓性地介绍跨境数据传输法规的内容与管理。
一、数据出境监管制度1.1 出境信息安全测评出境数据应通过信息安全测评,判断数据是否具有敏感性和保密性;衡量数据是否会导致泄漏和数据恶意篡改等情形。
1.2 数据传输加密对于出境数据,应采取数据传输加密技术,以保障数据不被窃取或篡改。
1.3 暂存期限应设置暂存期限,即在上传或下载文件后,服务器或客户端应在一定时间内替换相关的文件,以确保数据不被他人获取或窃取。
二、法规范围2.1 国家标准国家标准分为两类,一类是通用性非行业规范,即适用于所有企业和机构;另一类是专门行业规范,适用于各个行业的企业和机构。
2.2 法规制度法规制度由政府出台,旨在帮助企业和机构规范和管理跨境数据传输行为。
网络安全法、数据安全规定等均是此类法规制度的代表。
三、具体要求3.1 对敏感信息的监管包括个人隐私、经济信贷信息、海关数据信息等,应在传输前进行归类和加密,严格限制可操作权限。
3.2 安全事故处置当数据传输发生安全事故时,应立即采取相应的处置措施,并对相关人员进行调查和追究责任。
3.3 数据审计记录应记录跨境数据传输的审计过程,以保障数据传输过程的安全性和合规性。
结论:跨境数据传输不仅需要符合本国的相关法规制度,还需要遵循目的国法规,做到合规性和保密性。
企业和机构应该在跨境数据传输的线上操作和线下组织管理上做好充分准备,以顺利实现跨境业务拓展。
数据跨境传输安全管理规范
数据跨境传输安全管理规范在当今信息时代,数据跨境传输已经成为企业发展的必然趋势。
然而,数据的跨境传输也面临着诸多安全隐患和风险。
为了保护数据的安全性和隐私性,确保数据跨境传输不受干扰和泄露,各国纷纷出台相关的管理规范。
本文将对数据跨境传输安全管理规范进行探讨。
一、数据分类和隐私保护数据是信息时代最重要的资产之一,不同类型的数据具有不同的敏感程度和隐私需求。
为了更好地保护数据的隐私,需要对数据进行分类,并采取相应的安全措施。
具体来说,可以将数据分为个人身份信息、商业机密和国家安全数据三类。
对于个人身份信息,应当严格依照相关法律法规的规定,对数据进行保护。
对于商业机密,企业应采取适当的技术手段,防止机密信息泄露。
对于国家安全数据,应严格按照国家相关部门的规定进行管理和传输。
二、数据传输加密和身份验证为了保证数据在跨境传输过程中的安全性,必须采取有效的加密和身份验证措施。
在数据传输过程中,可以采用加密通道,如SSL/TLS 协议等,对数据进行加密传输。
此外,还可以使用数字证书和双因素身份验证等方式,确保数据的传输双方的合法身份。
三、数据存储和备份数据的跨境传输并不仅仅是数据在传输过程中的安全性,还包括数据存储和备份的安全性。
在选择数据存储和备份的服务商时,应该考虑其数据安全管理能力,确保数据不会被非法访问和篡改。
同时,还应定期进行数据备份,并将备份数据存储在安全可靠的地方,以防止数据意外丢失。
四、合规监管和法律法规遵循在进行数据跨境传输时,企业应遵守相关的法律法规和合规监管要求。
各国和地区对于数据跨境传输都有一定的规定,企业应该了解并遵守这些规定。
同时,企业还应建立健全的数据安全管理制度,并进行相应的培训,确保员工的行为符合相关法律法规的要求。
五、安全审计和风险评估数据跨境传输涉及到诸多风险和安全隐患,因此需要进行安全审计和风险评估。
通过对数据跨境传输过程中的安全性进行审计和评估,可以发现安全漏洞和风险点,并及时采取相应的措施进行修复和预防。
各国数据跨境的法律法规要求-最新版2021
各国数据跨境的法律法规要求-最新版2021全球范围内,各国对于数据跨境管理的思路和政策存在差异。
美国和XXX是两个主要的管理思路引领者。
美国主张数据自由流动,利用科技和数据资源的优势推动数字经济的发展,但同时通过出口管制手段限制高科技、军民两用技术的数据出境。
XXX则采用“XXX境内松,XXX境外紧”的数据跨境管理模式,促进XXX内部数据的自由流动,同时通过《通用数据保护条例》(GDPR)保护XXX个人数据的安全,增强了对数据向境外流出的管控。
在中国,数据跨境管理的基本原则是在境内存储为原则,在满足法律规定的条件下可向境外提供。
企业在向境外提供个人信息时,需要满足一系列基础要求,如向数据主体告知境外接收方的身份和联系方式、获得数据主体的同意、进行个人信息保护影响评估等。
此外,还需要采取必要措施,确保境外接收方处理个人信息的活动达到个人信息保护标准,并确保境外接收方没有落入国家网信部门的黑名单。
在香港,《个人资料(私隐)条例》规定了数据跨境的要求,但至今未实施。
该条例禁止将个人资料转移到香港之外的地区,除非满足一系列条件,如该地方有与条例实质近似或致力于相同目的的生效法律、资料使用者有合理理由相信该地方有相同目的的生效法律等。
虽然该要求目前未实施,但最好还是遵守规定,因为未来可能会实施。
5) 该个人资料因为《条例》第八部分的豁免而不受个人资料保护第三原则的限制。
6) 资料使用者已经采取了所有合理的预防措施和履行了所有谨慎注意义务,以确保资料不会以任何与本《条例》相违背的方式在该地被收集、持有、处理或使用。
第33条转移包括两种情况:1) 将个人资料从香港转移到香港之外的地方;2) 将个人资料在香港之外的两处地方之间转移,但该转移受香港资料使用者控制。
日本的《个人信息保护法》(APPI)是受监管的指南。
该法已于2020年6月12日进行修订,将于2022年4月1日生效。
个人信息包括个人信息和个人数据。
个人信息”指可识别出特定个人的信息,包括与其他信息对照后可容易地识别出特定个人的信息,以及个人识别符号(如DNA、面容、虹彩、声纹、身份证号、护照号码等)。
互联网数据跨国传输法律限制
互联网数据跨国传输法律限制随着互联网的快速发展和全球化的趋势,数据的跨国传输成为了一个重要的议题。
互联网数据的跨国传输指的是在互联网上,数据从一个国家传输到另一个国家的过程。
然而,由于各国之间的法律制度和政策的差异,互联网数据的跨国传输面临着一些法律限制。
一、数据隐私保护数据隐私保护是互联网数据跨国传输中最重要的法律限制之一。
不同国家对于个人隐私的保护程度有所不同,因此在跨国传输数据时,必须遵守目的国的数据隐私保护法律。
例如,欧洲联盟的《通用数据保护条例》(GDPR)规定了个人数据的处理和传输要求,对于违反规定的企业可能面临巨额罚款。
因此,企业在进行数据跨国传输时,必须仔细审查目的国的数据隐私保护法律,确保合规操作。
二、网络安全和国家安全网络安全和国家安全也是互联网数据跨国传输中的法律限制。
各国为了保护自身的网络安全和国家利益,可能会对互联网数据的传输进行限制。
例如,一些国家要求在数据跨国传输过程中进行安全审查,以确保数据不被窃取或篡改。
此外,一些国家还可能对特定类型的数据进行限制,例如军事、情报等敏感数据。
因此,企业在进行跨国数据传输时,需要遵守目的国的网络安全和国家安全法律要求。
三、知识产权保护知识产权保护是互联网数据跨国传输中的另一个法律限制。
在数据跨国传输过程中,可能涉及到各种形式的知识产权,如专利、商标、版权等。
不同国家对于知识产权的保护程度和法律规定也有所不同。
因此,在进行数据跨国传输时,必须确保不侵犯他人的知识产权,并遵守目的国的知识产权法律。
否则,企业可能会面临知识产权侵权的法律责任。
四、数据主权和数据本地化要求数据主权和数据本地化要求是一些国家对互联网数据跨国传输的特殊要求。
一些国家要求企业将其国内的数据存储在本国境内,并对跨境传输的数据进行审查和监管。
这种做法旨在保护国家的数据主权和信息安全。
然而,这种要求可能会对企业的运营和成本产生一定的影响。
因此,企业在进行数据跨国传输时,需要了解目的国对于数据主权和数据本地化的要求,并作出相应的调整。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
严格保密日期二〇一八年九月八日
收件人上海陆家嘴国际金融资产交易市场股份有限公司
(以下简称为"贵司"或"陆金所")
发件人北京市金杜律师事务所上海分所("本所"或"我们")
事由陆国际信息与数据跨境传输的法律分析备忘录
各位领导:
我们谨提及近期与贵司关于题述事项的讨论。
我们理解,陆国际(新加坡)金融资产交易所(“陆国际”),陆国际在新加坡注册,并取得了基金销售、基金管理、证券交易和豁免的投资顾问牌照。
目前陆国际将其所拥有的数据(用户个人信息、交易数据、行为数据等)全部外包给陆科技进行存储。
平安科技将在新建新加坡机房内完成一个数据中心的搭建,之后进行新加坡EQ机房的改造,并最终和陆科技机房形成一个同城双活的结构。
搭建完成后会将陆国际在上海的数据和核心应用全部迁移到新加坡。
结合我们在与贵司进行的现场会议中对题述事宜了解的情况,我们将在本法律分析备忘录中就题述事宜是否符合相关法律规定进行分析,并提供相应参考建议。
本法律备忘录暂不涉及对陆国际网络运营是否符合中国境内法律规定与监管要求的分析,亦不涉及中国境内公民通过陆国际网络系统接受陆国际提供的服务或者向陆国际提供个人信息是否符合法律或监管
规定等问题。
一、是否需严格参照适用《评估办法》与《评估指南》
目前数据出境参照的法律法规主要是《中华人民共和国网络安全法》(“《网安法》”)、《个人信息和重要数据出境安全评估办法(征求意见稿)》(“《评估办法》”)、《信息安全技术数据出境安全评估指南(征求意见稿)》(“《评估指南》。
《评估办法》和《评估指南》均处于征求意见阶段,尚未生效实施。
2017年,国家互联网信息办公室就《评估办法》公开征求意见,细化了关于个人信息和重要数据出境安全评估的相关规定。
在此基础上,全国信息安全标准化技术委员会公布了《评估指南》,对个人信息和重要数据出境安全评估的评估流程、评估要点、评估方法等作出详细规定。
虽然上述两项规定已公开征求意见一年有余(目前也无相关口径印证近日即将实施),但仍然无迹象表明具体生效实施时间,因此陆国际作为网络运营者在遵守《网安法》和其他行业主管部门规定的前提下,当前《评估办法》与《评估指引》对网络运营者落实安全评估的相关规定仅具有指导作用。
二、《网安法》对于“数据出境”的规定
《网安法》第三十七条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。
因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
”第七十六条(三)款规定:“网络运营者,是指网络的所有者、管理者和网络服务提供者。
”
但是《网安法》并未对“关键基础设施”、“境内运营”和“向境外提供(数
据出境)”做出进一步界定。
三、《评估办法》、《评估指南》对于“数据出境”的相关规定
1、关键基础设施。
《评估办法》与《评估指南》均未对关键信息基础设施做出明确规定和界定标准。
《网安法》第三十一条规定“金融”属于重点行业和领域,其关键信息基础设施范围由国务院另行制定,据我们了解目前相关标准和保护措施的规定正由人民银行牵头其他各部委共同制定。
2、境内运营。
《评估指南》规定,境内运营是指网络运营者在中华人民共和国境内开展业务,提供产品或服务的活动。
注1:未在中华人民共和国境内注册的网络运营者,但在中华人民共和国境内开展业务,或向中华人民共和境内提供产品或服务的,属于境内运营。
注2:中华人民共和国境内的网络运营者仅向境外机构、组织或个人开展业务、提供商品或服务,且不涉及境内公民个人信息和重要数据的,不视为境内运营。
根据上述规定,陆国际作为“未在中华人民共和国境内注册的网络运营者”是否在中国境内或者向中国境内开展业务是构成“境内运营”判断标准的关键。
根据WTO《服务贸易总协定》(GATS)规定,服务贸易分为四种模式,分别是(1)商业存在;(2)跨境交付;(3)境外消费;(4)自然人流动。
在互联网金融领域,上述(2)跨境交付与(3)境外消费两种模式界限难以区分,由于我国加入WTO时对于(2)、(3)、(4)模式均不作开放承诺,因此陆国际通过网络运营向中国境内公民开展业务是否构成“境内运营”直接关系到是否违反中国金融监管规定,由于本邮件答复不涉及该咨询问题,我们仅作风险提示。
具体而言,陆国际开展网络运营如果属于(3)境外消费模式,则不属于中国管辖,自
然无适用中国法律规定余地。
陆国际开展网络运营如果属于(2)跨境交付,则属于中国管辖,应当适用中国境内法律规定。
由于我们对陆国际网络运营模式并不清楚,因此我们提醒可以参照《评估指南》第3.7条规定进一步判断,参考因素包括但不限于:使用中文;以人民币作为结算货币;向中国境内配送物流等。
3、数据出境。
《评估办法》规定,数据出境是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构、组织、个人。
《评估指南》规定,数据处境是指运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。
注1:以下情形属于数据出境:
a)向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据;
b)数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外);
c)网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。
为答复邮件咨询的题述问题,我们假设:
(1)如果最终认定陆国际网络运营属于境内运营;
(2)平安科技下设的境外数据中心不属于境外主体,系境内主体平安科技在境外设立的数据业务中心;
根据上述假设和结合前述规定,我们认为“陆国际将境内主体陆科技存储的数据迁移至平安科在境外设立的数据中心”属于“数据出境”,根据《评估办法》、《评估指南》规定应当采取适当的安全评估和行业主管部门批准程序(如果需要)。
四、网络运营者自行评估与行业主管机关批准
《网安法》体系下的“数据跨境传输管理机制”以企业自评估为基础,以行业主管部门批准为补充,通过评估机制完成数据跨境传输的审核,主要包括以下三种情况:
(1)基于自行评估的跨境传输
根据《网安法》《评估办法》以及《评估指南》规定,一般情况下,网络运营者自行评估后结果显示可以跨境传输的,即可跨境传输个人信息和重要数据;存在特殊情况的,网络运营者还需将跨境传输评估情况报行业主管部门组织安全评估。
(2)须经主管部门同意的跨境传输
根据《网安法》第三十七条、《评估办法(征求意见稿)》第二条,关键信息基础设施运营者因业务需要确需出境的,应在数据出境前进行安全评估,并报经行业主管部门同意。
(3)禁止跨境传输的数据
根据《评估办法》第十一条,如经评估,存在以下情况之一的,数据不得出境:
(一)个人信息出境未经个人信息主体同意,或可能侵害个人利益;
(二)数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响
国家安全、损害社会公共利益;
(三)其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的。
目前《评估办法》和《评估指南》均未正式颁布生效,因此可以参照相关规定作为执行指引。
但若在陆国际严格适用《评估办法》以及《评估指南》的前提下:
首先,依据《评估办法》第七条,陆国际作为网络运营者应自行组织对数据出境进行安全评估;
其次,就我们被告知情形,陆国际平台虽然不满足《评估办法》第九条“(一)含有或累计含有50万人以上的个人信息;(二)数据量超过1000GB”之规定,但陆国际网络系统如果符合《网安法》第三十一条规定的“关键信息基础设施”之定义,则需遵守《评估办法》第九条“(五)关键信息基础设施运营者向境外提供个人信息和重要数据”之规定,即需要报请行业主管或监管部门组织安全评估,并按照第二条规定报经行业主管部门同意。
就我们目前被告知情形,从《网安法》第三十一条规定和立法精神判断,我们理解陆国际网络系统被认定为“关键信息基础设施”的可能性较低。
五、数据出境应经个人信息主体同意
《网安法》第四十一条规定网络运营者收集、使用个人信息,应当遵循“明示+同意”的原则;《个人信息安全规范》第5.3条规定“关于信息主体对信息收集的授权同意中,应当包括个人信息存放地域、存储期限等”;《评估办法》第四条规定“个人信息出境,应向个人信息主体说明数据出境的目的、范围、内容、
接收方及接收方所在的国家或地区,并经其同意”;第十一条规定“如经评估,存在以下情况之一的,数据不得出境:(一)个人信息出境未经个人信息主体同意,或可能侵害个人利益;……”
根据上述规定,我们理解数据出境征得个人信息主体明示同意应当于出境前完成,陆国际隐私权政策中应当增加相应的授权或者同意条款。
* * *
免责声明
我们仅根据本法律备忘录出具日有效的中国现行法律、法规和规范性文件和我们届时对市场实践的观察出具本法律备忘录。
本法律备忘录仅供贵司就题述事宜之目的而使用。
未经我们事先许可, 本法律备忘录不得为任何其他目的被第三方所依赖或者向第三方披露。
北京市金杜律师事务所上海分所
二〇一八年九月八日。