中国《数据出境安全评估办法》已于2022年9月1日起正式实施。很多海外企业对这法律都不太了解,现在法律已经实施,规则更加明确。我们的目标是阐明会影响全球业务的要点。
1. 哪些情况属于数据出境?
物理转移 数据处理者收集在境内运营所产生的数据,并将数据传输存储至境外。需要注意的是,出“境”是指从内地到其他国家或地区,在我国“数据出境”的语境下,港澳台地区属于境外范围。
境外访问 境内运营所产生的数据虽然存储在境内,但境外的组织和个人可以访问、查看、调用(公开信息、网页访问除外)。
2. 特别针对海外进入中国的企业,数据出境的典型场景有哪些?
境外企业在境内开展业务收集使用境内用户信息 企业在境外注册,虽在境内无实体经营,但在境内开展市场营销活动,在营销过程中会收集境内客户的个人信息,比如邮箱、电话、地理位置等,上传至境外营销系统分析,从而有针对性地进行产品推荐和销售。 注 - 个人信息:电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,如:姓名、电话、邮箱、位置信息等,不包括匿名化处理后的信息。
境外集团公司收集使用境内数据 这种情况常见于跨国公司。跨国公司在国内设立分支机构,负责中国地区的业务经营,同时受到境外集团总部管理。应总部要求,需要提供其经营过程中产生的联系人信息、产品销售数据、员工信息等,以供境外集团总部进行分析、处理,从而进行统一决策。
3. 你是否是需要担心出境信息安全的企业?
需要进行申报的企业有:
(一)数据处理者向境外提供重要数据;
(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
(四)国家网信办规定的其他需要申报数据出境安全评估的情形
企业在数据出境前,需要在自我评估之后,向国家网信部门提出安全评估请求,评估通过之后才能数据出境。(附上自检模板和申报书下载链接)
正常安全评估流程所需时间较长(至少3个月)。对于不符合规定但已开展数据出境活动的企业,应当自本办法施行之日(9月1日)起6个月内完成整改,截止日期为2023年2月28日。
我们将持续关注中国监管政策,联系我们来了解和探讨中国营销策略和监管政策。