香港企业应了解的数据传送规定:中国的跨境数据传送的安全评估规定
简介
新的中国《网络安全法》于2017年6月1日生效时,同时发表了《个人信息和重要数据出境安全评估办法》(《评估办法》)草稿,咨询公众意见。其后,内地颁布了《数据安全法》及《个人信息保护法》,均触及「重要数据」,以及重要数据和中国网民个人资料等其他数据的跨境转移。
2022年7月7日,国家互联网信息办公室(「网信办」)颁布《数据出境安全评估办法》,于2022年9月1日起生效。本文概述香港企业就跨境数据转移的安全评估应遵守的规定(请注意,企业还须就《个人信息保护法》所指的个人信息遵守其他规定,例如取得同意及进行个人信息保护影响评估)。
《评估办法》
适用情况
一般而言,中国的数据法规像欧盟《通用数据保障条例》一样,采用数据本地化规则处理个人信息(数据)及在中国营运期间收集及产生或与中国网民有关的其他重要数据。《评估办法》第四条规定,任何向中国境外转移数据的实体如符合以下任何条件,则必须申请安全评估:
1.
数据处理者向境外提供重要数据;
2.
关键信息设施营运者向境外提供重要数据及个人信息;
3.
处理100万人以上个人信息的数据处理者向境外提供个人信息;
4.
自上年1月1日起累计向境外提供10万人个人信息或1万人敏感个人信息的数据处理者向境外提供个人信息;
5.
网信办规定的其他需要申报安全评估的情形。
重要数据
根据《评估办法》,「重要数据」是指「一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据」。
重要数据的确切范围尚未清晰,可能仍需一段时间才能确定重要数据的详细范围。重要数据包括以下信息:
敏感个人信息
根据《个人信息保护法》,敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。《个人信息保护法》提供的例子包括:
1.
生物识别
2.
宗教信仰
3.
特定身份,例如性别身份及性取向
4.
医疗健康
5.
金融帐户
6.
行踪轨迹等信息
7.
未满十四周岁未成年人的个人信息
跨境数据转移
《评估办法》并无界定何谓「跨境数据转移」,但根据网信办,以下情况被视为须进行安全评估的数据出境:
1.
数据处理者在中国境外转移及储存在中国收集及产生的数据;及
2.
数据处理者储存在中国境内收集及产生的数据,但海外机构及个人可遥距存取该等数据。
在上述情况下从中国内地转移数据到香港将被视为跨境数据转移,而如果有关转移符合上文所述的条件,便需进行安全评估。因此,如果一间香港公司希望在香港遥距存取位于中国内地的若干资料而此存取符合上述情况(例如涉及10,000名中国职员或顾客的敏感个人信息),便需要进行安全评估。
如果在《评估办法》生效日期前进行的跨境数据转移不符合《评估办法》的规定,数据处理者必须于《评估办法》生效后6个月内(即2023年2月28日前)采取纠正措施。
安全评估程序
自我评估
数据处理者可进行自我评估,并透过省级地方互联网管理部门向网信办报告有关安全评估。自我评估程序及报告需考虑以下因素:
1.
(a) 跨境转移及 (b) 接收方在境外处理数据的目的、范围及方式的合法性、正当性及必要性;
2.
出境数据的数量、范围、类型及敏感程度,以及跨境数据转移可能对国家安全、公众利益及个人或机构的合法权利及权益带来的风险;
3.
境外接收方承诺承担的责任和义务,及其履行上述责任和义务的管理及技术措施及能力能否确保出境数据的安全;
4.
出境数据在跨境转移过程期间及之后被篡改、破坏、泄露、遗失、转移、非法获取或非法使用等的风险,及维护个人信息权利及权益的渠道是否通畅等;
5. 拟与境外接收方订立的跨境数据转移合同或其他具有法律效力的文件等是否充分约定了数据安全保护责任及义务;及
6.
其他可能影响跨境数据转移安全的事项。
总结
香港企业即使没有在中国内地经营业务,但如有遥距处理个人信息或重要数据,则仍须遵守《评估办法》,否则可能导致严重后果,例如根据《个人信息保护法》被罚款,案情严重者最高罚款人民币50,000,000元或上年度营业额的5%。为遵守《评估措施》的相关规定,企业最好征询专业及法律意见,以避免及减轻违反相关资料保障法律的情况。
如有查询,欢迎与我们联络: |
E: technology@onc.hk T:
(852) 2810 1212 香港中环康乐广场8号交易广场第三期19楼 |
注意:以上内容涉及十分专门和复杂的法律知识及法律程序。本篇文章仅是对有关题目的一般概述,只供参考,不能构成任何个别个案的法律意见。如需进一步的法律咨询或协助,请联络我们的律师。 |
ONC柯伍陈律师事务所发行 © 2022 |