2023年中国进一步提高数据出境门槛

根据中国数据出境法律，与欧盟国家或地区之间实施的充分性原则不同，中国的数据出境机制将由网络安全管理局（CAC）根据个案进行网络安全评估或标准合同备案，具体按照中国数据出境法律执行。无论您的实体属于哪一类审批范畴，中国对数据出境机制的做法意味着，实体个体需自行承担从CAC获得相应批准的责任。

根据中国数据出境法律，与欧盟国家或地区之间实施的充分性原则不同，中国的数据出境机制将由 网络安全管理局 （CAC）根据个案进行网络安全评估或标准合同备案，具体按照中国数据出境法律执行。无论您的实体属于哪一类审批范畴，中国对数据出境机制的做法意味着，实体个体需自行承担从CAC获得相应批准的责任。

何时需要获得CAC网络安全评估批准

根据中国数据出境法规，出现以下任一情况时需进行CAC安全评估：

• 跨境转移“重要数据”
• 关键信息基础设施（CII）运营商跨境转移个人数据
• 处理100万人以上个人数据的数据出口商进行的跨境传输
• 自上一年1月1日起，跨境转移超过10万个人的个人数据或超过1万个人的敏感个人数据
• 其他需依照中国法律和法规进行安全评估的情形

何时需要获得CAC标准合同备案批准

根据中国数据出境法规，如果您的实体需要跨境转移个人信息且未达到网络安全评估门槛，需要获得标准合同备案批准。例如：

• 非CII运营商
• 每年处理的个人信息不超过100万人
• 自去年1月1日至今，跨境传输至中国境外的个人信息不超过10万人
• 自去年1月1日至今，跨境传输出中国的敏感个人信息不超过1万人

数据出口商不得通过拆分数据出境规避备案义务。

然而，此批准的亮点在于实体需要先进行数据隐私影响评估，因为该评估将是申请批准的重要文件之一。

违反数据出境法规的法律后果

在讨论网络安全评估批准或标准合同备案批准之前，需要明确两点。

1. 监管对象涵盖所有存在数据跨境需求的中外企业

2. CAC有权根据个案驳回申请直至企业完全合规

目前两类审批通过案例均未超过10例。

然而，如果您的实体不满足CAC要求，将面临严严严厉的法律后果。例如:

• 系统/应用程序下架
• 罚款金额不超过您实体年收入的5%或5000万元人民币
• 吊销营业执照等处罚

无论是否需要CAC批准，您的企业都需采取的基本措施

即使您的实体不需要获得CAC批准，您仍需在业务管理中满足中国数据出境法规的基本要求。

在规划将数据传出中国时，您需要了解的一些基本事项如下:

1. 数据清单核查

识别业务中是否含重要数据或达审批门槛的跨境数据量。

2. 建立内部数据处理指南

为中国员工划定财务/HR数据处理红线，明确跨境传输操作流程。

3. 在网站或系统添加中国专章

虽然中国数据出境法规与GDPR有相似处，但存在显著差异。建议在网站/APP中单独规范中国大陆数据出境条款。

4. 微信平台及官网IT风险评估

如果您的实体使用微信平台或中国网站，建议定期进行 IT 风险评估以保护客户数据和公司数据。

5. 考虑外包数据保护官服务

雇用本土数据合规专家处理日常事务，可有效节省时间与成本。

6. 数据本地化与系统隔离策略

我们理解部署单独的系统、服务器或中国版本的平台可能会给您的实体带来负担并增加成本。

然而，从长远来看，如果您的企业有将其在中国的子公司视为系统层面上相对独立的外部实体的愿景，这最终可能会对您在中国内地所收集的数据有所助益。One Compliance能协助客户部署数据本地化及系统划分策略，以应对并平衡跨境数据传输问题带来的挑战。我们的团队仅提供数据安全与隐私保护方面的最优质专业服务。

(作者: Grace Chen, Director, One Compliance Consulting)