《促进和规范数据跨境流动规定》于2024年3月22日出台并生效,在新规出台的背景下,针对数据出境,近期Đánh bạc trực tuyến Việt Nam数字经济团队收到不少与之相关的咨询与提问,借此机会,我们将常见问题整理成文,以供企业在实施出境合规工作时参考。
当然,其中不乏部分问题在实践之中可能仍无一个统一或者明确的解决方案,我们在这里暂先给出一个倾向性的回复与建议。
Q1
《促进和规范数据跨境流动规定》下,相较于此前的数据出境路径有什么变化?对企业的数据合规思路有什么影响?
Q2
《促进和规范数据跨境流动规定》下,有哪些常见的豁免情形?
《促进和规范数据跨境流动规定》的第3条至第6条对豁免情形作出了明确规定,可总结如下图:
Q3
如果企业落入豁免情形,还需要履行哪些合规义务?
企业落入豁免情形仅意味着企业可以免于进行Đánh bạc trực tuyến Việt Nam标准合同备案/Đánh bạc trực tuyến Việt Nam保护认证/数据跨境申报义务企业仍需履行其他合规义务,具体包括:
(4)根据《Đánh bạc trực tuyến Việt Nam保护法》第五十五对所涉及的Đánh bạc trực tuyến Việt Nam出境情形进行记录。
Q4
在豁免情形下,签署SCC是最佳实践还是强制性义务?
新规中并未明确签署SCC是强制性义务。但是,根据《Đánh bạc trực tuyến Việt Nam保护法》第38条的规定:“Đánh bạc trực tuyến Việt Nam处理者应当采取必要措施,保障境外接收方处理Đánh bạc trực tuyến Việt Nam的活动达到本法规定的Đánh bạc trực tuyến Việt Nam保护标准。”鉴于SCC本质上是一个第三人(即Đánh bạc trực tuyến Việt Nam主体)受益的协议,SCC的主要内容也是要求境外接收方以不低于《Đánh bạc trực tuyến Việt Nam保护法》的要求保护Đánh bạc trực tuyến Việt Nam主体的权益,因此,签署SCC作为符合此条规定中“必要措施”之一。
Q5
数据出境行为中“符合《Đánh bạc trực tuyến Việt Nam保护法》第三条第二款情形,在境外处理境内自然人Đánh bạc trực tuyến Việt Nam等其他Đánh bạc trực tuyến Việt Nam处理活动”有哪些典型场景?
《Đánh bạc trực tuyến Việt Nam保护法》第三条第二款,在中华人民共和国境外处理中华人民共和国境内自然人Đánh bạc trực tuyến Việt Nam的活动,有下列情形之一的,也适用本法:
关于情形二“分析、评估境内自然人的行为”情形的典型场景举例:法国咨询公司为了协助国内商场进行人流分析测试,通过WiFi探针技术追踪分析自然人的行动轨迹、流动数据等,该情形即为典型的分析、评估境内自然人的行为。
Q6
个保法第三条下“境外Đánh bạc trực tuyến Việt Nam处理者”如何申报?
在此情形下,实际申报时会面临一个问题,境外Đánh bạc trực tuyến Việt Nam处理者直接跨境收集Đánh bạc trực tuyến Việt Nam而引发的信息出境行为,导致这个场景下似乎没有一个境外接收方,这个时候SCC如何签署?PIA如何实施?
结合我们向网信办的咨询结果及其他实践,这种情形下可采取的方式为,境外Đánh bạc trực tuyến Việt Nam处理者根据《Đánh bạc trực tuyến Việt Nam保护法》第五十三条规定,指定其境内的代表机构申报,由该境内代表机构代为申报。
Q7
多家境内分子公司是否可以集中申报?
不过实践之中,我们在具体项目实施过程之中电话咨询属地网信办,以上海网信办为例,其提及,在适用集中申报时,可能存在系列限制条件,例如集团内的数据出境行为是否是因为使用同一系统等行为引发的等系列因素。此外,我们还建议,在进行集中申报时,位于不同省份的企业涉及不同的属地网信办,建议与各地属地网信办致电并核实该思路。
Q8
在跨国集团通过境外系统,对中国境内进行管理的场景下,如何确定境外接收方?
这种情形下,我们一般建议选择跨国集团的境外总部作为境外接收方,这是考虑到该跨境场景下,可能涉及使用多个境外系统,例如HR系统、网盘系统等等,综合考虑到SCC签署方式、PIA评估维度等,选择境外总部作为境外接收方是较为好的选择。
Q9
跨国总部购买的信息系统,第三国分子公司也可以用,第三国分子公司是否为境外接收方?
通过咨询网信办,我们了解到这个问题取决于在于系统权限的划分由谁决定。如果由境外的跨国总部决定,可将第三国分子公司在评估报告中作为境外第三方;如果由中国的独立法人主体决定,第三国分子公司为境外接收方。
Q10
如何判断是否为Đánh bạc trực tuyến Việt Nam?或者敏感Đánh bạc trực tuyến Việt Nam?
Đánh bạc trực tuyến Việt Nam是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
敏感Đánh bạc trực tuyến Việt Nam是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的Đánh bạc trực tuyến Việt Nam,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的Đánh bạc trực tuyến Việt Nam。
(1)me.surname@company.com,这类邮箱信息以员工姓名为命名规则,可以识别至特定个人,属于Đánh bạc trực tuyến Việt Nam;
(2)信息类info@company.com、人力资源类hr@company.com,这类邮箱信息属于企业内部共用的邮箱信息,无法识别至特定个人,一般不纳入员工Đánh bạc trực tuyến Việt Nam范畴。
Q11
如何计算Đánh bạc trực tuyến Việt Nam出境人数?
(3)豁免情形不计入总数。
Q12
出境必要性如何说明?
实践之中,评估出境必要性是需要综合出境的具体字段以及该字段的使用目的而决定的。以“婚育信息”为例,如为了决定是否录用,而跨境传输应聘者“婚育信息”,则违反了必要性原则;如为了便于了解职级较高的员工(如其领导涉及位于亚太总部的新加坡公司的管理者)是否需休婚假,则跨境传输婚育信息,则未违反必要性原则。