盈科律所:2023中国个人信息出境标准合同白皮书.pdf

基于对个人信息的保护和对国家安全的重视,越来越多的国家和地区开始加强对企业跨境个人信息流动的监管。个人信息合规跨境传输成为当今企业跨国经营时必须面临和解决的问题。

近年来,我国逐渐通过一系列法律法规,明确了个人信息出境的三大基础路径:数据出境安全评估、个人信息保护认证和个人信息出境标准合同。基于《个人信息出境标准合同办法》于2023年6月1日起开始施行,并随着2023年5月30日国家网信办发布《个人信息出境标准合同备案指南(第一版)》,我国个人信息出境标准合同路径已落地执行。

随着大数据时代的到来,数据作为重要的经济生产要素、国家安全资源,已成为各国争夺的对象。世界主要经济体先后出台了数个个人信息保护相关法案,整体来看,全球各法域对个人信息的跨境流动监管趋严。

(一)欧盟

欧盟于2016年通过《通用数据保护条例》 (GDPR),明确规定了个人数据跨境转移的条件。目前欧盟个人信息跨境传输路径主要分为以下三种机制:

一是充分性认定。根据GDPR规定,只有当第三国对个人数据的保护水平达到欧盟的要求,欧盟成员国的个人数据才能进行数据跨境流动。认定第三国是否提供“充分”数据保护,主要是根据第三国个人数据保护相关法律制度的完备情况、执行情况等因素判断。但目前中国尚未通过该认定;

二是适当保障措施,常见的为标准合同条款(SCCs)和约束性企业规则(BCRs)。标准合同条款是从欧洲经济区向区域外第三国或组织跨境传输数据时使用的标准合同文本,通过合约的形式约束数据输出者和数据输入者,以确保个人数据获得充分的保护。约束性企业规则可以简单地理解为适用于跨国企业的“白名单”,即当欧盟行政机关对整个企业内部的数据跨境流通合规框架审查合格之后,企业内部的个人数据跨境流通不再受限;

三是克减情形。克减仅适用于只涉及少量数据主体在特定情形下偶尔进行的数据跨境传输,数据输出者不应将此作为常规化数据跨境传输的合法依据。

(二)美国

美国对个人数据跨境传输的政策规制整体持开放态度,先后与欧盟签订《安全港协议》和《隐私盾协议》,对大西洋两岸跨境转移个人数据的隐私保护进行规范。但在特定的重要数据上,美国则采取了相应限制措施。如制定被称为“全球最贵数据保护法案”的《加州消费者隐私法案》 (CCPA)和对部分关键技术与特定

领域的数据出口进行限制的《出口管理条例》(EAR)。另外,美国在医疗健康领域的《健康保险可携性和责任法案》(HIPAA)和金融服务数据方面的《格雷姆一里奇-比利雷法案》 (GLB)等行业特殊规定也需要重点关注。

(三)新加坡

《个人数据保护法》 (PDPA)是新加坡的主要个人信息保护立法,用来管理各机构对个人数据的收集、使用和披露。PDPA适用于所有在新加坡收集、使用和披露个人数据的营业机构,无论其是否在新加坡物理存在。

PDPA规定,企业必须遵守数据转移限制的义务。即除非企业能确保个人数据的接收者受到法律上可执行的义务的约束,被转移的个人数据获得与PDPA规定的保护标准相当的保护,否则个人数据不能被转移到新加坡以外的国家或地区。这些“可依法执行的义务”包括根据法律法规、合同或具有约束力的公司规则或任何其他具有法律约束力的文书规定的义务。

(四)韩国

韩国是世界上对数据安全相关规定最严格的法域之一。韩国个人信息保护委员会(PIPC)在对《个人信息保护法》 (PIPA)的修正案中增加了向海外传输个人数据的方法。除此之外,还颁布了一系列PIPA的配套实施条例,包括《个人信息保护标准指南》《关于个人信息影响评估的通知》《违反个人信息保护法的处罚标准》《个人信息技术和行政保护措施标准》等。

(五)日本

日本与欧盟于2019年作出“充足性认定”,互相认定对方的保护水平及安全措施,允许个人数据在欧盟和日本之间自由流动。但日本对于其本土个人数据跨境传输态度较为严格。2022年4月修订后的《日本个人信息保护法》 (APPI)在保留原有要求处理个人信息的经营者应获取数据主体的同意之外,新增了披露信息接收方所在国家及该国的个人信息保护体系、信息接收方采取的个人信息保护措施的要求;如采取必要措施确保该境外第三方持续实施了与APPI对个人信息的保护要求相当的保护措施,并能够在数据主体要求的情况下提供关于企业采取的必要措施的信息等要求。

本文来自知之小站

 

PDF报告已分享至知识星球,微信扫码加入立享3万+精选资料,年更新1万+精选报告

(星球内含更多专属精选报告.其它事宜可联系zzxz_88@163.com)