羽山数据-合规、权威、安全,数据科技赋能产业升级。羽山数据践行数据要素市场化合规流通,为金融、保险、人事、安防、互联网等行业提供企业数字化解决方案。

slider
New

  • 中国:CBDT路线现已全部畅通——CAC认证路线指南草案公布

    发布时间: 2023-03-23

    作者:CarolynBigg,阿曼天然气,VenusCheung和GwynethTo

    它现在有时间提醒数据控制器需要通过CAC认证途径注册中国个人信息的海外处理背景:大多数PRC数据控制者应该已经确定是否允许CCC评估/批准路线(请参阅我们的摘要单击此处和单击此处),中国SCC路线(请参阅我们的摘要此处)或监管行业的特定路线,并已开始遵守该路线的要求,直到PRC数据控制器知道处理中国个人信息的人知道有可能遵循CAC认证路线,但不知道这意味着什么

    现在,密切关注中国SCC的最终结果,个人信息跨境转移认证要求指南草案(“指南草案”)——跨境转移合法化的主要途径之一——于2023年3月16日在公共咨询中发布。

    谁可以通过中国个人信息认证途径:
    1. 非PRC数据控制者;和
    2. 仅将中国大陆以外的个人信息转移到其集团公司(集团内部没有任何其他转移)且不设置其他三条跨境数据转移(“CBDT”)路线的阈值的有限数量的PRC数据控制者

    通过其他CBDT路线的提醒:

    • 满足CCC评估/批准路线阈值的组织有:(1)被指定为关键信息基础设施运营商的组织;(2) 导出“重要数据”的组织;(3) 处理数百万个人的个人信息并倾向于导出其中一些信息的组织;或(4)向海外转移的个人信息控制者(i)总计超过100000人的个人信息,或(ii)总计超过10000人的敏感个人信息,其中“未汇总”是指自最近一年1月1日起的期间
    • 符合中国SCC路线的组织是PRC数据控制者,他们不设置CAC评估/批准阈值,也不将数据转移到中国境外,而只是他们自己的公司集团;并且
    • 某些受监管的行业将需要遵循行业监管机构规定的路线

    什么是CAC认证途径:那些必须遵循CAC认证路线的人,必须通过以下五个步骤才能开始跨境转移中国个人信息:

    1. 法律签署协议:必须由数据控制器用中国个人信息的海外接收来代替DPA包含的限制,以确保其权益数据主体受到充分保护。协议至少应包括:
        • 有关数据控制器和其他接收方的基本信息
        • 跨境数据处理的目的、范围、类型、灵敏度、数量、方法、保留期、存储位置
        • 数据控制器和海外接收者在保护个人信息方面的责任和义务
        • 数据主体权利,以及保护此类权利的方法
        • 救济、终止、赔偿责任、争议解决等
        • 过度接收并开始与作为CBDT数据控制器的一系列fob连接兼容,并且保护级别不会低于PRClaw和法规要求的标准
        • 海外接收和准备接受加拿大认证机构对人员信息跨境处理的监控(见下文)
        • 过度接收并准备接受《残疾人权利公约》数据保护法律和法规的管辖权
        • 在PRC中有早期指定的合法性,负责履行保护个人信息的义务
        • 数据控制方和境外接收方对侵犯个人信息权承担民事责任,并明确同意任何一方承担的民事责任;以及
        • 适用法律和法规下的其他义务

    数据主体在法律约束协议的基础上注册了第三方权益,这使他们能够行使其数据主体权利,并直接从海外收件人处查看课程组织应考虑以中国SCC为起点,并适当实施(即包括由中国认证机构进行监督等要求)

     

    • 组织管理:数据控制器必须:
        • 任命DPO:《开发指南》列出了DPO的责任范围,但没有说明DPO应位于何处(即中国大陆内外),以及这与《个人信息保护法》(“PIPL”)中PRC数据控制器的“法律代表性”概念如何一致(以及上述与具有法律约束力的协议有关的内容);和
        • 在单位或组织内建立“个人信息保护机构”,以履行个人信息保护的义务(主要是进行PIIA、定期合规审计以及与认证机构的合作,作为跨境处理活动的长期监督),不幸的是,《漂流指南》没有规定在何处以及如何建立非PRC数据控制器
    • 处理个人信息的一般规则:实施数据保护合规计划,以确保中国的个人信息按照标准处理到IPL和其他中国数据保护法中,如数据安全和数据保留
    • PIIA:在海外转移前进行个人信息影响评估(“PIMIA”,中国版GDPDPIA)
    • 认证过程:《认证指南》不会中止实际的“认证”过程和时间线,而是在对必须遵循CAC认证流程的认证进行监督的情况下,由CAC分支机构指定认证机构。这表明需要某种形式的注册或延期,一些令人惊讶的迹象表明,监控将由数据控制器和中国个人信息的海外接收者进行

      CAC认证并不是唯一的CBDT合规步骤:采取上述CAC认证步骤是为了使个人信息的跨境传输具有合法性。如果您受CAC认证框架的约束,请不要将其设置为单独的,明确数据主体对跨境数据传输的同意(为处理(内部)敏感个人信息提供一般同意和单独同意)

      下一步

      关于《征求意见稿指南》的公开咨询将于2023年5月15日结束。在《征求意见书指南》确定之前,对其进行修改并不罕见,因此组织应密切监测未来几个月的发展情况。与此同时,组织应立即采取其他CBDT合规步骤,以达到对CAC认证流程的预期请联系CarolynBigg(合作伙伴)或AmandaGe(OfCounsel)如果您有任何问题或了解这对您的组织意味着什么

     

    -

    上一篇文章:数据要素市场化的理论内涵、现实挑战和实践路径
    下一篇文章:DBHawk与Microsoft Azure合作,获得敏感数据专利
    • 1 - 1
note

本专栏搜集引用互联网上公开发表的数据服务行业精选文章,博采众长,兼收並蓄。引用文章仅代表作者观点,不代表羽山数据官方立场。

如有侵权、违规及其他不当言论内容,请广大读者监督,一经证实,平台会立即下线。监督电话:400-110-8298