Assessment Report Regarding Data Compliance
Privileged and Confidential
[To: Company A]
[From: Law Firm F, Shanghai]
Tel: 86-21 xxxx xxxx
Fax: 86-21 xxxx xxxx
[Date: December 7, 2022]
Re: Assessment Report Regarding Data Compliance of Corporate G
China1
To: Company A
We are a law firm duly qualified and authorized to practice Chinese law
in the People’s Republic of China (the “PRC”). We have been
requested by Company A to provide a legal assessment regarding the data
compliance management of Corporate G China.
For this purpose, we investigated and assessed the data compliance
management of Corporate G China through the following steps, and issue
this report for your reference:
-
Revisar varios documentos, políticas, contratos y/o
plantillas relevantes proporcionados por las cuatro entidades corporativas G en la República Popular China; -
Recopilar más información a través de reuniones, comunicaciones
y otros intercambios escritos con los equipos relevantes de las cuatro
entidades corporativas G en la República Popular China.
Este informe se produce de acuerdo con las leyes,
reglamentos, circulares aplicables y políticas vigentes de la República Popular China, así como por referencia
a la publicación en sitios web gubernamentales y material proporcionado por la
empresa a la fecha de este informe y es únicamente para lo anterior.
objetivo. Cualquier cambio de hecho o cambios en la legislación o cualquier otra
información gubernamental a partir de entonces puede alterar nuestra opinión y análisis
a continuación. Este informe no debe verse como una garantía de ningún
resultado en particular.
Resumen ejecutivo
Corporate G SE (" Corporate G ") es una empresa de sensores profesional
con una larga reputación en la industria de la automatización global y un
proveedor de sensores global con una investigación sobresaliente y el suministro de
productos de alta calidad, desde sensores inductivos hasta sensores ultrasónicos, desde
sensores fotoeléctricos hasta rotativos. codificadores, desde sistemas de identificación hasta
sistemas de bus de campo, desde sensores de nivel de líquido y nivel de material hasta
pantallas de luz de seguridad, desde sensores a prueba de explosiones hasta rejillas de seguridad,
rejillas de aislamiento y otros sensores. Corporate G SE ha invertido y establecido una serie
de entidades comerciales en China, entre las cuales las entidades que se incluyen en
el alcance de esta evaluación de cumplimiento de datos incluyen: Empresa A
(“Company A”), Corporate G (Beijing) Process Automation Co., Ltd.
(“Company B”), Corporate G (Shanghai) Automation Engineering Co., Ltd.
(“Company C”), Company D(“Company D”) (collectively referred to as
“Assessed Entities” or the “Company”).
Con base en el negocio de las Entidades Evaluadas y los tipos de datos
que procesaron, así como otra información que aprendimos en la
evaluación, entendemos que actualmente, la Compañía no es un "
Operador de Infraestructura de Información Crítica" bajo la Ley de Ciberseguridad . Además
, entre los datos a los que la Compañía ha accedido y procesado hasta el momento
, aparte de los datos de información personal, los datos procesados y
accedidos por la Compañía no involucran "datos importantes" según la
Ley de Seguridad de Datos . Por lo tanto, en la actualidad, el enfoque de la
gestión de cumplimiento de datos de la Compañía es la protección de la información personal. Sin embargo,
considerando que la Compañía puede acceder a “datos importantes” en su futuro
negocio, también presentamos algunas sugerencias preliminares para la
identificación y gestión del cumplimiento de datos importantes en el
negocio de la Compañía para referencia de la Compañía en este informe. En este
informe, analizaremos los sistemas de información, productos y
servicios de la Compañía, datos de proveedores, datos de empleados internos, almacenamiento y
transferencia de datos, uso e intercambio de datos, seguridad de la red y
gestión del cumplimiento de datos, etc. En este resumen ejecutivo, seleccionamos y enumeró algunos
de los principales riesgos de cumplimiento que identificamos en la evaluación y proporcionó las
sugerencias correspondientes para mejorar y preparó una tabla de resumen de la
siguiente manera. Nos gustaría recordarle que este resumen solo enumera los
principales riesgos de cumplimiento y consulte la versión completa del
informe de evaluación y las sugerencias de mejora establecidas en el
texto principal.
Texto principal
- Corporate G SE (" Corporate G ") es una empresa muy conocida
que se especializa en tecnología de sensores en la industria de la automatización mundial,
que lleva a cabo investigaciones distinguidas y ofrece productos de alta calidad,
desde sensores inductivos hasta sensores ultrasónicos, desde
sensores fotoeléctricos hasta codificadores rotatorios, desde sensores de identificación
a sistemas de bus de campo, desde
sensores de nivel de líquido y nivel de material hasta cortinas de luz de seguridad, desde sensores a prueba de explosiones hasta
barreras de seguridad, barreras de aislamiento y otros sensores. Corporate G
ha invertido y establecido algunas entidades de operaciones comerciales en la
República Popular China, y entre ellas, las entidades que caen dentro del alcance de este
data compliance assessment include: the three foreign legal person
sole proprietorship limited liability company directly invested by
Corporate G SE, i.e., Company A (“Company A”), Corporate G (Beijing)
Process Automation Co., Ltd. (“Company B”), Corporate G (Shanghai)
Automation Engineering Co., Ltd. (“Company C”), and an affiliated
business entity, i.e., Company D Vision Technology (Shanghai) Co.,
Ltd. (“Company D”) (collectively referred to as “Assessed
Entities” or the “Company”). Amongst them:
-
FA se estableció en 2006 y se dedica principalmente a la investigación,
desarrollo, diseño, producción, ventas, servicios de soporte,
consultoría técnica y otros negocios de sensores, codificadores,
sistemas de identificación y sistemas de transferencia de datos ópticos en el
campo de componentes y sistemas automatizados. -
PA se estableció en 2009 y se dedica principalmente a la investigación,
el desarrollo, el diseño, la producción, las ventas, los servicios de apoyo,
la consultoría técnica y otros negocios de
equipos eléctricos y lámparas a prueba de explosiones, cajas de terminales personalizadas,
cajas de conexiones y gabinetes, productos de equipos de control. y componentes de
equipos de automatización de procesos. -
SEC se estableció en 2015 y se dedica principalmente a la
producción, ventas, servicios de apoyo, consultoría técnica y otros negocios de instrumentos y medidores de automatización, equipos y lámparas eléctricas
a prueba de explosiones , cajas de terminales, cajas de conexiones y gabinetes, equipos y accesorios de automatización. . -
VMT se estableció en 2014 y se dedica principalmente a la investigación
y el desarrollo de tecnología, diseño, integración de sistemas y ventas
en el campo de la tecnología de imagen y tecnología de automatización investigación
y desarrollo de tecnología de procesamiento de imagen industrial y
software de soporte, venta al por mayor, servicios de soporte, técnico
consultoría y otros negocios de equipos de procesamiento de imágenes e
instalaciones de apoyo.
- Durante esta evaluación, el equipo de gestión de las Entidades evaluadas
dividió las Entidades evaluadas en dos grupos según la relevancia del
equipo de gestión y el negocio entre las Entidades evaluadas, es decir,
la Empresa A y la Empresa D se evalúan como un solo grupo, y la Empresa B y
la Empresa C son evaluados como otro grupo. Los dos grupos
respondieron por separado a los cuestionarios sobre las
actividades de procesamiento de datos preparados por nosotros (a menos que se indique lo contrario en las
respuestas). Por lo tanto, este informe de evaluación del cumplimiento analizará
las diversas actividades de procesamiento de datos de las Entidades Evaluadas
en su actividad diaria y evaluará los riesgos de cualquiera en función de la
respuestas e información proporcionada por las Entidades Evaluadas de conformidad
con la asignación de grupo anterior.
1. Cumplimiento del Sistema de Información
-
De acuerdo a la información proporcionada por las Entidades Evaluadas, el
sistema ERP utilizado por las Entidades Evaluadas son los
módulos de Ventas y Finanzas de M3 proporcionados por Infor; el sistema CRM utilizado por las
Entidades Evaluadas es el módulo CRM de Siebel proporcionado por Oracle; los módulos anteriores
son comprados y proporcionados globalmente por Corporate G. El
sistema de recursos humanos y el software de flujo de trabajo utilizados por las Entidades Evaluadas se
compran a los proveedores de software nacionales de la RPC (específicamente, las
Entidades Evaluadas utilizan el sistema de solicitud y reembolso de vacaciones DigiWin
, y la Compañía A y la Compañía D también compraron un
sistema de información para el cálculo de la nómina de City Ray). Las Entidades Evaluadas
nos proporcionó dos contratos de adquisición de software, incluido el
contrato de mantenimiento de DigiWin Workflow Software V3.1 firmado con
Digiwin Software Co., Ltd. y el contrato de venta firmado con
SoftwareOne (Shanghai) Software Trading Co., Ltd. Los dos
contratos de adquisición de software anteriores no contienen cláusulas específicas
relativas a la protección de datos, y aunque los contratos contengan
cláusulas de confidencialidad, la finalidad de las cláusulas de confidencialidad
es únicamente la protección de secretos comerciales. -
En cuanto al acceso a los sistemas de información, las Entidades Evaluadas
establecieron permisos generales de acceso basados principalmente en el
puesto/rol del empleado y permisos temporales de acceso basados en la
aprobación del supervisor directo y la autorización del propietario del proceso.
Entre ellos, el sistema DigiWin y el sistema Cityray no pueden ser
accedidos por la sede central de Corporate G' y otras
filiales extraterritoriales de las Entidades Evaluadas. En conclusión, entendemos
que la práctica anterior de las Entidades Evaluadas con respecto a la
configuración de los permisos de acceso cumple básicamente con el
principio de necesidad y el principio de minimización en cuanto al uso de datos. -
Además, las cuatro Entidades Evaluadas nos han facilitado el
Código de Conducta ZVEI-VDMA (actualizado en enero de 2022), el cual,
según la información proporcionada por las Entidades Evaluadas, es
aplicable a todas las filiales del Corporativo G incluidas las cuatro
Evaluadas . Entidades y se publica en el
sitio web oficial de Corporate G 2 . Este documento presenta brevemente
los principios de gestión del cumplimiento de Corporate G ', y el Artículo 3.5
Cláusula de protección de datos de este documento incluye la protección de la
información personal 3 . Muestra que Corporate G otorga gran importancia
al cumplimiento de los datos.
[Riesgos potenciales de cumplimiento:]
- Los contratos de adquisición de software suscritos por las Entidades Evaluadas
y terceros externos no contienen cláusulas especiales relacionadas con la
protección de datos, y si bien contienen cláusulas de confidencialidad,
la finalidad es únicamente para la protección de secretos comerciales. En el
proceso de uso de software tercerizado, de acuerdo a las respuestas
proporcionadas por las Entidades Evaluadas, en general, el proveedor no puede
acceder a los datos almacenados en el software utilizado por las
Entidades Evaluadas 4 , pero no descarta la posibilidad de que el
proveedor pueda acceder a algunos datos de las Entidades Evaluadas en el
proceso de prestación de servicios de operación y mantenimiento de software.
Por lo tanto, el contrato con el proveedor debe incluir una
disposición miscelánea sobre cumplimiento de datos y
protección de información personal. Sin embargo, en la actualidad, no existen cláusulas de cumplimiento
en materia de seguridad de datos y protección de información personal en los
contratos suscritos con proveedores de software.
[Sugerencias principales:]
- El software es generalmente un producto estandarizado y su
contrato de adquisición es a menudo un contrato estándar proporcionado por el
proveedor del software. Antes de firmar dichos contratos estándar, se recomienda
que las Entidades Evaluadas lo revisen y revisen. Si las
Entidades Evaluadas encuentran que no existe una estipulación sobre protección de datos, agregarán
la estipulación correspondiente y exigirán al
proveedor del software que la cumpla. Bajo esta circunstancia, si
ocurre un incidente o disputa de seguridad de datos, tal estipulación en el
contrato brindaría conveniencia para que las Entidades Evaluadas
protejan sus derechos. Además, se recomienda a la Compañía que añada
cláusulas de protección de datos relevantes a los contratos con las empresas existentes.
proveedores de software 5 .
2. Cumplimiento de datos relacionados con productos y servicios
-
Información Básica de Productos y Servicios
-
De acuerdo con la información proporcionada por las Entidades Evaluadas, los
productos proporcionados por la Compañía B y la Compañía C al mercado incluyen
módulos de interfaz a prueba de explosiones, soluciones de ingeniería
, comunicación y telefonía móvil a prueba de explosiones, ethernet-APL y bus de campo,
solución inalámbrica, control remoto E/S, bus, fuente de alimentación, producto de software.
Además, la Compañía B y la Compañía C también brindan
servicios de soporte como ventas, capacitación técnica, servicio en el sitio, reparación,
devolución. -
Los productos proporcionados por la Compañía A y la Compañía D al mercado
incluyen principalmente sensores de proximidad, sensores fotoeléctricos,
sensores ultrasónicos, codificadores rotatorios y productos de sistema que incluyen RFID, productos modulares de bus archivado
y productos de visión. Para proyectos de ingeniería, la Compañía A
y la Compañía D también brindan
servicios de instalación, programación e integración de sistemas basados en productos de hardware Corporate G. Además
de los servicios antes mencionados, la línea de productos de VMT también
incluye soluciones de visión personalizadas y servicios como
medición, posicionamiento y reconocimiento de 2D y 3D.- **Información Básica de Clientes e Información del Cliente
Proteccion**
- **Información Básica de Clientes e Información del Cliente
-
De acuerdo con la información proporcionada por las Entidades Evaluadas, los
compradores/usuarios finales de los productos y servicios de la Compañía B y la
Compañía C suelen ser participantes del mercado en las siguientes
industrias: petroquímica, petróleo y gas, servicios públicos, farmacéutica,
bioquímica, costa afuera y marina, aguas residuales, generación de energía,
alimentos y bebidas, y la Compañía B también tiene ciertos tratos comerciales
con clientes en la industria nuclear, pero el volumen de negocios
involucrado es relativamente limitado. También aprendimos que los
roles de mercado de los compradores que compran los productos y servicios de la Compañía B
y la Compañía C incluyen las siguientes categorías: empresas DCS,
integradores de sistemas, agencias/distribuidores, usuarios finales, OEM, investigación
institutes. From the perspective of the ownership type of the
enterprises, the above-mentioned customers include state-owned
enterprises and private enterprises. From the perspective of the
flow of products and services, most of the products and services of
Company B and Company C are provided to the Chinese customers, and
only about 1% of the products and services are provided to customers
located in Southeast Asia. -
Los compradores/usuarios finales de los productos y servicios de la Compañía A y la Compañía D
son generalmente los participantes del mercado en las siguientes industrias:
automotriz, maquinaria, logística, control de puertas, equipos de proceso,
industria de envasado de alimentos, electrónica, metalurgia, tabaco, nueva
energía, robótica y transporte. Desde la perspectiva del
tipo de propiedad de las empresas, los clientes de FA y VMT incluyen
empresas estatales y empresas privadas. Además,
los colegas del equipo de la Compañía A mencionaron que la Compañía A y
la Compañía D tienen muy pocos clientes en la industria militar, como
el Instituto de Investigación de Control Eléctrico de Shanghai (es decir, 218 Research
Institute, afiliado a China Ordnance Equipment Group). Desde la
perspectiva del flujo de productos y servicios, los productos
y servicios de FA solo se venden a clientes nacionales en China, mientras que
los productos y servicios de VMT se sirven principalmente en China, algunos productos
y servicios se venden a clientes extranjeros, que incluyen principalmente los
clientes en India, Tailandia y Vietnam. -
During the process of providing the above-mentioned products and
services by the four Assessed Entities of Corporate G , they
accumulated about 42,000 customers (about 11.7% are Company B
customers and 88.3% are Company A customers) over a period of about
15 years and contact about 100,000 business contact persons (about
9.35% are business contacts of Company B and the remaining 90.65%
are customers of FA). Customer-related information may be collected,
including company name, address, department, taxpayer code, company
bank account information, project information, and personal
information of the business contacts. Among them, project
information generally includes the product end-users, devices,
el nombre del proyecto, la ubicación, etc. y, en ocasiones,
también se recopilarán los datos de capacidad de producción del proyecto; la información personal
de los contactos comerciales generalmente incluye el nombre,
el cargo y el número de teléfono móvil de la persona (es decir, el número de teléfono móvil personal
o el número de teléfono móvil proporcionado por la empresa a los empleados). -
Considering that many of the Assessed Entities’ customers are
state-owned enterprises and other large enterprises, such as
SINOCHEM GROUP, SEI, Sany Group, etc., based on our experience,
Assessed Entities may have access to important data when conducting
business with these companies and more stringent network security
and data protection measures need to be taken. According to current
laws, regulations and practices, we understand that the important
data include but are not limited to the following categories: 1)
manufacturing data, R&D information, intellectual property rights,
business operation data, operation and maintenance data, and supply
encadenar datos de las instalaciones de red y/o
sistemas de información importantes en sectores importantes como
servicios públicos de comunicación e información, energía, transporte, conservación de agua,
finanzas, servicios públicos, asuntos gubernamentales,
ciencia y tecnología de defensa nacional y otras instalaciones de red y/o
sistemas de información que pueden poner en grave peligro la seguridad nacional,
la economía nacional y el sustento de las personas, y los intereses públicos una vez
destruidos, pierden funciones o enfrentan incidentes de fuga de datos; 2)
datos de mapas; 3) datos de navegación; 4) datos topográficos; 5)
información geográfica importante; 6) datos de equipos de seguridad,
datos de despliegue de seguridad; 7) información de reserva de energía. Entre ellos, tras confirmar
con los equipos de la Empresa B y la Empresa C a través de cuestionarios, sus
respuestas a la pregunta del ítem 1.2 del cuestionario sobre
si los productos y servicios implican el procesamiento de datos importantes
es que la Empresa B y la Empresa C “no acceden a dichos datos”, “no
se trata de datos confidenciales”. Aunque la terminología de “
datos sensibles” mencionada por los equipos de la Empresa B y la Empresa C y los “
datos importantes” solicitados en el ítem 1.2 de nuestro cuestionario es diferente, de las
preguntas y respuestas del ítem 1.2, es claro que la Empresa B y
la Empresa C no recopilar datos importantes de los clientes. Sin embargo,
en el proceso de los equipos de la Compañía B y la Compañía C llenaron y
Al proporcionar respuestas al ítem 3.1 del cuestionario, notamos
que los colegas de los equipos de la Compañía B y la Compañía C mencionaron
que en cuanto a la información recopilada de los clientes, "alguna
información confidencial puede recopilarse de los institutos, incluido
el Instituto 711, el Instituto 718 ( son los institutos propiedad de los
militares de la RPC), etc.”. Después de verificar más a fondo el significado de "
información confidencial" que se menciona aquí, supimos de la Compañía que la
"información confidencial" que se menciona aquí es "principalmente el nombre del proyecto
y la capacidad de producción". Al mismo tiempo, como confirmaron la empresa
B y la SEC, las dos empresas tenían tratos comerciales con algunos
institutos (incluyendo 711 y 718) y/o instituciones propiedad de
militares hace cinco años. Sin embargo, la Compañía actualmente no tiene
tratos comerciales con estos institutos y tampoco tiene la intención de tener
tratos comerciales con ellos en el futuro. Además, el
personal relevante de la Empresa A y la Empresa D mencionaron que
pueden tener acceso a la información de industrias sensibles como
la información relacionada con la industria militar durante el proceso comercial,
pero al mismo tiempo también respondieron en el punto 1.2 del
cuestionario. que la empresa A y la empresa D no tendrían acceso a
datos importantes. -
Además, aprendimos que en términos de almacenamiento y protección de
la información del cliente, la información del cliente, incluida
la información del proyecto, puede almacenarse en sistemas CRM y ERP. Además, los
equipos como los de ventas y operaciones de las Entidades Evaluadas
mencionaron en la entrevista que durante el proceso de
vinculación comercial, en la práctica, podrán tener acceso a alguna “
información sensible” a través de correspondencias electrónicas, pero dicha información
no ingresará. el sistema CRM o ERP, ni se transmitirá
al exterior 6 . -
The Assessed entities will typically enter into confidentiality
agreements with the customers. In respect of the text of the
confidentiality agreement, Company B has provided us with the
Confidentiality Commitment unilaterally issued by Company B to ABB
Engineering (Shanghai) Ltd. (“ABB”), which stipulates the
confidential information, purpose of use, confidentiality
obligation, confidentiality period and liability for breach of
contract are stipulated and Company B even promises to entitle ABB
to inspect and audit on PA’s confidentiality system and measures. In
addition, we have also received the confidentiality agreement signed
por Company B y Zhejiang SUPCON Technology Co., Ltd., que
estipula las obligaciones de protección de datos de ambas partes. Con base en
la información mencionada anteriormente, supimos que la Compañía B y
la Compañía C utilizaron diferentes textos/plantillas al firmar
acuerdos de confidencialidad con los clientes y algunos de ellos son
las plantillas proporcionadas por los clientes, y algunos de ellos son los
compromisos unilaterales de confidencialidad firmados. por la Empresa B o
la Empresa C en lugar de los acuerdos de confidencialidad mutua. -
FA nos proporcionó el Acuerdo de confidencialidad firmado con
HIKROBOT Technology Co., Ltd. (" Acuerdo de confidencialidad de HIKROBOT
") y el Acuerdo de confidencialidad e integridad del proveedor
firmado con Hainan Jinpan Smart Technology Co., Ltd.
(" Acuerdo de confidencialidad de tecnología Jinpan "). Estos dos
acuerdos estipulan la información confidencial, el propósito del uso,
las obligaciones de confidencialidad, el período de confidencialidad y la responsabilidad
por incumplimiento de contrato. Entre ellos, el Acuerdo de Confidencialidad Tecnológica de Jinpan
estipula principalmente que FA, como "Parte B",
unilateralmente tiene obligaciones de confidencialidad con Hainan Jinpan Smart
Technology Co., Ltd., y no existe una disposición específica sobre
la protección de datos/información personal. Además, la Compañía A nos proporcionó
un contrato de venta con Suzhou Electrical Apparatus Science Academy
Co., Ltd. Sin embargo, este contrato tampoco contiene
disposiciones sobre protección de datos. -
VMT provided us with 3 confidentiality agreements, i.e., the
confidentiality agreement (WORD version) with Durr Paintshop Systems
Engineering (Shanghai) Co., Ltd., the confidentiality agreement
signed with Beijing Hinsong Yicheng Machinery & Electric Engineering
Co., Ltd. and the confidentiality agreement signed with EBZ SysTec
(Shenyang) Limited. According to the content of these three
agreements, the three confidentiality agreements mainly stipulated
the unilateral confidentiality obligations of Company D to the other
party under the agreements, and only the confidentiality agreement
signed with EBZ SysTec (Shenyang) Limited stipulated the unilateral
data compliance obligations of VMT, and the other two
los acuerdos de confidencialidad no estipulan nada relacionado con
la protección de datos/información personal.
[Riesgos potenciales de cumplimiento:]{.underline}
-
(1) Los acuerdos firmados con algunos clientes no incluyen
cláusulas de protección de datos, y los clientes no se comprometen a que la
información proporcionada por ellos se recopile de conformidad con
las leyes y reglamentos pertinentes. Además, no existe
una cláusula de “cortafuegos” para proteger a las Entidades Evaluadas de los riesgos asociados
con la recolección ilegal de datos por parte del cliente. -
(2) Diferentes colegas de las Entidades Evaluadas pueden tener
diferentes puntos de vista y determinación sobre datos confidenciales e importantes
. Adicionalmente, la Compañía no cuenta con
criterios de determinación por escrito ni genera criterios o medidas comunes
de determinación para la identificación de datos sensibles y datos importantes
de sus prácticas, lo que puede ocasionar inexactitudes o discrepancias en
la identificación de los datos importantes. -
(3) No existe una plantilla fija para el acuerdo de confidencialidad
firmado o por firmar entre las Entidades Evaluadas y los
clientes. Algunos de los acuerdos de confidencialidad firmados entre la
Compañía y los clientes son modelos proporcionados por los
clientes, y algunos de ellos son incluso
compromisos de confidencialidad unilaterales por parte de las Entidades Evaluadas más que un
acuerdo de confidencialidad mutua. Además, la mayoría de los acuerdos de confidencialidad
no contienen cláusulas de protección de datos.
[Sugerencias principales:]{.subrayado}
-
(1) It is recommended that the data protection clauses be added to
agreements signed or to be signed with customers, setting up a
“firewall” to protect the Assessed Entities from any risks caused by
the customers’ collecting information in violation of the legal
requirements. -
(2) Se recomienda establecer las
pautas y procedimientos de identificación de datos importantes con referencia a la
Tecnología de Seguridad de la Información -
Pautas de Identificación de Datos Importantes (Borrador para Comentarios) redactado por el Comité Técnico Nacional
de Normalización de Seguridad de la Información y publicado el
13 de enero de 2022, y Brindar capacitación sobre las
pautas y procedimientos de identificación de datos importantes a todos los empleados que
puedan tener acceso a la información del cliente y realizar
actividades de propaganda e implementación relevantes, de modo que los empleados puedan
identificar con precisión los datos importantes de los clientes cuando
tener acceso a dichos datos y protegerlos de acuerdo con
las medidas técnicas y de gestión de protección aplicables a
los datos importantes. -
Se recomienda que la Compañía redacte, actualice y modifique
la plantilla para un
acuerdo de confidencialidad mutua y protección de datos para que dicha plantilla fija pueda ser utilizada y
firmada por las partes al realizar negocios con los clientes en el
futuro. Dicha plantilla debe estipular las
obligaciones de confidencialidad de ambas partes, en lugar de
las obligaciones de confidencialidad unilaterales de Corporate G'. Si algún cliente solicita obligatoriamente
a Corporate G que firme un acuerdo de confidencialidad o una
plantilla de compromiso de confidencialidad unilateral redactada y proporcionada por los
clientes, dicho acuerdo o plantilla debe examinarse cuidadosamente
para determinar si las obligaciones de confidencialidad establecidas en el mismo son
práctico para las Entidades Evaluadas, por ejemplo, si el cliente solicita
inspeccionar o auditar las
medidas de confidencialidad de las Entidades Evaluadas para proteger la información del cliente, entonces las
Entidades Evaluadas deben considerar si las Entidades Evaluadas están en
condiciones de distinguir los datos de dicho cliente de los de otros
clientes y las Entidades Evaluadas para que permitir que dicho cliente
realice una inspección o auditoría no cause que las
Entidades Evaluadas violen las obligaciones de confidencialidad con otros clientes y
no resulte en la fuga de información.
3. Cumplimiento de datos relacionados con proveedores
- Cumplimiento de Datos de Proveedores de PA's y SEC's
<!-- -->
-
De acuerdo con la información proporcionada por las Entidades Evaluadas,
la Empresa B contrató los siguientes tipos de proveedores, es decir, dos
institutos de certificación a prueba de explosiones, tres
proveedores de productos terminados, cinco proveedores de logística. La empresa C cuenta con proveedores de materias primas
, proveedores de mecanizado, proveedores de servicios técnicos,
proveedores de equipos, etc., totalizando alrededor de 600 proveedores. En el
proceso de contacto con estos proveedores, la Empresa B y la Empresa C pueden
recopilar el nombre de la empresa del proveedor, la dirección, la dirección de correo electrónico,
la información de la cuenta bancaria de la empresa, el nombre de la persona de contacto,
el número de teléfono móvil de la persona de contacto, el título de la persona de contacto, etc. el
la información se almacena en M3, que se almacena en un servidor local en
la sede de Corporate G en Mannheim, Alemania. La información sobre los
proveedores (p. ej., información sobre los institutos de certificación) puede
ser compartida por la Compañía B y la Compañía C con las afiliadas de la Corporación G, pero
no se compartirá con otros terceros. -
Con respecto a la protección de la información de los proveedores, en primer lugar, la Empresa
B y la Empresa C no tienen acuerdos de confidencialidad o
acuerdos de protección de datos con todos los proveedores, y tampoco existen
cláusulas específicas para la protección de datos en los
contratos de adquisición relevantes u otros acuerdos de cooperación. -
En segundo lugar, la Empresa B y la Empresa C nos proporcionaron los términos
y condiciones generales aplicables a su proceso de contratación, es decir, los
Términos y Condiciones para la Compra de Bienes y/o Servicios y
el Artículo 13 (Confidencialidad) de este documento es una
cláusula de confidencialidad que requiere los proveedores a mantener la confidencialidad de la información relacionada con
las operaciones y la tecnología de Corporate G '. Sin embargo, esta
cláusula no protege los datos que no sean
información comercial y técnica confidencial, como la información personal de
los empleados de Corporate G ' con los que los proveedores pueden contactar en el curso de la
cooperación, o la información que no es confidencial pero necesita
ser protegida. . En otras palabras, elTerms and Conditions for
Purchase of Goods and/or Services does not contain specific data
protection clauses. -
Adicionalmente, la Empresa B y la Empresa C nos proporcionaron el
Acuerdo sobre los Principios de Cooperación aplicables al
proveedor que también contiene una cláusula de confidencialidad, es decir, el Artículo
13 “Confidencialidad de P+F/Información”. En esta cláusula, el término
"Información P+F" se refiere a "toda la información proporcionada por Corporate G
o sus representantes o subcontratistas al proveedor en relación
con las operaciones, programas, bienes y servicios cubiertos por este
Contrato, incluidos, entre otros, precios y demás términos de
este Contrato, especificaciones, datos, fórmulas, composiciones,
diseños, bocetos, fotografías, muestras, prototipos, vehículos de prueba,
métodos y procesos de fabricación, embalaje o envío y
software y programas informáticos (incluidos el código objeto y
el código fuente). La información de P+F también incluye cualquier material o información
que contenga, o se base en, cualquier información de P+F, ya sea preparada por
el Comprador, el Proveedor o cualquier otra persona”. Esta cláusula es más protectora
que la Cláusula 13 (Confidencialidad) de los Términos y Condiciones
para la Compra de Bienes y/o Servicios mencionados anteriormente, especificando
el propósito de uso y el alcance de la divulgación de dichos datos, pero
aún careciendo de otros requisitos de protección de datos necesarios. , como
devolución o destrucción de datos, plazo máximo de conservación de datos,
etc.
[Riesgos potenciales de cumplimiento:]{.underline}
-
(1) La empresa B y la empresa C no han firmado
acuerdos de confidencialidad o protección de datos con todos los proveedores, ni existen
disposiciones específicas para la protección de datos en los contratos de adquisición
u otros acuerdos de cooperación. No existe plantilla para los
acuerdos de confidencialidad con los proveedores. -
(2) El acuerdo sobre protección de datos en la plantilla de los Términos
y Condiciones para la Compra de Bienes y/o Servicios y el
Acuerdo sobre los Principios de Cooperación proporcionados por la Empresa B
y la Empresa C no es suficiente.
[Sugerencias preliminares]{.subrayado}:
-
(1) Se recomienda actualizar y mejorar la plantilla para un
acuerdo de confidencialidad mutua y protección de datos entre la
Compañía y el proveedor, de modo que cuando traten con proveedores en el
futuro, las partes puedan optar primero por utilizar la plantilla fija para
la firma. Simultáneamente, se recomienda agregar
cláusulas de protección de datos personales y seguridad de datos a los
acuerdos existentes con los proveedores, y una cláusula de “cortafuegos” que proteja
a las Entidades Evaluadas de cualquier riesgo causado por el procesamiento de datos por parte del proveedor
en violación de los requisitos legales. . -
(2) Se recomienda actualizar y mejorar las plantillas de los
Términos y Condiciones para la Compra de Bienes y/o Servicios y el
Acuerdo sobre los Principios de Cooperación . En específico,
además de los términos y condiciones de Confidencialidad, agregue
términos y condiciones de protección de datos, especificando el alcance de los datos a
proteger, el propósito de uso, restricciones de divulgación,
restricciones de intercambio, período máximo de uso, devolución o destrucción de datos, y
exigir a los proveedores que se comprometan en el cumplimiento de
sus políticas y medidas internas de protección de datos,
condiciones de hardware y software de protección de datos, etc., y habilitando
Corporativo G para monitorear, inspeccionar y auditar la implementación del
trabajo de protección de datos anterior de los proveedores.- Cumplimiento de datos relacionados con proveedores de FA y VMT
-
Los proveedores de FA y VMT incluyen principalmente proveedores de logística (incluidos SF-express, EMS, TVS, FedEx, DHL), proveedores de
materias primas , proveedores de mecanizado, proveedores de subcontratación de mano de obra , proveedores de servicios de recursos humanos, proveedores de servicios de software, proveedores de servicios de eventos, etc. Empresa A y la empresa D recopilarían el nombre de la empresa, la dirección, la dirección de correo electrónico, la información de la cuenta bancaria de la empresa, el nombre de la persona de contacto, el número de teléfono móvil de la persona de contacto, el título de la persona de contacto, etc. de los proveedores. La mayor parte de la información se almacena en el sistema ERP utilizado por el Departamento de Finanzas, y la información de contacto también se almacena en el buzón o en el servidor del buzón. Información sobre los negocios internacionales de las Entidades Evaluadas con
SF-express y EMS también se informarán a la
oficina de Corporate G Singapore al mismo tiempo. -
Además de los acuerdos de compra de software mencionados anteriormente,
la Compañía A y la Compañía D también nos proporcionaron una copia del
Contrato de Compra y Venta con Tianjin Dongdian Chuangxin
Technology Development Co., Ltd; una copia del Acuerdo de servicio de celebración
con Shenzhen Deshanghui Culture Communication Co., Ltd;
una copia de la versión WORD del Contrato de Cooperación para el Desarrollo de Software
para el Proyecto FV ; y una copia de la versión WORD del
Acuerdo de subcontratación del lado corto del taller Ningxia Longji 101 ,
el Contrato de servicio urgente comercial de importación postal firmado con
China Post Corporation Shanghai Branch ("SME ”). Entre ellos,
el Contrato de Compraventa no contiene
cláusulas de confidencialidad y protección de datos; el Contrato de Servicio de Actividad de Celebración
no contiene
cláusulas de confidencialidad y protección de datos; los dos contratos de versiones WORD solo estipulan las
obligaciones de confidencialidad del proveedor con FA, y no hay ninguna
estipulación sobre protección de datos; el Contrato de Servicio Expreso Comercial de Importación Postal
contiene cláusulas de confidencialidad, que
tiene alguna estipulación sobre la protección de la información personal, pero el
contenido relevante no es suficiente para cubrir la información personal relevante.
obligaciones de protección de la información. Además, también aprendimos
que la Compañía A y la Compañía D generalmente usan las
plantillas de acuerdo del proveedor cuando firman acuerdos con el proveedor y usan
la propia plantilla de la Corporación G solo cuando firman
contratos de desarrollo de software.
[Riesgos potenciales de cumplimiento:]{.underline}
- Firstly, given that Company A and Company D currently use the
supplier’s agreement templates when entering into agreements with
suppliers except for concluding the software development agreements,
if a supplier’s agreement template does not contain a
confidentiality and/or data protection clause, the final signed
agreement will not contain a confidentiality and/or data protection
clause, either. In other words, the parties will not be able to
clarify their respective data compliance obligations, and there will
be no “firewall” clause to protect FAs and Company D from any breach
of data handling by the other party. Besides, some of the agreements
with some existing suppliers do not contain protection and data
cláusulas de seguridad y una cláusula de “cortafuegos” que protegen a la Compañía A y
la Compañía D de cualquier procesamiento ilegal de datos por parte del proveedor.
[Sugerencias preliminares:]{.subrayado}
- Se recomienda desarrollar, actualizar y modificar la plantilla del
acuerdo de confidencialidad mutua y protección de datos, de modo que
la Empresa A y la Empresa D y sus proveedores puedan seleccionar primero
dicha plantilla fija para su ejecución cuando traten con los proveedores en
el futuro. Mientras tanto, también se recomienda agregar las cláusulas sobre
protección de información personal y seguridad de datos, así como una
cláusula de "cortafuegos" que proteja a la Compañía A y la Compañía D de cualquier
actividad ilegal de procesamiento de datos por parte del proveedor a los
acuerdos de proveedores existentes.
4. Cumplimiento de datos internos relacionados con los empleados
- Recolección de Información Personal de Candidatos
<!-- -->
-
De acuerdo con la Ley de Protección de Información Personal y otras
leyes pertinentes, los procesadores de información personal deberán informar
a las personas sobre el propósito de la recopilación, etc. y obtener su
consentimiento de conformidad con la ley y deberán seguir el principio de
"necesidad mínima" al procesar información personal. El almacenamiento de
información personal seguirá el principio de necesidad, a menos que
las leyes y los reglamentos administrativos dispongan lo contrario, el
período de almacenamiento de información personal será el período mínimo
necesario para lograr el propósito del procesamiento. -
Según nuestra revisión del contrato de servicio de Liepintong entre
la empresa C y Tongdao Jingying (Tianjin) Information Technology Co.,
Ltd., entendemos que uno de los principales canales de contratación de
la empresa C y la empresa B es la contratación en la plataforma de terceros
y que la plataforma de terceros contratada por la Compañía C y la Compañía B
es la plataforma "Liepin" operada por Tongdao Elite (Tianjin)
Information Technology Co., Ltd (" Liepin "). En este
proceso de contratación, Liepin envía los currículos de los candidatos a las dos empresas, y
las dos empresas obtendrán la información personal relevante de
los candidatos después de recibir los currículos de los candidatos. En general,
the personal information contained in the resumes includes but is
not limited to name, mobile phone number, email address, age,
education level, working experience and so on. After our review of
the Liepintong Service Contract between the Company C and Liepin,
we do not find any terms that provide explanatory provisions on how
Liepin deliver such resumes to the two Companies or guarantee the
compliance on such practice. The Personal Information Protection
Policy of Liepin provides that “you acknowledge and agree that
Liepin users within the scope of users you choose to disclose your
resume may pay a fee to view your resume in order to obtain
información en el currículum que envíe o cargue”. Sin embargo, en
la práctica, no podemos descartar la posibilidad de que un candidato de Liepin
no sepa específicamente que su currículum se enviará a
la empresa B y la SEC. Por lo tanto, para prevenir tales riesgos,
la Compañía B y la SEC, como destinatarios de la información, pueden solicitar a Liepin
que se asegure de que la recopilación y el intercambio de dicha
información personal con las dos compañías cumplan con las leyes y
regulaciones aplicables, para evitar verse implicado. debido al
incumplimiento de las plataformas de contratación de terceros durante su
procesamiento de información personal. Además de la contratación
a través de plataformas de terceros, la Empresa B y la Empresa C también realizan
reclutamiento a través de referencia interna 7 . Al recopilar
los currículos de los candidatos a través de referencias internas, se considera
que el candidato da su consentimiento para que las dos empresas procesen la
información personal proporcionada por el candidato con
fines de contratación cuando el candidato envía el currículo a las dos empresas o
al empleado de las dos empresas. Además, a partir de las
respuestas del personal de los departamentos funcionales relevantes al cuestionario,
aprendimos que la Compañía B y la Compañía C no recopilan ninguna
información adicional directamente de los candidatos durante la
entrevista (por ejemplo, las dos compañías no les piden a los candidatos que
complete an information form during the interview). For uniquified
candidates, Company B and Company C will delete candidates’ resumes
within 3 months after the completion of recruitment for the
corresponding positions. -
Con respecto a la recopilación de información de los candidatos por parte de la Empresa A y
la Empresa D en el proceso de contratación, de acuerdo con la información
proporcionada por la Empresa A y VMT, las dos entidades llevarán a cabo la
contratación y recopilarán la información de los candidatos a través de 51job,
Liepin, Boss Zhipin , empresas headhunter,
cuenta de WeChat de las dos empresas y referencia interna 8 . Actualmente, la Compañía A y la Compañía
D no nos han brindado ningún acuerdo de servicio con 51jobs,
Liepin y Boss Zhipin 9 . Al mismo tiempo, los
acuerdos de usuario y las políticas de privacidad actuales de las plataformas de contratación en línea mencionadas anteriormente
describen principalmente qué tipos de usuarios
la información será recopilada y procesada por las plataformas, qué
medidas de protección se tomarán y qué canales están disponibles
para que los sujetos de información personal ejerzan sus
derechos de información personal relevantes. Durante el proceso de contratación,
la información recopilada por las dos entidades incluye el
nombre del candidato, número de teléfono móvil, dirección de correo electrónico, experiencia laboral personal,
etc. Después de la selección inicial de currículos, las empresas concertarán
la entrevista con el candidato y este será
obligado a llenar un formulario de registro de entrevista (la “ Ficha de Datos Personales
”) 10 . En la Hoja de Datos Personales , algunos datos personales
información como nombre, número de identificación, fecha de nacimiento,
número de teléfono móvil, domicilio, estado civil, nombre de contacto de emergencia e
información de contacto, antecedentes educativos, experiencia laboral,
información de miembros de la familia, etc. debe ser completada por el candidato,
pero el formulario no contiene una disposición para la
autorización por escrito del candidato para dar su consentimiento para el procesamiento de
información personal por parte de las empresas. Los currículos y la hoja de datos personales proporcionados
por los candidatos no calificados generalmente se conservarán en el
Departamento de Recursos Humanos durante seis meses a un año y solo el Departamento de Recursos Humanos puede acceder a ellos
y no se transferirán al extranjero. La razón
para retener la información del candidato desempleado es que algunos
candidatos aún pueden ser empleados por las empresas. Si dicho
período de almacenamiento expiró, la información de dichos candidatos desempleados será
eliminada y triturada. Sin embargo, las dos empresas no informan a dichos
candidatos de cómo las empresas tratarán su información.
[Riesgos potenciales de cumplimiento]{.underline}
-
(1) Si la plataforma de terceros Liepin envía ilegalmente los
currículos de los candidatos a la Compañía B y la Compañía C sin el
reconocimiento y consentimiento del candidato a la persona a quien
se envió el currículum, lo que implica a la Compañía B y a la SEC. El acuerdo
con Liepin no contenía el compromiso de Liepin de procesar datos
de conformidad con las leyes y reglamentos. -
(2) Cuando la Compañía A y la Compañía D solicitan a los candidatos que brinden
información personal durante las entrevistas, no informan al
candidato del propósito del procesamiento de la información personal, etc.
y no obtienen el consentimiento autorizado de las personas relevantes para
recopilar su información personal. -
(3) Los acuerdos de usuario y las políticas de privacidad de las
plataformas de contratación en línea utilizadas por la Empresa A y la Empresa D introducen principalmente
cómo procesan la información personal. La empresa A y
la empresa D probablemente no celebran acuerdos de servicios exclusivos
con las plataformas de empleo en línea para definir los derechos y
obligaciones de las partes con respecto a la protección de datos y establecer un “cortafuegos”
para prevenir los riesgos derivados del procesamiento ilegal de datos por parte de
terceros . -plataformas de reclutamiento en línea del partido.
[Sugerencias preliminares:]{.subrayado}
-
(1) Se recomienda que la Empresa C y la Empresa B agreguen una cláusula en el contrato de servicio firmado con Liepin (y otras plataformas de contratación
de terceros o headhunters en el futuro, si los hubiere) que requiera que la otra parte se comprometa a recopilar y compartir Los datos de información personal de los candidatos a la Compañía C y la Compañía B están en total conformidad con las leyes pertinentes y que no hay recopilación, uso y procesamiento ilegales. (También aplicable si la Empresa A y la Empresa D realizan contrataciones a través de headhunters externos) -
(2) Considerando que cuando la Empresa A y la Empresa D contratan a través
de las plataformas en línea, obtienen los currículos de los candidatos a través de
las plataformas, si surgen disputas entre las plataformas y
los candidatos en el procesamiento de la información de los candidatos, la Empresa A
y la Empresa D también podrían estar implicado. Por lo tanto, se recomienda
que la Empresa A y la Empresa D firmen los acuerdos de servicios específicos
con 51 Jobs, Liepin y Boss Zhipin para aclarar las
obligaciones de cumplimiento de datos y establecer cláusulas de "cortafuegos" para prevenir los riesgos de
incumplimiento del procesamiento de datos por las
plataformas de contratación en línea de terceros . -
(3) Se agregará una cláusula para obtener la autorización y
el consentimiento de una persona en el formulario de registro que debe completar
el candidato según lo requieran la Compañía A y VMT. Esta cláusula deberá
informar al candidato del tipo, método, finalidad y plazo de conservación
de la información a tratar y obtener su consentimiento de
conformidad con la Ley de Protección de Datos Personales . -
(4) Si las Entidades Evaluadas realizan el reclutamiento a través del
sitio web Corporativo G, es decir, el candidato completa la información
y carga el CV en el sitio web, las Entidades Evaluadas deberán tener una
política de privacidad en el sitio web y exigir que el candidato lea la
política. y marque la casilla de verificación "Reconozco la política de la empresa y
doy mi consentimiento para que la empresa procese mi información personal de
acuerdo con la política de privacidad". Además, la política de privacidad
deberá explicar cómo la empresa procesará la
información personal con fines de contratación y proporcionará un canal para que la
persona ejerza sus derechos de información personal de
acuerdo con las leyes y reglamentos de la República Popular China.
<!-- -->
- Verificación de antecedentes del empleado propuesto antes del empleo
<!-- -->
- En base a las respuestas al cuestionario del
personal funcional relevante, entendemos que la Compañía B y la Compañía C contratarán
a un proveedor de servicios externo, es decir, FSG (Shanghai Foreign
Service (Group)) Co., Ltd., para llevar a cabo una verificación de antecedentes de los
empleados propuestos antes de la incorporación. La verificación de antecedentes se
lleva a cabo sin el consentimiento del empleado propuesto. Según
la experiencia general, el contenido de la verificación de antecedentes puede incluir
toda la información del currículum del empleado propuesto, como
información de identidad e información educativa. Hemos revisado el
contrato de servicios firmado por la Empresa A y FSG proporcionado por FA, que
también es aplicable a la Compañía B y la Compañía C según la
Compañía y encontró que este acuerdo de servicio es principalmente un
acuerdo para la prestación de servicios de nómina por parte de FSG a las
Entidades Evaluadas, y no incluye la provisión de
verificación de antecedentes, ni este servicio contrato incluyen las cláusulas sobre
protección de datos personales y/o cumplimiento de datos. Para la Compañía
A y VMT, las verificaciones de antecedentes son realizadas actualmente por el mismo HR
y no se involucra a ningún tercero.
[Riesgos potenciales de cumplimiento:]{.underline}
- According to the Personal Information Protection Law, a personal
information processor shall inform the individuals and obtain their
consent when providing the personal information collected from such
individuals to a third party. Therefore, if the Assessed Entities do
not inform the proposed employees of the background check to be
conducted and obtain their consents, the Company’s providing the
proposed employee’s personal information to the background check
company may constitute the providing personal information to a third
party without the consent of the subject of the personal
information, in violation of the relevant provisions of the
Personal Information Protection Law.
[Sugerencias preliminares]{.subrayado}
-
(1) Company B and Company C shall first obtain the proposed
employee’s authorization and consent for the processing of such
personal information before requiring FSG to conduct a background
check on the proposed employee. If the Assessed Entities provide any
sensitive personal information of the proposed employee to FSG, a
separate consent should be obtained from the proposed employee. In
addition, the service agreement with FSG should clearly stipulate
the rights, obligations and responsibilities of both parties on the
protection of personal information and contain a “firewall” clause
to prevent the risk associated with unlawful processing of personal
information by FSG. In addition, in order to reduce the
riesgos incontrolables, añadir una cláusula que prohíba la subcontratación de
servicios de verificación de antecedentes en el contrato de servicios con FSG. Si
la Compañía A y la Compañía D tienen la intención de contratar a un tercero para realizar la
verificación de antecedentes del empleado propuesto en el futuro, la Compañía A
y la Compañía D pueden adoptar las sugerencias aquí si corresponde. -
(2) La Compañía establecerá una
política de protección de la información personal y establecerá los requisitos de cumplimiento para el departamento de recursos humanos y otros
empleados al procesar la información personal.
<!-- -->
- Recopilación de Información Personal de Empleados Oficialmente Contratados
<!-- -->
-
Con base en las respuestas al cuestionario del
personal funcional relevante, luego de decidir contratar formalmente al candidato, las
Entidades Evaluadas solicitarán a dicho empleado que llene el Formulario de Información del Empleado
(para la Empresa B y SEC) o la Hoja de Datos Personales
11 (para la Empresa A y VMT), que requieren que el empleado
proporcione su información personal, como nombre, número de identificación,
información de contacto, dirección, número de tarjeta bancaria, estado civil, estado
de los hijos, información de los miembros de la familia, incluidos
los números de teléfono de contacto, educación, etc., y firmar el Contrato de Trabajo
con el empleado, y exigirle a dicho empleado que reconozca y firme
para el Manual del Empleado . En el trabajo diario, si el empleado solicita
una licencia, las Entidades Evaluadas también podrían recopilar información del empleado,
como la declaración de licencia por enfermedad. Además, si
la Compañía A y la Compañía D tienen la intención de organizar el
control de salud de incorporación del empleado y el control de salud anual, también podrían recopilar
el nombre del empleado, el número de identificación y revisar el
informe de control de salud del empleado. De acuerdo con la Ley de Protección de Datos Personales
y otras leyes, al recolectar la información personal, la
Compañía deberá informar al individuo el propósito de la recolección y
obtener su consentimiento, y la recolección deberá cumplir con los
principio de “mínima necesidad”. En particular, el Formulario de Información del Empleado
de la Compañía B y la Compañía C contiene la declaración
de que “este formulario tiene fines de archivo y debe ser llenado
con veracidad y cuidado por cada empleado”; la Hoja de Datos Personales
de la Empresa A y la Empresa D contiene la declaración de que “Declaro
que la información anterior proporcionada por mí es objetivamente
correcta”. El Manual del Empleado de las 4 Entidades Evaluadas
establece que “si se proporciona información falsa, la empresa tiene
derecho a rescindir el contrato de trabajo”, pero no contiene una
cláusula que explique el uso específico de la información recopilada, o
una cláusula sobre el consentimiento del empleado para la recolección de
información personal por parte de las Entidades Evaluadas. Además, las
plantillas de contrato de trabajo proporcionadas por las cuatro Entidades Evaluadas no
contenían disposiciones sobre la protección de la información personal. -
Con respecto a los datos relacionados con el control de asistencia de los empleados, supimos
que la SEC, la Compañía A y la Compañía D utilizan el control de huellas dactilares
para la asistencia de los empleados diariamente. Los datos de las huellas dactilares de
los empleados de la Compañía C se almacenan en una máquina de control de asistencia
y no se almacenan en servidores locales u otros dispositivos ubicados en
China continental, ni se proporcionan a la sede corporativa de G
en Alemania, otras compañías afiliadas fuera de China, o otros
terceros. Los datos de huellas dactilares de
los empleados de la Compañía A y la Compañía D se almacenan en la máquina de verificación de asistencia y en
los servidores locales ubicados en China continental y no se proporcionan a la Corporación.
Sede G o empresas afiliadas fuera de China. Actualmente,
solo el personal relevante de los departamentos de RRHH y TI de la SEC,
la Compañía A y la Compañía D, respectivamente, tiene acceso a dichos
datos de huellas dactilares. Sin embargo, PA, la empresa A y la empresa D no
obtuvieron el consentimiento de los empleados antes de recopilar sus
datos de huellas dactilares. -
Además, la Compañía B y la Compañía C instalaron cámaras en sus
plantas y colocaron carteles de advertencia en la entrada de las plantas, pero
el acto de monitoreo no se mencionó en el Manual del Empleado
ni en el Contrato de Trabajo de las dos compañías . Las cámaras de seguridad también fueron
instaladas en las oficinas de la Empresa A y VMT, pero no había
señales de advertencia que advirtieran que el individuo estará en el
área de vigilancia, y dicho acto de vigilancia no se mencionaba en el Manual del Empleado ni en el Contrato de Trabajo
de las dos empresas .
[Riesgos potenciales de cumplimiento:]{.underline}
- Las cuatro Entidades Evaluadas no obtienen el consentimiento por escrito de los
empleados para la recopilación de información personal, incluida la
información personal confidencial, como números de identificación,
números de teléfonos móviles, números de tarjetas bancarias y características de las huellas dactilares (SEC,
FA y Company D recopilan información de los empleados). ' huellas dactilares con
fines de asistencia) que se recogerán con el
consentimiento por separado de las personas; no existen disposiciones relativas a la protección de la
información personal en el Manual del Empleado o en los
Contratos de Trabajo. Además, es posible que la Compañía no haya revisado los formularios
que requieren que los empleados llenen información para evaluar si los
tipos y el alcance de la información recopilada actualmente de la
los empleados son consistentes con el principio de “necesidad mínima”.
La Compañía A y la Compañía D no colocan carteles de notificación en las áreas
donde se instalan cámaras para indicar que las personas están
ingresando a las áreas de monitoreo.
[Sugerencias preliminares:]{.subrayado}
-
(1) Preparar una notificación de consentimiento por separado para el procesamiento
de información personal de los empleados, así como una notificación de
consentimiento para el procesamiento de información personal confidencial 12
(y una notificación de procesamiento de información personal de menores
de 14 años si necesario), especificando los tipos de datos
que se pueden recopilar, los fines de la recopilación, otras
actividades de procesamiento de datos que pueden estar involucradas (consulte el
análisis a continuación para obtener más detalles), el período de retención de los datos, los
derechos que las personas tienen con respecto a sus
datos personales y las vías para el ejercicio de tales derechos y solicitar
a los empleados su firma. -
(2) Agregar disposiciones sobre la protección de la información personal al Contrato de Empleo y al Manual del Empleado
existentes . -
(3) Revisar los formularios de recopilación de información que deben
completar los empleados para garantizar que la información que se
recopila de los empleados sea necesaria en función de las operaciones y la gestión diarias
de la Compañía y, si es necesario, agregar
representaciones con respecto a la autorización del consentimiento para el
tratamiento de datos personales en los formularios correspondientes. -
(4) La Compañía A y la Compañía D instalarán señales de advertencia que notifiquen
a las personas que se encuentran en el área de monitoreo en
lugares visibles del área de monitoreo.
<!-- -->
- Otras actividades de procesamiento de la información personal de los empleados
<!-- -->
-
Con base en las respuestas a las preguntas en el cuestionario del
personal funcional relevante y la revisión de los
documentos relevantes, aprendimos que las otras
actividades de procesamiento de las Entidades Evaluadas con respecto a la información personal de los empleados son las
siguientes: -
(1) La información personal (nombre, número de teléfono móvil, etc.) de los
empleados se proporciona a las contrapartes en el curso del
trabajo diario. Pero no hay ninguna declaración sobre la protección de la
información personal en los acuerdos pertinentes. -
(2) Actividades de almacenamiento, es decir, i) proporcionar
información personal de los empleados a la sede alemana. Para ser específicos, debido a que los
datos de los empleados (sin incluir la información personal confidencial) de las
cuatro Entidades Evaluadas se almacenan actualmente en el sistema ERP, y
todos los datos en el sistema ERP se almacenan en los servidores locales de la
sede corporativa de G en Alemania, dicho almacenamiento de datos conducta podría
considerarse como transferencias transfronterizas de información personal. Sin embargo,
como se mencionó anteriormente, dicho procesamiento no está estipulado en los
formularios de información del empleado, Contrato de trabajo ,
Manual del empleado , etc., y no está autorizado por los empleados.
Mientras tanto, de conformidad con elLey de Protección de Información Personal ,
cualquiera de las siguientes condiciones debe cumplirse antes de la
transferencia transfronteriza de información personal, a saber: pasar la
evaluación de seguridad organizada por la Administración del Ciberespacio de
China (" CAC "); o estar certificado por una agencia especializada en la
protección de datos personales; o celebrar acuerdos de transferencia de datos transfronterizos
con el destinatario en el extranjero de acuerdo
con el contrato estándar formulado por el CAC. Entre ellos,
de acuerdo con las Medidas de evaluación de seguridad para
transferencias de datos salientes , para 1) un procesador de datos que procesa el personal
información de más de un millón de personas, o 2) un procesador de datos
ha proporcionado información personal de 100,000 personas o
información personal confidencial de 10,000 personas en total al extranjero desde el
1 de enero del año anterior, o 3) un CIIO, si alguno de ellos
transfiere información personal al extranjero, deberá solicitar una
evaluación de seguridad en la transferencia de datos transfronteriza que llevará a cabo
CAC. Además, si un procesador de datos transfiere datos críticos al
extranjero, también deberá solicitar
que CAC realice una evaluación de seguridad sobre la transferencia de datos transfronteriza. De acuerdo con la
información proporcionada por las Entidades Evaluadas, ninguna de las
Entidades Evaluadas está actualmente reconocida por ningún regulador nacional.
autoridad como CIIO, ni las Entidades Evaluadas procesan ningún
dato crítico. A su vez, según la información
proporcionada por las Entidades Evaluadas, desde el 1 de enero de 2021 hasta el 25 de
noviembre de 2022, el número total de empleados de las
Entidades Evaluadas en China es de 344 13 . Parte de la información personal de
los empleados antes mencionados (excluyendo
la información personal confidencial) se almacena en un servidor local en Alemania; el
número total de contactos de socios comerciales incluyendo clientes,
distribuidores y proveedores de las Entidades Evaluadas almacenados en el
sistema de información de las Entidades Evaluadas es de aproximadamente
18.528 14, la información de contacto antes mencionada se almacena en un
servidor local ubicado en Alemania. En conclusión, hay 18 872
personas ubicadas en la República Popular China en total cuya información personal se
almacena en el servidor local en Alemania, es decir, las Entidades evaluadas
han transferido la información personal de alrededor de 18 872
personas ubicadas en la República Popular China al extranjero. Además, el número total
de información personal a la que accedieron las Entidades Evaluadas desde el 1
de enero de 2021 hasta el 21 de noviembre de 2022 a través de sitios web, plataformas de comercio electrónico
y otros canales en el curso de sus
negocios de ventas en línea es de 4100 15 , y si estos datos son también
transferido al extranjero, el número total de la República Popular China basado
persona cuya información personal se transfiere al exterior es
de aproximadamente 22.972 16 , que es inferior a los 100.000
especificados en las Medidas de evaluación de seguridad para transferencias de datos salientes
. Por lo tanto, según los datos anteriores proporcionados por las
Entidades Evaluadas y los cálculos antes mencionados, a la
fecha de este informe, las actividades de transferencia de datos transfronterizos por parte de
las Entidades Evaluadas no se encuentran en una situación en la que una
evaluación de seguridad de los datos transfronterizos Se requiere transferencia por el momento
. Sin embargo, a la fecha de este informe las
actividades de transferencia de las Entidades Evaluadas no han sido certificadas por un organismo especializado.
institución sobre la protección de información personal según lo exige
la Ley de Protección de Información Personal , ni firmó el
acuerdo de transferencia de datos transfronterizo relevante con la
entidad de la sede alemana (y otras partes afiliadas en el extranjero) 17 ; ii)
los sistemas de recursos humanos de la Compañía almacenan la información del empleado, incluida
la información de los familiares del empleado y la
declaración de licencia por enfermedad del empleado 18 . Las computadoras portátiles del personal de recursos humanos
también almacenan la información personal de los empleados. Además, el
departamento de recursos humanos también conserva el perfil personal del empleado en copia impresa. -
(3) Algunos empleados de una Entidad evaluada pueden ver la información
sobre los empleados de otra Entidad evaluada en función de su
autoridad de gestión. Para ser específicos, aprendimos que las
Entidades Evaluadas pueden compartir los mismos equipos funcionales. Por ejemplo, el
responsable de TI de las cuatro Entidades Evaluadas es actualmente la misma persona, y
aunque legalmente estableció la relación laboral (es decir,
firmó el contrato de trabajo) con una de las cuatro
Entidades Evaluadas, puede ver los datos de todas las cuatro Entidades Evaluadas
en la práctica en función de su autoridad de gestión como
jefe de TI de Corporate G China. En tales casos, aunque los cuatro
Las Entidades Evaluadas son las entidades comerciales de Corporate G China en
términos de la estructura de gestión corporativa, pero desde una
perspectiva legal, las cuatro Entidades Evaluadas son entidades legales
independientes entre sí. Por lo tanto, desde una perspectiva legal, si los
empleados de la empresa A pueden ver los datos internos de la empresa B,
la empresa C y la empresa D podrían considerarse como si estas tres empresas
proporcionaran sus datos internos a la empresa A, y de acuerdo con la
Ley de Protección de Datos Personales. , la conducta de proporcionar
información personal a entidades externas deberá ser notificada al
individuo y se deberá obtener el consentimiento del individuo. Un escrito
también se firmará un acuerdo con la entidad externa para aclarar
los respectivos derechos y obligaciones. Actualmente, supimos que no
se han
firmado acuerdos de transferencia e intercambio de información personal entre las cuatro Entidades Evaluadas. -
(4) Compartir la información personal del empleado con organizaciones de terceros
, tales como: -
(a) Proporcionar la información personal del empleado, como el
nombre, número de tarjeta de identificación, información de contacto y otra
información personal confidencial al proveedor de servicios de terceros, es decir,
Ctrip (aplicable para la Compañía B y SEC) y Spring Tour (aplicable
para la Compañía A y VMT) con el fin de ayudar a los empleados a
reservar boletos aéreos, boletos de hotel y otros itinerarios para sus
viajes de negocios. Dicho comportamiento de intercambio de información no está estipulado
en documentos tales como el Formulario de información del empleado , el
Contrato de trabajo o el Manual del empleado , etc. o consentido
por los empleados; los acuerdos de servicio con Ctrip y Spring
Las aerolíneas tampoco contienen disposiciones relativas a
la protección de la información personal y el cumplimiento de los datos. (b) Proporcionar el nombre del empleado
, el sexo, la edad y la información de contacto de los empleados a
empresas de revisión médica de terceros en función de la
política de beneficios de exámenes médicos para empleados de la Compañía, y dicho
comportamiento de intercambio de información no se especifica en documentos como el Formulario de información del empleado
. , el Contrato de Trabajo , el Manual del Empleado
, etc., y no es consentido por escrito por los empleados
por adelantado. © La información personal de los empleados, como
números de identificación y fechas de nacimiento, se proporciona a un seguro de terceros
agencias, AIG (aplicable para la Compañía B y SEC) y Sun Life
Everbright Life Insurance Co., Ltd (aplicable para la Compañía A y
VMT) según la política de beneficios de la Compañía con respecto a la compra
de seguros contra accidentes, dicha conducta de intercambio de datos no se especifica en
los documentos como el Formulario de información del empleado , el
Contrato de trabajo , el Manual del empleado , o es consentido
por los empleados, y los acuerdos firmados respectivamente con AIG
y Sun Life Everbright Life Insurance Co., Ltd no contienen
disposiciones de protección de datos relacionadas con el uso de los
requisitos de información personal y confidencialidad antes mencionados. (d)
Encomendar a un tercero (es decir, China International Intellectech
(Shanghai) Co., Ltd. (" CIIC ", aplicable para FA) la prestación de
servicios relacionados con el seguro de dotación de los empleados, el
seguro médico, el seguro de desempleo, el seguro de accidentes laborales y
el seguro de maternidad, y fondo de previsión de vivienda, gestión de archivos de personal
y documentos de trabajo para ingresar a Shanghai para trabajar, manejar
la evaluación del título profesional y técnico, y el
manejo del registro del colectivo Hukou, en el que la
Compañía puede necesitar proporcionar los datos personales de los empleados información a
CIIC Tal conducta de intercambio de datos no está estipulada en documentos tales
comoFormulario de Información del Empleado , el Contrato de Trabajo , el
Manual del Empleado , y no es consentido por
escrito por los empleados por adelantado. -
(5) De acuerdo con la Ley de Protección de Información Personal , el
procesador de información personal eliminará la información personal
si ocurre alguna de las siguientes circunstancias: (i) cuando se
ha logrado el propósito del procesamiento, es imposible lograr tal
propósito, o ya no es necesario para lograr tal propósito; (ii)
cuando el procesador de información personal deja de proporcionar productos
o servicios, o el período de almacenamiento ha expirado; (iii) cuando el
individuo retire su consentimiento; (iv) cuando el
procesador de información personal procese información personal en violación de
las leyes, los reglamentos administrativos o el acuerdo; o (v) otros
circunstancias previstas por las leyes y los reglamentos administrativos.
Por lo tanto, en principio, de acuerdo con los requisitos de la
Ley de Protección de Datos Personales , si el candidato no es
empleado o el empleado renuncia, la Compañía debe eliminar su
información personal lo antes posible. Por supuesto, en
la práctica, con base en otras disposiciones legales y
necesidades de gestión necesarias de la Empresa (por ejemplo, para prevenir
conflictos laborales post-empleo, la empresa puede retener la información de los ex empleados
por un período de tiempo), asumiendo que la Compañía ha
determinado razonablemente el período de almacenamiento aplicable a la práctica de la Compañía
e informado al individuo y obtenido su consentimiento, la Empresa podrá
retener la información del individuo correspondiente dentro del
plazo de conservación que determine la Empresa. Sin embargo, cabe
señalar que si una persona solicita a la Compañía que elimine su
información personal dentro del período de almacenamiento, la Compañía
debe eliminarla de conformidad con las disposiciones de la Ley de Protección de Información Personal
. Con respecto al procesamiento de la
información de los empleados después de la terminación de su empleo,
de acuerdo con la información proporcionada por la Compañía B y RRHH de la SEC, la Compañía
B y la Compañía C generalmente almacenan la información personal de los
empleados por un cierto período de tiempo después de su terminación del
empleo. El período de retención de la copia impresa de la
información personal suele ser de 5 años o más, mientras que el de la copia electrónica
de la información personal es de tres años. Se deben confirmar
las normas y prácticas de la empresa A y VM sobre el almacenamiento y la eliminación de la información de los empleados.
Es importante señalar que,
de acuerdo con la información proporcionada por el departamento de TI de la
Compañía, la Compañía no ha establecido un período de eliminación unificado por
el momento, es decir, en base a la práctica actual, aunque el
departamento de recursos humanos tiene su propio reglamentos internos sobre el almacenamiento y
la eliminación de datos, que pueden no ser conocidos por TI y otros
departamentos, es posible que los datos de los empleados se almacenen en
el sistema de información interno de la empresa durante un período de
tiempo más largo en la práctica.
[Riesgos potenciales de cumplimiento:]{.underline}
-
De acuerdo con las disposiciones de la Ley de Protección de Datos Personales
, la Empresa debe notificar al individuo de las
actividades de procesamiento de datos antes mencionadas y obtener el consentimiento del individuo
y debe cumplir con el principio de "mínima necesidad".
Por lo tanto, pueden existir los siguientes riesgos en la práctica actual de
las actividades de procesamiento de datos antes mencionadas por parte de las Entidades Evaluadas
: -
(1) No existen disposiciones para la protección de la
información personal en los acuerdos con los clientes y los
distribuidores. -
(2) Proporcionar información personal de los empleados (que puede incluir
información personal confidencial) a otras entidades de Corporate G China
sin el consentimiento de los empleados. -
(3) No estar certificado por una institución especializada en la
protección de información personal de acuerdo con la Ley de Protección de Información Personal
, o firmar los acuerdos de transferencia de información transfronteriza pertinentes
con la sede alemana (así como
otras filiales en el extranjero, si las hubiere). -
(4) Proporcionar la información personal de los empleados a una
institución externa de terceros sin el consentimiento de los empleados, y el
acuerdo de servicio con la institución externa de terceros no
incluye una cláusula de protección de datos. -
(5) Los departamentos varían en la práctica sobre la configuración del
método de almacenamiento y el período de almacenamiento de la información personal de los empleados.
Además, en la práctica, la información personal de los ex empleados
puede almacenarse por un período más largo que “el período mínimo necesario
para el procesamiento”.
[Sugerencias preliminares:]{.subrayado}
-
(1) As mentioned above, prepare a separate notification consent
form for the processing of personal information as well as a
notification consent form for the processing of sensitive personal
information, and add the provisions of personal information
protection to the existing Employment Contract and Employee
Handbook. -
(2) Add the personal information protection clauses to the
agreements with the relevant suppliers and customers, as mentioned
above. -
(3) Arrange for the execution of the data sharing agreements among
the four Assessed Entities. -
(4) Firmar un acuerdo de transferencia de datos transfronterizo con
la sede corporativa de G en Alemania (y/u otras entidades extraterritoriales que necesitan que las
Entidades Evaluadas compartan la información personal de sus empleados).
Al mismo tiempo, calcule regularmente la cantidad de
información personal transferida al extranjero en términos de la cantidad de
personas (incluida la cantidad de información personal almacenada en
servidores en el extranjero y la cantidad de información personal proporcionada
a entidades afiliadas en el extranjero por correo electrónico, etc.) .), y realizar trabajos
y solicitar una evaluación de seguridad en la transferencia transfronteriza de datos cuando
los datos transferidos al extranjero cumplan con las circunstancias en las que
se requiere una evaluación de seguridad.19It should be noted that the
Personal Information Protection Law stipulates that for
cross-border transfer of personal information, one of the following
three conditions needs to be met: 1) completion of a security
assessment, or 2) certification on personal information protection,
or 3) drafting and signing of a cross-border data transfer agreement
with the overseas recipient in accordance with the contract template
issued by the CAC. Among the three requirements, as mentioned
above, the Assessed Entities are not currently in a situation where
security assessment on cross-border data transfers is required, but
the Assessed Entities are required to regularly calculate the
quantity of personal information transferred to overseas in terms of
the number of the individuals and ensure that the security
assessment is reported to the CAC in a timely manner when the
security assessment for outbound data transfers is triggered. With
regard to the other two requirements, some of the practical
guidelines for the certification on personal information protection
are to be further clarified20, and with regard to the third
method, i.e., signing cross-border data transfer agreements, the CAC
has only released a Draft of Standard Contracts for Cross-border
Transfers of Personal Information, y que
aún no ha sido finalizado y promulgado 21 . Dado que la Compañía actualmente no está
definida por el regulador como un
Operador de Infraestructura de Información Crítica y actualmente no procesa datos importantes, según la
naturaleza de la Compañía y el tipo de datos procesados por la Compañía,
consideramos que antes de la práctica más refinada se emiten directrices para
la transferencia de datos transfronteriza, la Compañía puede adoptar el
enfoque de firmar los acuerdos de transferencia de datos con
destinatarios en el extranjero. Aunque no ha
entrado oficialmente en vigor ningún modelo o acuerdo modelo, si los acuerdos de transferencia de datos transfronterizos
entre la Compañía y los destinatarios en el extranjero se redactan en
de acuerdo con el borrador del contrato estándar emitido por el CAC y
cumplir con los requisitos de seguridad de datos y
protección de la información bajo la Ley de Protección de Información Personal y otras
leyes relevantes, los riesgos asociados con la transferencia transfronteriza de
información personal podrían ser relativamente manejables. Continuaremos
monitoreando la emisión de los reglamentos y
normas relevantes y mantendremos a la Compañía informada de manera oportuna y tomaremos
las medidas apropiadas para garantizar que las prácticas de transferencia de datos transfronteriza de la Compañía
cumplan con los
requisitos legales vigentes. -
(5) Si los sistemas de información de la Compañía almacenan
información personal de los empleados, así como información personal de
los familiares de los empleados, al almacenar dicha información, se
deberá adoptar una gestión de acceso estricta. Si la información personal sensible
se almacena en los sistemas de información (como cuentas bancarias,
números de identificación, números de teléfono móvil, declaración de baja por enfermedad, informes de control médico
, etc.), se recomienda que se tomen medidas de protección más estrictas,
como el almacenamiento encriptado. adoptarse para reducir aún más el
riesgo de que se filtre dicha información. Al mismo tiempo, se
sugiere que la Compañía establezca una
política unificada de protección de datos personales (que debe incluir disposiciones sobre
almacenamiento de información personal y requisitos de acceso). -
(6) Firmar los acuerdos de intercambio y transferencia de datos con
terceros externos relevantes. -
(7) En cuanto al plazo de conservación de los datos personales de los
trabajadores renunciados, se recomienda considerar factores tales
como el plazo pactado en el pacto de no competencia, la limitación de
litigios y la necesidad de la gestión diaria de la empresa para
determinar razonablemente la la duración de dicho período de almacenamiento y el
alcance, a fin de formar una política de retención de información unificada. Al
mismo tiempo, la Compañía debe informar a las personas y obtener
su consentimiento y tomar las mismas medidas de protección que las de los
empleados actuales. Después de que expire el período de almacenamiento, la
información personal debe eliminarse o anonimizarse. Si el renunció
los empleados solicitan a la Compañía que elimine su información personal
dentro del período de retención, la compañía debe eliminarla según lo
solicitado.
5. Almacenamiento y transferencia de datos
-
Como hemos analizado el almacenamiento y la transferencia de información personal
de los empleados en la Parte 4, en esta parte analizaremos el almacenamiento
y la transferencia de datos que no sean información personal de
los empleados. -
En cuanto a la transferencia y el intercambio de datos entre las cuatro
Entidades Evaluadas, como se indicó en los párrafos anteriores, las entidades comparten algunos
miembros de los departamentos de gestión y funcionales. Aunque las cuatro
Entidades Evaluadas en China son todas subsidiarias de Corporate G en
términos de gestión comercial, todas son entidades legales separadas
por ley. Por lo tanto, cuando los empleados de la empresa A tienen acceso
a los datos de la empresa B, la empresa C, la empresa D, se considera que las
tres empresas proporcionan datos a la empresa A, por lo que
se debe firmar un acuerdo de transferencia e intercambio de datos y el consentimiento de los
se debe obtener la información de los sujetos. Para la recogida de datos personales.
información de los empleados de clientes o proveedores, ya que se
basa en la necesidad del negocio y en el desempeño del
deber del personal relacionado, las cuatro Entidades Evaluadas no necesitan obtener su consentimiento,
pero deben informarles que los datos recopilados (incluida la
información personal de la persona de contacto) pueden ser compartido entre las
cuatro entidades de Corporate G China. Nos enteramos de que ni
la transferencia de datos ni el acuerdo para compartir se han firmado entre las cuatro
entidades, ni
las cuatro entidades han realizado esfuerzos para informar al cliente y al proveedor de la transferencia de datos en los
acuerdos relevantes con clientes y proveedores. -
Además, de acuerdo con la respuesta de los
departamentos funcionales relevantes a nuestro cuestionario, aprendimos que, a excepción del
sistema de reembolso y licencia de Digiwin y el sistema de recursos humanos de Cityray, cuyos datos
se almacenan en el PRC, todos los demás datos en los sistemas,
incluidos ERP y CRM, son almacenado en Mannheim, Alemania. Por lo tanto,
cuando los datos se generan durante la actividad comercial diaria y
las Entidades Evaluadas los cargan en el sistema ERP y los sistemas CRM, dado que los
servidores están ubicados en el extranjero, los datos se transfieren automáticamente
al extranjero, lo que puede constituir una transferencia transfronteriza de
información personal si dichos datos incluyen
información personal 22. Por otro lado, dado que las Entidades Evaluadas y
su sede alemana son entidades legales separadas, dicha transferencia
también constituye "proporcionar información personal a terceros"
según la Ley de Protección de Información Personal . De acuerdo con la
información proporcionada por las Entidades Evaluadas, ninguna de las cuatro
entidades ha tomado las medidas prescritas por la Ley de Protección de Datos Personales
para transferencias transfronterizas tales como
evaluación de seguridad, certificación sobre protección de datos personales,
firma de un acuerdo de transferencia transfronteriza y haber informado a los
clientes y proveedores que la información personal podría ser
transferida al exterior. -
Para la protección de datos, las Entidades Evaluadas adoptaron una serie
de medidas que incluyen el uso de canales de encriptación SSL durante la transferencia,
establecer permisos de acceso de acuerdo con el principio de
necesidad de acceso de los empleados, usar IAM para administrar los permisos del servidor de archivos,
encriptar los discos duros de las computadoras portátiles, respaldar el correo servidores y
servidores de archivos mientras usa discos y cintas para múltiples tipos de copias de seguridad
, realiza copias de seguridad con una frecuencia de una semana, adopta un
método de copia de seguridad coubicada (utilice copias de seguridad completas y copias de seguridad incrementales),
etc. en el proceso de administración de almacenamiento. Pero las entidades no fijan
periodo de borrado de los datos, ni han formado una protección de datos
policy that includes access management, data source labeling, data
encryption and storage, data transfer security, data anonymization,
and data classification and hierarchical protection system, etc. -
The Personal Information Protection Law requires that the storage
of personal information should follow the principle of necessity,
i.e., unless otherwise provided by laws and administrative
regulations, the retention period of personal information shall be
the shortest period necessary to achieve the purpose of processing.
According to the information provided by the Assessed Entities, the
Assessed Entities have not set a deletion period for the stored data
which leads to compliance risks, for instance, the personal
information of some contacts of the customers which is no longer
valid is still retained, or some customers have changed their
contacto personal, pero la información personal del contacto que
ha sido inválida aún se conserva. -
Además, según la información proporcionada por las
Entidades Evaluadas, los empleados de las Entidades Evaluadas tienen su
correo electrónico de trabajo configurado por el equipo de TI de Corporate G China, y las
correspondencias de correo electrónico se almacenan en servidores locales ubicados en la República Popular China.
[Riesgos potenciales de cumplimiento:]{.underline}
-
(1) Los empleados de una de las Entidades evaluadas pueden tener acceso a
los datos de otra Entidad evaluada en función de la autoridad de gestión, pero
las entidades relevantes no han firmado ningún acuerdo de intercambio de datos. -
(2) Las Entidades Evaluadas no notifican a los clientes antes de
la transferencia de datos, ni han sido certificadas sobre
la protección de la información personal ni han firmado un acuerdo de transferencia transfronteriza
con la sede alemana (u otras entidades afiliadas en el extranjero)
como lo requiere la Protección de la Información Personal. ley _ -
Las Entidades Evaluadas no establecieron un período de eliminación para algunos de los
datos electrónicos almacenados.
[Sugerencias preliminares:]{.subrayado}
-
(1) Como se mencionó anteriormente, se recomienda que
se firmen acuerdos de intercambio de datos entre las Entidades Evaluadas. -
(2) Como se mencionó anteriormente, se recomienda que se firmen acuerdos de transferencia de datos transfronterizos entre las Entidades Evaluadas y la
sede alemana (u otras entidades afiliadas en el extranjero). Al
mismo tiempo, calcule periódicamente la cantidad de información personal
que se proporcionará en el extranjero en función del número de
personas (incluida la cantidad de información personal almacenada
en servidores en el extranjero y la cantidad de información personal
transferida a filiales en el extranjero por correo electrónico, etc.), y realizar
trabajos y solicitar la evaluación de seguridad en la transferencia transfronteriza de datos
cuando los datos que se proporcionarán en el extranjero cumplan con las circunstancias
bajo las cuales se requiere la evaluación de seguridad. -
(3) Revisar y verificar la información de contacto de los clientes, eliminar
la información personal de los contactos no válidos, agregar declaraciones para
obtener el consentimiento para que la información personal de los clientes, como
la información de contacto, se transmita a través de las fronteras y se almacene en
servidores en el extranjero en los acuerdos. o correos electrónicos con los clientes e
informar a los clientes del método para enviar sus solicitudes de
eliminación. -
(4) Formar una política unificada de almacenamiento de datos basada en las
necesidades prácticas de la Compañía.
6. Procesamiento, uso y uso compartido de datos
-
Como la Parte 4 de este informe ha analizado el procesamiento, uso y uso
compartido de la información personal de los empleados, esta parte analizará principalmente
el procesamiento, uso y uso compartido de otros datos, incluida la
información personal de los contactos de los proveedores y clientes. -
De acuerdo con la respuesta de los departamentos funcionales relevantes a nuestros
cuestionarios, el propósito de recopilar
la información de los clientes o proveedores (incluido el nombre de la persona de contacto,
el número de teléfono móvil, la dirección de correo electrónico, las necesidades del producto y la cuenta financiera de la
empresa) es configurar el cliente. o registro de proveedores en el sistema interno
, procesar pedidos, emitir facturas, realizar
predicciones de producción y ventas 23 , realizar actividades de marketing de productos, organizar
actividades de clientes y realizar capacitaciones internas y externas.
Respecto a la información promocional enviada a los clientes, las
Entidades Evaluadas la remitirían a través del Universal Messenger
software operado por la sede alemana con el servidor en
Alemania o a través del remitente de correo electrónico en Alemania. Los correos electrónicos contienen
métodos para que los clientes se den de baja, pero no está claro si
se obtiene el consentimiento de antemano 24 . -
En cuanto a las actividades de venta de las Entidades Evaluadas, las principales
modalidades de venta incluyen las ventas en línea y las ventas fuera de línea. -
Con respecto a las ventas en línea, las Entidades Evaluadas usarían la
plataforma DCP operada por Corporate G Germany (aplicable a la Compañía A
y VMT) y algunas plataformas de terceros (es decir, la Compañía B y la Compañía
C usan EPEC, la Compañía A usa JD, VIPMRO y 1688 ) para el negocio de ventas,
incluida la recepción de pedidos, la liquidación de pedidos, el servicio posventa,
etc. Para ser específicos: -
(1) Con respecto al sitio web de DCP operado por la sede de Corporate G
en Alemania, los clientes pueden registrarse en este sitio web para realizar compras
al proporcionar el nombre de contacto, el número de contacto, la dirección de envío y
los requisitos de facturación en el momento del registro. Las empresas estatales
o los institutos de investigación estatales clientes de la Compañía
A y la Compañía D actualmente no tienen cuentas DCP. Corporate G puede
ver todos los datos de los clientes de DCP, incluida la información básica del cliente,
los detalles del pedido del cliente y las direcciones de envío. Además, para los
distribuidores o agentes autorizados chinos que actualmente usan DCP con más
frecuencia, la Compañía A ha firmado los Acuerdos de pedidos en línea con
ellos (FA proporciona una plantilla de acuerdo para nuestra referencia). De acuerdo
con el artículo 9 "Obligaciones de seguridad y confidencialidad" de este
acuerdo, las partes acuerdan que la otra parte tratará los
programas de red, números de cuenta y contraseñas,
computadoras, números de teléfono o información similar de la otra parte como
"confidencial" o "información de propiedad exclusiva". . Para los usuarios desconocidos
que solicitan una cuenta, solo necesitan iniciar los "Términos y
condiciones de venta". Al mismo tiempo, el sitio web de DCP tiene una
política de privacidad para informar a los usuarios sobre cómo procesarán la
información personal proporcionada por los usuarios. Cabe señalar que dado que el
sitio web de DCP es operado por la sede alemana, entendemos que
en este caso, si el distribuidor chino se registra como usuario en el
sitio web de DCP, la sede alemana recopilará la
información personal de la persona de contacto directamente a través del sitio web de DCP.
De acuerdo con la Ley de Protección de Información Personal , las personas y entidades extranjeras
que procesan información personal desde el
territorio de la RPC con el fin de proporcionar productos o
servicios a las personas en la RPC deberán cumplir con las
disposiciones de esta ley. Por lo tanto, el procesamiento de
dicha información personal por parte del sitio web de DCP deberá cumplir con las disposiciones de la
Ley de Protección de Datos Personales. En la actualidad, la privacidad
La política en el sitio web de DCP se basa principalmente en el RGPD de la UE y debe
revisarse más de acuerdo con las leyes de la República Popular China. Además , el Acuerdo de pedido en línea
existente , aunque contiene disposiciones sobre protección de la privacidad, no es suficiente para cubrir los derechos y obligaciones de ambas partes con respecto a la protección de datos. -
(2) Con respecto al negocio de la Empresa B y la Empresa C en la
plataforma EPEC, de acuerdo con el acuerdo de servicio proporcionado por
las Entidades Evaluadas y la información que encontramos en la
Plataforma EPEC, los empleados de la Empresa B y la Empresa C pueden recibir
información personal como nombres reales, números de teléfono de la empresa,
números de teléfono móvil, dirección de correo electrónico, dirección de la empresa y otra
información personal de la persona de contacto del proveedor de la plataforma y
los compradores después de registrarse como miembros, pueden contactar a la
persona correspondiente y procesar transacciones en línea. Al mismo
tiempo, de acuerdo con el acuerdo y la política de la plataforma EPEC,
el miembro de la plataforma no deberá descargar información personal a la
servidor local del miembro de la plataforma. Por lo tanto, la Compañía B y
la Compañía C pueden recibir información personal de la
persona de contacto del comprador en la plataforma, pero no se les permite descargar dicha
información personal a los servidores locales de PA y SEC. Además de
la información personal, los tipos de datos involucrados en la interacción de PA y SEC
con proveedores y socios no incluyen otros
"datos importantes" según la Ley de seguridad de datos según las
respuestas del personal de los departamentos funcionales relevantes a los
cuestionarios y nuestra revisión de los datos relevantes. documentos. El
acuerdo de cooperación/servicio entre la Compañía B y la Compañía C y
la plataforma de terceros no contiene cláusulas de protección de datos
para la aclaración de derechos y obligaciones entre las dos
partes. Además, entendemos que la Compañía B y la Compañía C
actualmente no tienen políticas con respecto al procesamiento de
información personal. -
(3) Con respecto al negocio de ventas de FA en JD, según la
información proporcionada por FA, actualmente hay dos
tiendas Corporate G en JD. Uno se llama "Corporate G JD Self-operated Flagship
Store", que no es operado directamente por FA, sino por
el distribuidor autorizado en línea de FA "Suzhou VIPMRO". La empresa A no puede
ver ni descargar directamente los datos de membresía de la tienda o del consumidor para esta
tienda. Después de revisar el Acuerdo de distribución en línea firmado por
la Compañía A con Suzhou VIPMRO Information Technology Co., Ltd.,
no contiene disposiciones relevantes sobre cumplimiento de datos y
protección de información personal o que requieran que el distribuidor procese datos en
conformidad con las normas legales. La otra tienda, la "
Tienda insignia oficial de Corporate G", es operada directamente por FA. Todos los miembros del equipo de comercio electrónico
responsables de operar la "
Tienda insignia oficial de Corporate G" pueden ver y descargar la información del pedido de la
tienda a través del sistema backend de la tienda. La información del pedido
contiene el número de identificación que realizó el pedido, el nombre del cliente,
la dirección del cliente, el número de contacto. Si el cliente elige facturar,
también puede ver la información de facturación completada por el cliente
(como el nombre de la parte a la que se emite la factura, el número de identificación fiscal,
la dirección de la empresa, el banco de depósito y el número de cuenta). El
e-commerce team employees currently have the authority to send
messages to the consumers of the store, which is currently handled
by the store managers and customer service representatives. The
messages contain an option to unsubscribe, but according to the
information provided by the Company at present, it is uncertain
whether the consumers are informed in writing before sending such
messages. Besides, at present, Company A does not have a privacy
policy applicable to its self-operated store. It should be noted
that whether Company A directly views and downloads the store order
information when operating a store or obtain the consumers’ personal
información del agente de terceros o de la plataforma en línea al
confiar a un tercero para operar una tienda en su nombre, deberá
cumplir con las obligaciones de protección de información personal correspondientes
y procesar la información personal relevante de acuerdo
con las disposiciones de la Ley de Protección de Información Personal . Además
, al confiar a VIPMRO la operación de la tienda, debe
exigir a VIPMRO que procese los datos del consumidor de acuerdo con las
leyes y reglamentos pertinentes y las disposiciones de la plataforma JD.
En la actualidad, la Empresa A no cuenta con una política correspondiente para la
protección de datos personales. -
(4) Con respecto al negocio de ventas de la Compañía A en la
plataforma VIPMRO, según la información proporcionada por FA, la
plataforma VIPMRO pertenece al distribuidor autorizado en línea de FA "Suzhou
VIPMRO". La Compañía A no tiene tiendas en VIPMRO y solo ofrece
productos de la Corporación G en la plataforma y no opera directamente
las transacciones en línea. Por lo tanto, la empresa A no puede ver
ni descargar directamente los datos de pedidos y consumidores. Después de revisar el Acuerdo de distribución en línea
firmado por la Compañía A con Suzhou VIPMRO
Information Technology Co., Ltd., descubrimos que no contiene
disposiciones relevantes sobre cumplimiento de datos e información personal.
protección o requiere que los distribuidores procesen los datos de acuerdo
con las normas legales. Además, cabe señalar que si
la Empresa A obtiene información personal de los consumidores de
la plataforma VIPMRO para los fines necesarios, como los servicios de posventa, deberá
cumplir con las obligaciones de protección de información personal correspondientes
y procesar la información personal relevante de acuerdo
con las disposiciones de la Ley de Protección de Datos Personales . Como
se mencionó anteriormente, la Compañía A actualmente no tiene una política en vigor
con respecto a la protección de la información personal. -
(5) Con respecto al negocio de ventas de FA en la plataforma 1688, hay
dos tiendas G corporativas oficialmente autorizadas en la plataforma 1688
operadas por dos distribuidores autorizados de G corporativa. Los miembros del equipo de comercio electrónico de Corporate G
tienen las subcuentas backend de las dos
tiendas, por lo que pueden ver los pedidos de las tiendas y la
información de los compradores estipulada en los pedidos (es decir, la identificación que realiza el pedido,
el destinatario, la dirección de entrega, número de contacto), pero no puede
descargar directamente dichos datos. Si necesitan descargar los datos, el
responsable de la operación de la tienda designado por el distribuidor
lo hará y los enviará a los empleados de la Compañía A. La persona a cargo de
Las operaciones de la tienda designadas por el distribuidor pueden enviar mensajes a
los consumidores de las tiendas y hay una opción para darse de baja.
Después de revisar el Acuerdo de cooperación para autorizar a Shanghai
Baice Self-Control Technology Co., Ltd. a abrir una tienda G corporativa
y el Acuerdo de cooperación para autorizar a Shanghai Wudie Trading
Co., Ltd. a abrir una tienda G corporativa proporcionados por FA, hay una
obligación de confidencialidad del distribuidor con respecto a
los datos del cliente, registros de ventas, comprobantes de documentos y otra información
provista por FA, y cuando Corporate G solicite o se
rescindan los acuerdos, dicha información se devolverá en su totalidad a Corporate G o
destruido de acuerdo con las instrucciones de Corporate G'. Sin embargo,
los dos acuerdos no contienen disposiciones sobre
el cumplimiento de la información personal y los datos ni exigen que los distribuidores procesen los datos de
conformidad con las leyes. Además, cabe señalar que al
ver u obtener información del consumidor, los empleados de la Compañía A deberán
cumplir con las obligaciones de protección de información personal correspondientes
y procesar la información personal relevante de acuerdo
con las disposiciones de la Ley de Protección de Información Personal .
Además, como se mencionó anteriormente, la Compañía A actualmente no tiene una
política en vigor con respecto a la protección de la información personal. -
Además, la Compañía vende productos y servicios mediante la firma de
acuerdos de distribución con distribuidores fuera de línea. De acuerdo con el
Acuerdo de distribución que firmó con Beijing Hot Innovation
Control System Co., Ltd. y el Acuerdo de distribución que firmó
con Chongqing Xikaiang Technology Co., Ltd., la Compañía A puede solicitar
al distribuidor por escrito que proporcione información como el
destino de los productos distribuidos, eso significa que en la práctica
es posible que la Empresa A obtenga información de los usuarios finales (que
también puede incluir la información personal de la persona de contacto)
del distribuidor. Los dos acuerdos de distribución no contienen
disposiciones sobre protección de información personal y cumplimiento de datos,
ni contienen cláusulas de "cortafuegos" para evitar que los distribuidores
impliquen a la Compañía A debido a su procesamiento de datos en violación
de las regulaciones.
[Riesgos potenciales de cumplimiento:]{.underline}
-
(1) Es posible que la sede de Alemania envíe correos electrónicos que contengan
anuncios comerciales a la dirección de correo electrónico personal del
contacto del cliente sin el consentimiento del individuo. Además, las
personas que operan las tiendas en línea posiblemente envíen los
mensajes promocionales a los miembros VIP de las tiendas en línea sin el
consentimiento de las personas relevantes. -
(2) The privacy policy on the DCP website needs to be reviewed
and revised in accordance with the relevant laws and regulations of
the PRC, and the Online Order Agreement signed with some
distributors which use DCP more frequently is not comprehensive on
the provisions regarding the protection of personal information. -
(3) There are no provisions on personal information protection
and data compliance in the agreements with online, offline
distributors and third-party online platforms. There are no
“firewall” clauses to prevent the Company from being implicated by
third parties due to the third parties’ unlawful processing of
personal information, either. -
(4) Para la tienda autogestionada de FA, la Compañía no ha firmado un
acuerdo de servicio específico con JD para aclarar los derechos y
obligaciones de ambas partes además de un
acuerdo de usuario estándar, y la tienda autogestionada no ha formulado
las políticas de privacidad correspondientes . , ni ha informado a los consumidores
de cómo la tienda tratará su información personal recabada. -
(5) Las Entidades Evaluadas no establecen políticas de
protección de la información personal para regular el uso que los empleados hacen de
la información personal obtenida de terceros.
[Sugerencias preliminares:]{.subrayado}
-
(1) Se recomienda agregar la estipulación en los
acuerdos de correspondencia o cooperación con los clientes para
obtener el consentimiento del cliente para recibir correos electrónicos promocionales. La
Compañía también debe notificar al cliente que puede encargar a terceros
el envío de dichos correos electrónicos promocionales y obtener el
consentimiento del cliente. Si se trata del procesamiento de información personal confidencial
, se debe resaltar la parte relevante y
se debe obtener el consentimiento por separado. Al enviar los mensajes a los
consumidores de las tiendas en línea, los consumidores deben ser informados por
escrito y se debe obtener el consentimiento. -
(2) Revise la política de privacidad del sitio web de DCP y el Acuerdo de pedido en línea
firmado con algunos distribuidores que usan DCP con más
frecuencia según las leyes y regulaciones actuales de la República Popular China y realice
las modificaciones necesarias. -
(3) Agregar las disposiciones sobre protección de datos personales y
cumplimiento de datos en los contratos con distribuidores en línea y
distribuidores fuera de línea y la plataforma EPEC, así como
cláusulas de “cortafuegos” para evitar que la Compañía se vea implicada en el
procesamiento ilegal de información personal por parte de terceros. fiestas. -
(4) For FA’s self-operated store, if feasible, sign a specific
service agreement with JD to clarify the rights and obligations of
both parties. At the same time, formulate a privacy policy for the
self-operated store and inform the consumers of how the stores will
process the personal information. -
(5) Establish policies for the protection of personal
information.
7. Cybersecurity and Data Compliance Management
-
Al revisar los documentos proporcionados por la Compañía y las entrevistas
con los departamentos comerciales relevantes de las Entidades Evaluadas, entendemos
que aunque la Compañía tiene ciertos
requisitos prácticos para la seguridad cibernética, la seguridad de los datos y
la protección de datos de información personal en sus operaciones diarias, como
establecer un oficial de cumplimiento de datos/seguridad cibernética dedicado,
establecer ciertos permisos de acceso a algunos datos, exigir a la
empresa matriz o afiliadas en el extranjero que cumplan con ciertos
procesos de administración para obtener permiso para ver dichos datos, usar
el canal encriptado SSL para la transferencia, etc. Sin embargo, los requisitos
en estas prácticas no son suficientes para cubrir las obligaciones
La empresa debe cumplir en términos de seguridad de la red, seguridad de los datos
y protección de la información personal como operador de red y
procesador de datos. Dichas obligaciones pueden incluir la formulación de una
política de clasificación de datos, las políticas relacionadas con la gestión de la seguridad de la red
, una política de respuesta ante emergencias ante accidentes de seguridad de la red, una política de gestión de accidentes de seguridad de la información, una política de gestión de auditoría interna de seguridad de la
red y de la información y procedimientos operativos. -
Además, al revisar los documentos proporcionados por la Compañía y
las entrevistas con el departamento comercial relevante en las
Entidades Evaluadas, entendemos que las Entidades Evaluadas no están
clasificadas como "Operador de Infraestructura de Información Crítica"
bajo la Ley de Ciberseguridad y que los datos accedidos y
procesados por la Compañía incluye información personal y otros
datos comerciales que no se incluyen en los "datos importantes" según se
define en la Ley de Seguridad de Datos . Esto significa que los datos que la
Compañía procesa no involucran datos importantes que puedan
poner en peligro la seguridad nacional y la seguridad pública una vez manipulados,
destruidos, adquiridos o explotados ilegalmente. En la actualidad, las
Entidades Evaluadas no han formulado
políticas de gestión y procedimientos operativos correspondientes bajo la Ley de Protección de Datos Personales
, tales como las reglas de recolección de información personal,
reglas de uso de información personal,
reglas de procesamiento de información personal sensible, políticas de almacenamiento y protección de información personal
, información personal. compartir, proporcionar, transferir y
confiar las reglas de procesamiento, las reglas de transferencia transfronteriza de información personal
, etc.
[Riesgos potenciales de cumplimiento:]{.underline}
- Como operador de red bajo la Ley de Ciberseguridad y
procesador de información personal bajo la Ley de Protección de Datos Personales
, las Entidades Evaluadas no han realizado evaluaciones relevantes
de conformidad con las disposiciones pertinentes de la Ley de Ciberseguridad
y la Ley de Protección de Datos Personales , ni han
formulado políticas de gestión y procedimientos operativos
relacionados con la protección de la seguridad de la red y
la protección de la información personal.
[Sugerencias preliminares:]{.subrayado}
-
(1) De acuerdo con la práctica actual de aplicación de la ley, los
departamentos de aplicación de la ley pueden tener un cierto grado de tolerancia
si una empresa no está involucrada en los
incidentes de seguridad de la red y seguridad de la información personal, pero considerando que las
Entidades Evaluadas realizan una gran cantidad de interacción de información nacional y extranjera
, se sugiere que el establecimiento de
políticas y procedimientos internos relevantes para la seguridad de la red,
la seguridad de los datos y la protección de la información personal se inicie lo
antes posible. Mientras tanto, se recomienda que las
Entidades Evaluadas consideren completar la calificación, archivo y evaluación de la
protección clasificada de seguridad de la red, que generalmente
incluir los siguientes pasos: (a) Determinar el grado de protección del
sistema de acuerdo con las leyes y
reglamentos pertinentes 25 . En concreto, el operador del sistema de información
debe determinar el grado de seguridad del sistema de información, utilizar
los productos de tecnología de la información que cumplan con los
requisitos correspondientes, llevar a cabo
trabajos de construcción y reconstrucción de seguridad, formular e implementar el sistema de gestión de seguridad
requerido por la protección de seguridad correspondiente. calificación. (b) Con la
condición de que la clasificación sea precisa y se necesite archivar 26 ,
el operador debe ir al órgano de seguridad pública en o por encima del
municipal level in the local area to handle the filing
formalities27. © Obtain a filing certificate. After the
submitted filing materials are reviewed and approved, the public
security organ at the municipal level or above in the local area
will issue the “Information System Security Grade Protection
Filing Certificate”. (d) Carry out graded security assessments.
Information systems operators should regularly carry out the
security assessments. The frequency of the security assessment on a
Level I system is at least once a year. The frequency of the Level
IV system is at least once every six months. The Level V
El sistema de información debe evaluarse de acuerdo con
las necesidades especiales de seguridad. El operador del sistema deberá presentar oportunamente el
informe de evaluación del sistema de información a los
órganos de seguridad pública. Si hay necesidad de rectificación, el
informe de rectificación debe enviarse a la seguridad pública para el registro
después de la finalización de la rectificación. Asimismo, los
órganos de seguridad pública también inspeccionarán los
sistemas de información de Nivel III y Nivel IV con la misma frecuencia de evaluación. Los
sistemas de información de Nivel V están sujetos a inspección por
departamentos especiales designados por el estado. Cabe señalar que el
primer paso, es decir, la clasificación del sistema, es particularmente crítico y el
los órganos de seguridad pública requerirán que el operador haga
una rectificación si la clasificación es inexacta y también pueden recomendar
que el operador organice expertos para una revisión de clasificación.
Por lo tanto, para garantizar el cumplimiento desde la calificación hasta
la evaluación, muchas empresas optarán por contratar a una institución externa
con calificaciones y experiencia relevantes para que
las ayude a manejar los asuntos desde el comienzo de la calificación del sistema
hasta las siguientes etapas. También recomendamos que las
Entidades Evaluadas, si es factible, consideren contratar a una institución externa
con calificaciones y experiencia relevantes para ayudar en la
clasificación, presentación y evaluación de la
protección del grado de seguridad de la red.28 . -
(2) In addition, in the practice of data compliance management
involving external entities (in particular third parties providing
data processing services to the Company), if the signatory party to
the agreement is one of the Corporate G entity, but the agreement
in fact covers all the Corporate G entities, assuming that the data
of the other Corporate G entities is leaked due to a data security
incident by a third party, causing losses to the other Corporate G
entities, in the process of claim for damages, it may be more
difficult to make claims because the other Corporate G entities are
not the signing parties. Therefore, it is recommended to sort out
si existe esta situación (después de nuestra clasificación preliminar y
comentarios de la Compañía, esta situación sí existe, como un
acuerdo firmado con la FSG, etc.). Si es así, se recomienda
firmar un acuerdo complementario con la otra parte del
contrato, aclarando que el contenido del acuerdo cubre todas
las entidades Corporativas G relevantes, o aclarar que la
entidad Corporativa G que firmó el acuerdo con la parte externa es
derecho a presentar reclamos en nombre de las otras entidades en
caso de una disputa a través de un acuerdo interno entre las
entidades Corporativa G relevantes.
8. Consejos de cumplimiento para usar una VPN corporativa 29
-
De acuerdo con la información proporcionada por la Compañía por correo electrónico el
20 de mayo de 2022, las cuatro Entidades Evaluadas actualmente usan
VPN corporativa "construida por ellos mismos" por su sede en Alemania, y Checkpoint
brinda estos servicios relacionados con VPN corporativa para Corporate G. Para
ser específicos, Checkpoint firmó el acuerdo de servicios con
la sede de Corporate G para proporcionar los servicios corporativos de VPN a
Corporate G a nivel mundial. -
En 2017, el Ministerio de Industria y Tecnologías de la Información emitió
el Aviso de Compensación y Regulación del Mercado de Servicios de Acceso a la Red de Internet
, que además aclara que sin la aprobación
de las autoridades de telecomunicaciones competentes, no se permite
utilizar otros canales mediante el establecimiento o alquiler de servicios específicos. canales (incluidas las VPN de redes privadas virtuales) para llevar a cabo actividades comerciales
transfronterizas 30 . El canal especial internacional arrendado por la empresa de telecomunicaciones básicas al usuario se registrará en un expediente colectivo de usuarios y se notificará al usuario que los usuarios sólo harán uso de él para trabajos internos de oficina y se
no lo use para conectar los centros de datos nacionales o extranjeros o las
plataformas comerciales para llevar a cabo
actividades comerciales de telecomunicaciones. Esto significa que cuando las empresas de comercio exterior y
las empresas multinacionales necesitan redes transfronterizas a través de un
canal especial debido a razones como el uso interno de la oficina,
pueden alquilar los servicios de canales especiales de
los operadores comerciales de telecomunicaciones que operan negocios de canales de entrada y salida de comunicaciones internacionales
de acuerdo con con las leyes -
Con base en las disposiciones anteriores del Ministerio de Industria y
Tecnologías de la Información y la práctica actual del mercado, actualmente, una
empresa puede utilizar la VPN corporativa mediante los siguientes dos métodos. Un
método es utilizar los servicios proporcionados por los
operadores básicos de telecomunicaciones (es decir, China Telecom, China Mobile, China Unicom) que
tienen una licencia comercial de VPN. Las empresas con las necesidades pueden
comunicar sus necesidades a dichos operadores (oa través de agentes que
tengan relaciones de cooperación con dichos operadores), y los
operadores proporcionarán el plan de servicio correspondiente de acuerdo con las
necesidades de las empresas e implementarán el plan en consecuencia. El
otro método consiste en establecer un sistema totalmente independiente.
self-established corporate VPN (i.e., not using the VPN service of
Chinese mainland basic telecom operators), which generally needs to
first go through the approval/filling process of the ministry of
industry and information technology and other regulatory
authorities before setting up the channel and configuration
facilities in both the domestic office and overseas office of the
company. There are relatively few companies that currently use this
method because it needs to be reported to the regulatory
authorities and time-consuming. -
A través de búsquedas públicas y consultas telefónicas, Checkpoint, un
proveedor de servicios VPN corporativo para Corporate G, tiene una
oficina de representación en Beijing, China (es decir, Israel Checkpoint
Security Software Technology Co., Ltd.,
oficina de representación en Beijing). Según la información que se muestra en su
sitio web oficial en China 31 , Checkpoint tiene oficinas en Beijing, Shanghái
y Guangzhou en China continental, pero no tiene una
licencia comercial de VPN según nuestra consulta. Después de una consulta telefónica
, descubrimos que Checkpoint es solo un agente cuando
realiza negocios de VPN, sirviendo principalmente como un
canal de comunicación entre los clientes y los operadores tales
como intercambiar las necesidades, confirmar los detalles del programa, etc. El
diseño del programa específico y el trabajo de implementación todavía están a cargo
de los operadores de telecomunicaciones básicas. En resumen, entendemos que si
Checkpoint proporciona servicios VPN corporativos para las
Entidades Evaluadas de esta manera, el servicio VPN corporativo de Checkpoint
actualmente utilizado por las Entidades Evaluadas en realidad es proporcionado por el
operador de telecomunicaciones básico con la licencia comercial de VPN. 32 Además
, según nuestra comunicación telefónica con el jefe del
departamento de TI de la Compañía el 5 de julio de 2022, la Compañía también
compra equipos de hardware para la VPN corporativa de un agente de
Checkpoint
[Riesgos potenciales de cumplimiento:]{.underline}
- Cabe señalar que si los acuerdos firmados respectivamente con
Checkpoint y el proveedor del equipo de hardware no exigen que
los productos o servicios VPN corporativos proporcionados por ellos
cumplan con las leyes y reglamentos pertinentes de la RPC, puede
causar pérdidas a Corporate G si están violando la ley.
[Sugerencias preliminares:]{.subrayado}
- Se recomienda que Corporate G incluya una cláusula de "cortafuegos" que
requiera que Checkpoint y el proveedor del equipo de hardware proporcionen
servicios o productos de VPN de conformidad con las leyes
y regulaciones chinas pertinentes en los acuerdos de servicio firmados respectivamente con
Checkpoint y el proveedor del equipo de hardware a fin de evitar
que Corporate G se vea implicado por sus violaciones de leyes y
reglamentos.
En este informe, la evaluación y análisis sobre la transmisión transfronteriza
de datos se redactó en base a las
respuestas de la Entidad de Evaluación a las preguntas pertinentes el 25 de noviembre de 2022, y la
evaluación y análisis sobre las actividades de procesamiento de datos restantes
se redacta en base a la información proporcionada por las
Entidades Evaluadas a 6 de julio de 2022. ↩︎https://files.Corporate
G.com/webcat/navi/productInfo/doct/tdoct5900c_eng.pdf?v=20220428132148 ↩︎Este documento menciona que Corporate G procesará
la información personal de acuerdo con las leyes y reglamentos aplicables
y solo cuando se
utilicen las medidas técnicas y organizativas apropiadas para proteger la información personal de pérdida, modificación y
uso o divulgación no autorizados. ↩︎Según la respuesta de la empresa, el sistema de licencia DigiWay y
el sistema de nómina de Cityrays utilizan la base de datos de SQL Server, y los
proveedores de software no tienen la autoridad DBA de la base de datos y,
por lo tanto, no pueden acceder a la base de datos. ↩︎Para los sistemas de información utilizados debido a
la adquisición global de Corporate G, también recomendamos agregar una cláusula de protección de datos conforme
a las leyes de la República Popular China al acuerdo de adquisición de software, si
es factible. Las prácticas detalladas se pueden discutir más a fondo después de
entender las operaciones existentes de la Compañía. ↩︎Según la información proporcionada por la Compañía,
TI abre los buzones de correo en funcionamiento de las cuatro Entidades Evaluadas en China, y las correspondencias de correo electrónico también se almacenan en servidores
locales ubicados dentro de China continental.
Infórmenos si la
Compañía descubre más tarde durante la operación que existe alguna
posibilidad de que dichos datos se transfieran al extranjero. ↩︎La referencia interna se realiza principalmente a través de correo electrónico y
anuncios de grupos de WeChat ↩︎Cuando los currículos de los candidatos se recopilan a través de las
cuentas oficiales de WeChat de las dos empresas o a través de referencias internas, cuando el
candidato envía su CV a la empresa o al empleado de la
empresa, se considerará que los candidatos han aceptado que la
empresa podría trata la información personal facilitada por los
candidatos con fines de contratación. ↩︎Hemos recibido un Acuerdo de Servicios entre la Compañía B y
Liepin de PA. Háganos saber si esto también se aplica a FA
y VMT. ↩︎According to the Assessed Entities, FA and VMT employees are not
required to complete a separate registration form at the time of
onboarding. ↩︎According to FA and VMT’s responses, the Personal Data Sheet
will be completed during the interview and will be integrated into
the employee’s profile after official recruitment and the employee
is not required to complete the form separately when onboarding. ↩︎If Company B and Company C view the health information such as
the employee’s pre-employment medical check report and annual
medical check report, such information is also sensitive personal
information. ↩︎De los cuales 249 son empleados de FA, 47 son empleados de PA, 33
son empleados de la empresa C y 15 son empleados de VMT. ↩︎Entre los cuales 16 690 contactos de socios comerciales para FA, 1 238
contactos de socios comerciales para PA, 500 contactos de socios comerciales para
la Compañía C y el número de contactos comerciales para VMT no debe ser
superior a 100 según las respuestas de las Entidades Evaluadas. ↩︎Entendemos que dicha información personal incluye principalmente el
nombre del destinatario, el número de teléfono de contacto y la dirección, y no
implica información personal confidencial. Háganos saber si nuestro
entendimiento es incorrecto. ↩︎Incluso si la información personal (sin incluir
información personal confidencial) de los familiares de los empleados proporcionados se
almacena en el servidor local en Alemania, la cantidad de familiares de
empleados cuya información personal se almacena en servidores locales en
Alemania se estima en 344*5. =1.720, en base a un promedio de cinco
familiares por empleado. Al sumar este número al número total de
información personal basada en la RPC almacenada en el servidor en el extranjero,
el número de personas cuya información personal se almacena en el extranjero
es 22 972 + 1 720 = 24 692, que es menos que las 100 000
personas especificadas en la Evaluación de seguridad . Medidas para
transferencias de datos salientes . ↩︎Según las respuestas proporcionadas por las Entidades Evaluadas el
25 de noviembre de 2022, se espera que las Entidades Evaluadas firmen
acuerdos de transferencia de datos transfronterizos con las
entidades extraterritoriales pertinentes en diciembre de 2022. ↩︎Como se mencionó anteriormente, dicha información personal confidencial se almacena
en el servidor local dentro de China continental. ↩︎Según la información proporcionada actualmente por las
Entidades evaluadas, las Entidades evaluadas no son
operadores de infraestructura de información crítica ("CIIO") y no manejan datos críticos.
Por lo tanto, las Entidades Evaluadas deberán prestar atención a: si la
cantidad de información personal procesada ha llegado a 1 millón
de personas; si la cantidad acumulada de
información personal confidencial transferida al extranjero desde el 1 de enero del año anterior
ha llegado a 10 000 o si la cantidad acumulada de
información personal transferida al extranjero ha llegado a 100 000 desde el 1 de enero
del año anterior. Si en el seguimiento de los negocios de las
Entidades Evaluadas, algún dato crítico es transferido al exterior o las Evaluadas
Las entidades se enumeran como CIIO, las Entidades evaluadas realizarán
el trabajo pertinente y solicitarán la evaluación de seguridad en las transferencias de datos transfronterizas
a tiempo. transferido ↩︎De acuerdo con el anuncio emitido por la Administración Estatal
para la Regulación del Mercado y el CAC el 4 de noviembre de 2022, las
instituciones de certificación dedicadas a
la certificación de protección de información personal deberán realizar actividades de certificación después de ser
aprobadas e implementar la certificación de acuerdo con las
Reglas para la implementación de
Certificación de protección de datos personales . Entendemos que en vista del hecho de que el
anuncio se ha lanzado oficialmente recientemente, queda por
aclarar qué aprobación
deben obtener las instituciones de certificación y qué organizaciones ya han
sido aprobadas, etc. ↩︎The CAC issued the Provisions on Standard Contracts for
Cross-border Transfers of Personal Information (Draft for Comments)
on 30 June 2022, but it has not yet come into force officially. ↩︎Based on the information provided by Corporate G for us, the data
processed does not contain important data at the moment. If
important data is involved in the future, the relevant regulations
regarding critical data would apply. ↩︎If the Company would hire a third party in the process of sales
prediction and analysis, please inform us. ↩︎Entendemos que los datos de los clientes en Universal
Messenger son del sistema ERP de la Compañía, cuyos datos
se almacenan en los servidores de la sede alemana en Alemania y
son inaccesibles para el personal de Universal Messengers. Además,
si los remitentes de correo electrónico están configurados por la TI alemana, todos los registros de los
correos electrónicos también se almacenan en los servidores de Alemania. Infórmenos
de lo contrario si nuestro entendimiento es inexacto. ↩︎De acuerdo con las Directrices para clasificar el sistema de información para
la protección clasificada de la seguridad de la información , actualmente se
divide principalmente en cinco niveles. En el primer nivel, cuando
se daña un sistema de información, se causará daño a los
derechos e intereses legítimos de los ciudadanos, personas jurídicas y otras
organizaciones, pero no se dañará la seguridad nacional, el orden social y
el interés público. En el segundo nivel, cuando un sistema de información
se daña, causará un daño grave a los derechos
e intereses legítimos de los ciudadanos, personas jurídicas y otras organizaciones, o
causará daños al orden social y al interés público, pero no a
national security. At the third level, when information systems are
damaged, they can cause serious damage to social order and the
public interest, or damage to national security. At the fourth
level, when information systems are damaged, they can cause
particularly serious damage to social order and the public interest,
or serious damage to national security. At the fifth level, when
information systems are damaged, they can cause particularly serious
damage to national security. ↩︎De acuerdo con las leyes y reglamentos pertinentes, los sistemas de información
de Nivel II o superior que hayan sido operados (operados) deberán pasar
por los trámites de presentación ante el órgano de seguridad pública del
nivel distrital municipal o superior donde se encuentre ubicado. ↩︎Los requisitos materiales específicos se pueden ver en el
sitio web oficial del Ministerio de Seguridad Pública
https://zwfw.mps.gov.cn/work.html . ↩︎También podemos recomendar organizaciones de terceros con
experiencia relevante según las necesidades de Corporate G. ↩︎“VPN” aquí se refiere específicamente a la VPN en el contexto de
redes transfronterizas. ↩︎En 2019, una empresa de comercio exterior en la provincia de Zhejiang utilizó
un "software de elusión" para acceder a los sitios web bloqueados en el extranjero,
y su comportamiento constituyó el establecimiento y uso no autorizados
de canales no legales para redes internacionales. La
policía de Haiting impuso a la empresa una sanción administrativa al ordenarle que
dejara de usar "software de elusión" y dar una advertencia de
conformidad con las disposiciones pertinentes de las Disposiciones provisionales
de la República Popular China sobre la gestión de
redes internacionales de redes de información informática . ↩︎https://www.checkpoint.com.cn/about-us/contact-us/ ↩︎
Después de una consulta telefónica con Checkpoint, supimos que
Checkpoint brinda servicios a través de este método. Si el
método de cooperación de la Compañía y Checkpoint es diferente de lo que conocemos actualmente
, infórmenos. ↩︎