2023年中國進一步提高數據出境門檻

隨著《個人信息出境標準合同辦法》於2023年6月1日生效，中國數據出境監管體系再升級。該辦法與2017年《網絡安全法》、2022年《數據出境安全評估辦法》、2021年《個人信息保護法》及《數據安全法》共同構成現行中國數據出境法律框架（下稱「中國數據出境法規」）。

根據中國數據出境法律，與歐盟國家或地區之間實施的充分性原則不同，中國的數據出境機制將由网络安全管理局（CAC）根據個案進行網絡安全評估或標準合同備案，具體按照中國數據出境法律執行。無論您的實體屬於哪一類審批範疇，中國對數據出境機制的做法意味着，實體個體需自行承擔從CAC獲得相應批准的責任。

何時需要獲得CAC網絡安全評估批准

根據中國數據出境法規，出現以下任一情況時需進行CAC安全評估：

• 跨境轉移“重要數據”
• 關鍵信息基礎設施（CII）運營商跨境轉移個人數據
• 處理100萬人以上個人數據的數據出口商進行的跨境傳輸
• 自上一年1月1日起，跨境轉移超過10萬個人的個人數據或超過1萬個人的敏感個人數據
• 其他需依照中國法律和法規進行安全評估的情形

何時需要獲得CAC標準合同備案批准

根據中國數據出境法規，如果您的實體需要跨境轉移個人信息且未達到網絡安全評估門檻，需要獲得標準合同備案批准。例如：

• 非CII運營商
• 每年處理的個人信息不超過100萬人
• 自去年1月1日至今，跨境傳輸至中國境外的個人信息不超過10萬人
• 自去年1月1日至今，跨境傳輸出中國的敏感個人信息不超過1萬人

數據出口商不得通過拆分數據出境規避備案義務。

然而，此批准的亮點在於實體需要先進行數據隱私影響評估，因為該評估將是申請批准的重要文件之一。

違反數據出境法規的法律後果

在討論網絡安全評估批准或標準合同備案批准之前，需要明確兩點.

1. 監管對象涵蓋所有存在數據跨境需求的中外企業

2. CAC有權根據個案駁回申請直至企業完全合規

目前兩類審批通過案例均未超過10例。

然而，如果您的實體不滿足CAC要求，將面臨嚴嚴严厉的法律後果。例如:

• 系統/應用程序下架
• 罰款金額不超過您實體年收入的5%或5000萬元人民幣
• 吊銷營業執照等處罰

無論是否需要CAC批准，您的企業都需採取的基本措施

即使您的實體不需要獲得CAC批准，您仍需在業務管理中滿足中國數據出境法規的基本要求。

在規劃將數據傳出中國時，您需要了解的一些基本事項如下:

1. 數據清單核查

識別業務中是否含重要數據或達審批門檻的跨境數據量。

2. 建立內部數據處理指南​

為中國員工劃定財務/HR數據處理紅線，明確跨境傳輸操作流程。

3. 在網站或系統增設中國專章

雖然中國數據出境法規與GDPR有相似處，但存在顯著差異。建議在網站/APP中單獨規範中國大陸數據出境條款。

4. 微信平台及官網IT風險評估

如果您的實體使用微信平台或中國網站，建議定期進行 IT 風險評估以保護客戶數據和公司數據。

5. 考慮外包數據保護官服務

僱用本土數據合規專家處理日常事務，可有效節省時間與成本

6. 數據本地化與系統隔離策略

我們理解部署單獨的系統、服務器或中國版本的平台可能會給您的實體帶來負擔並增加成本。

然而，從長遠來看，如果您的企業有將其在中國的子公司視為系統層面上相對獨立的外部實體的願景，這最終可能會對您在中國內地所收集的數據有所助益。One Compliance能協助客戶部署數據本地化及系統劃分策略，以應對並平衡跨境數據傳輸問題帶來的挑戰。我們的團隊僅提供數據安全與隱私保護方面的最優質專業服務。

(作者: Grace Chen, Director, One Compliance Consulting)

Triide 是一家在亚洲迅速发展且充满活力的企业服务提供商。其拥有一支多学科的专家团队，在亚太地区开展业务，提供从公司设立、法律合规到会计、税务管理和公司治理等全方位服务。