国际个人数据传输标准合同最终确定,将于2023年6月1日生效。
2023年2月24日,国家网信办发布《个人信息境外跨境传输标准合同办法》(以下简称《办法》)。
首先,这些措施最终确定了接收方和发送方之间的标准合同。跨境个人数据传输的关键组成部分之一。并进一步补充了规范个人数据的首要法律《个人信息保护法》。这些措施通过加强对跨境数据传输的管理和保护,进一步执行各项规定。
此外,《办法》要求已签署的标准合同自生效之日起10个工作日内在当地省级网络信息部门备案。
因此,在6月1日之前,在华国际子公司应准备与总部和相关第三方一起调整程序,以确保履行法律义务。关于最后期限,《办法》规定,自2023年6月1日(自《办法》生效之日起)起,各公司有6个月的宽限期来纠正其行为并遵守《办法》的要求。
下面,我们将公司的措施进行分解,以符合即将到来的法律义务。
适用范围
该标准合同适用于在中国成立的通过个人信息处理器向中华人民共和国境外的接收者提供个人信息的公司。并满足以下所有条件(其他法律法规另有规定的除外):
不是关键信息基础设施运营商(CIIO);
处理少于一百万个人的个人信息;
自上一年1月1日起,向海外接收者提供总计少于100,000人的个人信息;和自上一年1月1日起,向任何海外收件人提供总计少于10,000人的敏感个人信息。
CIIOs由相关行政和监督机构(“机构”)按行业进行定义。当局应通知已确定的操作员。因此,没有收到通知的公司可能会认为它们没有被定义为CIIO。
值得注意的是,公司不能通过以下方式规避义务分离要转移到海外的个人数据量;或者使用标准合同作为接受安全评估的个人数据的替代选择。
标准合同格式
CAC发布了标准合同格式(“格式”)作为本办法的补充。应严格遵守表格中的内容。
此外,公司希望在表格中补充附加条款,这些条款不得与表格相冲突。
表格的条款包括:
定义;
个人信息处理者的义务;
海外接管人的义务;
当地政策和法规的影响;
个人信息主体的权利;
导出活动包括数据处理目的、处理方法、出站个人信息的规模和类型、敏感个人信息的类型、第三方接收者(如果有)、传输方法、存储期限、存储位置等。
事故补救措施;
合同终止;
违约责任。
同样,应遵守相关合同、法律和法规中的义务。
备案义务
标准合同应在10个工作日内向当地主管部门备案。
此外,公司应在标准合同中提交个人信息保护影响评估报告。
此外,《办法》要求标准合同有下列变更的,应当重新签订并备案:
对标准合同内容的调整;
当地政策法规的变化;
或者其他可能影响个人信息权益的情形,
惩罚
违反行为将受到《个人信息保护法》规定的处罚,包括行政、民事责任,违反刑法的案件将根据违反行为的严重程度追究刑事责任。行政处罚可能包括警告、责令整改、罚款、没收违法所得、暂扣或吊销相关执照或许可证,甚至对责任人员行政拘留。
同样,对于民事责任,违反者应赔偿因不遵守规定而造成的损失以及对个人信息或个人信息主体的损害。
为准备生效日期,公司(尤其是国际业务)应评估跨境个人数据传输,并实施标准合同以满足截止日期。
Comments