Đánh bạc trực tuyến Việt Nam研究 Đánh bạc trực tuyến Việt Nam研究
LANDING RESEARCH
Đánh bạc trực tuyến Việt Nam研究
首页 专业文章 文章详情
Đánh bạc trực tuyến Việt Nam研究 | 新规视角下数据出境合规难点Q&A(上)

《促进和规范数据跨境流动规定》于2024年3月22日出台并生效,在新规出台的背景下,针对数据出境,近期Đánh bạc trực tuyến Việt Nam数字经济团队收到不少与之相关的咨询与提问,借此机会,我们将常见问题整理成文,以供企业在实施出境合规工作时参考。

当然,其中不乏部分问题在实践之中可能仍无一个统一或者明确的解决方案,我们在这里暂先给出一个倾向性的回复与建议。

Q1

《促进和规范数据跨境流动规定》下,相较于此前的数据出境路径有什么变化?对企业的数据合规思路有什么影响?

《促进和规范数据跨境流动规定》的出台对企业来说是重大利好。例如《促进和规范数据跨境流动规定》提出了豁免情形,免除了企业在豁免情形下的申报数据出境安全评估、订立Đánh bạc trực tuyến Việt Nam出境标准合同、通过Đánh bạc trực tuyến Việt Nam保护认证义务,提高了跨境申报和Đánh bạc trực tuyến Việt Nam标准合同备案的门槛。

为了便于大家理解,我们将非豁免情形下,企业应履行的义务总结图如下图,以供相关企业快速识别企业应采取的合规措施:

Q2

《促进和规范数据跨境流动规定》下,有哪些常见的豁免情形?

《促进和规范数据跨境流动规定》的第3条至第6条对豁免情形作出了明确规定,可总结如下图:

Q3

如果企业落入豁免情形,还需要履行哪些合规义务?

企业落入豁免情形仅意味着企业可以免于进行Đánh bạc trực tuyến Việt Nam标准合同备案/Đánh bạc trực tuyến Việt Nam保护认证/数据跨境申报义务企业仍需履行其他合规义务,具体包括:

(1)《Đánh bạc trực tuyến Việt Nam保护法》第三十九条,针对数据跨境事项根据取得Đánh bạc trực tuyến Việt Nam主体的单独同意;
(2)与数据接收方签署《Đánh bạc trực tuyến Việt Nam出境标准合同》(以下或称“SCC”);
(3)根据《Đánh bạc trực tuyến Việt Nam保护法》第五十五条人信息保护影响评估(以下或称“PIA”),并在PIA之中论证企业所涉及的数据出境场景落入豁免情形;

(4)根据《Đánh bạc trực tuyến Việt Nam保护法》第五十五对所涉及的Đánh bạc trực tuyến Việt Nam出境情形进行记录。

Q4

在豁免情形下,签署SCC是最佳实践还是强制性义务?

新规中并未明确签署SCC是强制性义务。但是,根据《Đánh bạc trực tuyến Việt Nam保护法》第38条的规定:“Đánh bạc trực tuyến Việt Nam处理者应当采取必要措施,保障境外接收方处理Đánh bạc trực tuyến Việt Nam的活动达到本法规定的Đánh bạc trực tuyến Việt Nam保护标准。”鉴于SCC本质上是一个第三人(即Đánh bạc trực tuyến Việt Nam主体)受益的协议,SCC的主要内容也是要求境外接收方以不低于《Đánh bạc trực tuyến Việt Nam保护法》的要求保护Đánh bạc trực tuyến Việt Nam主体的权益,因此,签署SCC作为符合此条规定中“必要措施”之一。

Q5

数据出境行为中“符合《Đánh bạc trực tuyến Việt Nam保护法》第三条第二款情形,在境外处理境内自然人Đánh bạc trực tuyến Việt Nam等其他Đánh bạc trực tuyến Việt Nam处理活动”有哪些典型场景?

《Đánh bạc trực tuyến Việt Nam保护法》第三条第二款,在中华人民共和国境外处理中华人民共和国境内自然人Đánh bạc trực tuyến Việt Nam的活动,有下列情形之一的,也适用本法:

(一)以向境内自然人提供产品或者服务为目的;
(二)分析、评估境内自然人的行为;
(三)法律、行政法规规定的其他情形。

我们分别举个例子介绍一下情形(一)及情形(二)具体是什么含义。

关于情形一“向境内自然人提供产品或者服务为目的”情形的典型场景举例:国外IOT设备提供商向国内消费者销售运动手表,该运动手表会收集用户的心率等情况,形成分析运动健康报告,即为典型的为境内自然提供产品或服务目的。

关于情形二“分析、评估境内自然人的行为”情形的典型场景举例:法国咨询公司为了协助国内商场进行人流分析测试,通过WiFi探针技术追踪分析自然人的行动轨迹、流动数据等,该情形即为典型的分析、评估境内自然人的行为。

Q6

个保法第三条下“境外Đánh bạc trực tuyến Việt Nam处理者”如何申报?

在此情形下,实际申报时会面临一个问题,境外Đánh bạc trực tuyến Việt Nam处理者直接跨境收集Đánh bạc trực tuyến Việt Nam而引发的信息出境行为,导致这个场景下似乎没有一个境外接收方,这个时候SCC如何签署?PIA如何实施?

结合我们向网信办的咨询结果及其他实践,这种情形下可采取的方式为,境外Đánh bạc trực tuyến Việt Nam处理者根据《Đánh bạc trực tuyến Việt Nam保护法》第五十三条规定,指定其境内的代表机构申报,由该境内代表机构代为申报。

Q7

多家境内分子公司是否可以集中申报?

北京网信办发布的《北京市Đánh bạc trực tuyến Việt Nam出境标准合同备案指引》对这个问题进行了说明:“备案主体,须为法人实体,且备案主体应与境内合同签署方一致。如多家独立法人企业同属一家集团公司,可由集团公司作为Đánh bạc trực tuyến Việt Nam出境标准合同备案主体。分公司不具备独立法人,不可代替总部或子公司备案。

不过实践之中,我们在具体项目实施过程之中电话咨询属地网信办,以上海网信办为例,其提及,在适用集中申报时,可能存在系列限制条件,例如集团内的数据出境行为是否是因为使用同一系统等行为引发的等系列因素。此外,我们还建议,在进行集中申报时,位于不同省份的企业涉及不同的属地网信办,建议与各地属地网信办致电并核实该思路。

Q8

在跨国集团通过境外系统,对中国境内进行管理的场景下,如何确定境外接收方?

这种情形下,我们一般建议选择跨国集团的境外总部作为境外接收方,这是考虑到该跨境场景下,可能涉及使用多个境外系统,例如HR系统、网盘系统等等,综合考虑到SCC签署方式、PIA评估维度等,选择境外总部作为境外接收方是较为好的选择。

Q9

跨国总部购买的信息系统,第三国分子公司也可以用,第三国分子公司是否为境外接收方?

通过咨询网信办,我们了解到这个问题取决于在于系统权限的划分由谁决定。如果由境外的跨国总部决定,可将第三国分子公司在评估报告中作为境外第三方;如果由中国的独立法人主体决定,第三国分子公司为境外接收方。

Q10

如何判断是否为Đánh bạc trực tuyến Việt Nam?或者敏感Đánh bạc trực tuyến Việt Nam?

Đánh bạc trực tuyến Việt Nam是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。

敏感Đánh bạc trực tuyến Việt Nam是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的Đánh bạc trực tuyến Việt Nam,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的Đánh bạc trực tuyến Việt Nam。

员工电子邮箱信息是否属于Đánh bạc trực tuyến Việt Nam,实践中引发一些讨论。根据我们的实践经验,可以这么辨别:

(1)me.surname@company.com,这类邮箱信息以员工姓名为命名规则,可以识别至特定个人,属于Đánh bạc trực tuyến Việt Nam;

(2)信息类info@company.com、人力资源类hr@company.com,这类邮箱信息属于企业内部共用的邮箱信息,无法识别至特定个人,一般不纳入员工Đánh bạc trực tuyến Việt Nam范畴。

Q11

如何计算Đánh bạc trực tuyến Việt Nam出境人数?

以人次为计算依据,计算周期为自当年1月1日起至申报数据出境安全评估之日,数量以自然人为单位去重后的统计结果为准。豁免情形不计入总数量。

即注意三个要点:
(1)起算时间为:当年1月1日,旧规为上年1月1日;
(2)数量以“人次”计,同一自然人的合并统计;

(3)豁免情形不计入总数。

Q12

出境必要性如何说明?

这一问题可从三个维度考虑。第一,是否为实现特定目的所必须;第二,出境Đánh bạc trực tuyến Việt Nam类型和特定目的是否关联性较强;第三,是否遵循最小化原则,例如是否是最少的数量、最低的频率等。

实践之中,评估出境必要性是需要综合出境的具体字段以及该字段的使用目的而决定的。以“婚育信息”为例,如为了决定是否录用,而跨境传输应聘者“婚育信息”,则违反了必要性原则;如为了便于了解职级较高的员工(如其领导涉及位于亚太总部的新加坡公司的管理者)是否需休婚假,则跨境传输婚育信息,则未违反必要性原则。

RECOMMEND
相关推荐