香港企業應了解的數據傳送規定:中國的跨境數據傳送的安全評估規定
簡介
新的中國《網絡安全法》於2017年6月1日生效時,同時發表了《個人信息和重要數據出境安全評估辦法》(《評估辦法》)草稿,諮詢公眾意見。其後,內地頒布了《數據安全法》及《個人信息保護法》,均觸及「重要數據」,以及重要數據和中國網民個人資料等其他數據的跨境轉移。
2022年7月7日,國家互聯網信息辦公室(「網信辦」)頒布《數據出境安全評估辦法》,於2022年9月1日起生效。本文概述香港企業就跨境數據轉移的安全評估應遵守的規定(請注意,企業還須就《個人信息保護法》所指的個人信息遵守其他規定,例如取得同意及進行個人信息保護影響評估)。
《評估辦法》
適用情況
一般而言,中國的數據法規像歐盟《通用數據保障條例》一樣,採用數據本地化規則處理個人信息(數據)及在中國營運期間收集及產生或與中國網民有關的其他重要數據。《評估辦法》第四條規定,任何向中國境外轉移數據的實體如符合以下任何條件,則必須申請安全評估:
1.
數據處理者向境外提供重要數據;
2.
關鍵信息設施營運者向境外提供重要數據及個人信息;
3.
處理100萬人以上個人信息的數據處理者向境外提供個人信息;
4.
自上年1月1日起累計向境外提供10萬人個人信息或1萬人敏感個人信息的數據處理者向境外提供個人信息;
5.
網信辦規定的其他需要申報安全評估的情形。
重要數據
根據《評估辦法》,「重要數據」是指「一旦遭到篡改、破壞、洩露或者非法獲取、非法利用等,可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據」。
重要數據的確切範圍尚未清晰,可能仍需一段時間才能確定重要數據的詳細範圍。重要數據包括以下信息:
敏感個人信息
根據《個人信息保護法》,敏感個人信息是指一旦洩露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息。《個人信息保護法》提供的例子包括:
1.
生物識別
2.
宗教信仰
3.
特定身份,例如性別身份及性取向
4.
醫療健康
5.
金融帳戶
6.
行蹤軌跡等信息
7.
未滿十四周歲未成年人的個人信息
跨境數據轉移
《評估辦法》並無界定何謂「跨境數據轉移」,但根據網信辦,以下情況被視為須進行安全評估的數據出境:
1.
數據處理者在中國境外轉移及儲存在中國收集及產生的數據;及
2.
數據處理者儲存在中國境內收集及產生的數據,但海外機構及個人可遙距存取該等數據。
在上述情況下從中國內地轉移數據到香港將被視為跨境數據轉移,而如果有關轉移符合上文所述的條件,便需進行安全評估。因此,如果一間香港公司希望在香港遙距存取位於中國內地的若干資料而此存取符合上述情況(例如涉及10,000名中國職員或顧客的敏感個人信息),便需要進行安全評估。
如果在《評估辦法》生效日期前進行的跨境數據轉移不符合《評估辦法》的規定,數據處理者必須於《評估辦法》生效後6個月內(即2023年2月28日前)採取糾正措施。
安全評估程序
自我評估
數據處理者可進行自我評估,並透過省級地方互聯網管理部門向網信辦報告有關安全評估。自我評估程序及報告需考慮以下因素:
1.
(a) 跨境轉移及 (b) 接收方在境外處理數據的目的、範圍及方式的合法性、正當性及必要性;
2.
出境數據的數量、範圍、類型及敏感程度,以及跨境數據轉移可能對國家安全、公眾利益及個人或機構的合法權利及權益帶來的風險;
3.
境外接收方承諾承擔的責任和義務,及其履行上述責任和義務的管理及技術措施及能力能否確保出境數據的安全;
4.
出境數據在跨境轉移過程期間及之後被篡改、破壞、洩露、遺失、轉移、非法獲取或非法使用等的風險,及維護個人信息權利及權益的渠道是否通暢等;
5.
擬與境外接收方訂立的跨境數據轉移合同或其他具有法律效力的文件等是否充分約定了數據安全保護責任及義務;及
6.
其他可能影響跨境數據轉移安全的事項。
總結
香港企業即使沒有在中國內地經營業務,但如有遙距處理個人信息或重要數據,則仍須遵守《評估辦法》,否則可能導致嚴重後果,例如根據《個人信息保護法》被罰款,案情嚴重者最高罰款人民幣50,000,000元或上年度營業額的5%。為遵守《評估措施》的相關規定,企業最好徵詢專業及法律意見,以避免及減輕違反相關資料保障法律的情況。
如有查詢,歡迎與我們聯絡: |
E: technology@onc.hk T:
(852) 2810 1212 香港中環康樂廣場8號交易廣場第三期19樓 |
注意:以上內容涉及十分專門和複雜的法律知識及法律程序。本篇文章僅是對有關題目的一般概述,只供參考,不能構成任何個別個案的法律意見。如需進一步的法律諮詢或協助,請聯絡我們的律師。 |
ONC柯伍陳律師事務所發行 © 2022 |