Os requisitos regulatórios de vários países sobre exportação de dados sempre foram o cata-vento da regulamentação de dados em vários países. Isso não apenas reflete a ênfase do país na segurança de dados, mas também reflete a atitude do país em relação à concorrência de dados e ao desenvolvimento da economia digital. Por exemplo, o Regulamento Geral de Proteção de Dados da União Europeia (GDPR) estabelece restrições à exportação de dados pessoais, que estipula que os dados pessoais podem ser transferidos para um terceiro país na premissa de que o terceiro país tem um nível adequado de proteção e, se o país terceiro não tem um nível de proteção adequado, o controlador ou processador só pode transferir dados pessoais para um país terceiro se forem fornecidas salvaguardas adequadas e o titular dos dados tiver direitos executáveis e recursos legais eficazes. O conteúdo acima é um requisito regulamentar especial para a exportação de dados pessoais e também uma tentativa de resolver os obstáculos institucionais ao desenvolvimento da economia digital única da UE.
A supervisão da exportação de dados também é particularmente importante para a China, onde a economia digital está crescendo. Por um lado, é necessário estabelecer o valor da supervisão de dados. Por outro lado, o design do sistema de supervisão de exportação de dados afetará diretamente as operações diárias de empresas multinacionais e estrangeiras e afetará mais profundamente o processo de desenvolvimento do economia digital. Com o estabelecimento das três principais leis de "Lei de Segurança de Rede", "Lei de Segurança de Dados" e "Lei de Proteção de Informações Pessoais", e a introdução de leis e regulamentos relacionados para consulta, o quadro jurídico do sistema transfronteiriço de dados do meu país completou a construção básica. Entre eles, o sistema de avaliação de segurança de exportação de dados ocupa uma posição muito importante no sistema transfronteiriço de dados do meu país. Em 7 de julho de 2022, as "Medidas de avaliação de segurança de exportação de dados" foram oficialmente promulgadas, o que significa que o sistema de avaliação de segurança de exportação de dados do meu país deu um passo importante de um sistema conceitual para um sistema prático em termos de eficácia. Com base na revisão da evolução histórica do sistema transfronteiriço de dados do meu país, este artigo fornece uma interpretação operacional do método de autoavaliação das "Medidas de avaliação de segurança de exportação de dados" e fornece diretrizes de conformidade de autoavaliação para empresas e outros processadores de dados.
01
Sistema transfronteiriço de dados orientado a regras
No que diz respeito ao país, a entrada em vigor da "Lei de Segurança de Redes" estabeleceu inicialmente as regras básicas para dados transfronteiriços tendo como núcleo o sistema de avaliação de segurança; com a introdução de leis e regulamentos como o " Lei de Segurança de Dados" e "Lei de Proteção de Informações Pessoais", O quadro jurídico do sistema transfronteiriço de dados melhorou gradualmente e o posicionamento do sistema de avaliação de segurança no sistema transfronteiriço de dados tornou-se gradualmente claro. Durante este período, a fim de implementar efetivamente as normas do sistema no nível legal, os departamentos relevantes, como a Administração Estatal do Ciberespaço da China e as unidades de definição de padrões, lançaram sucessivamente documentos preliminares, como regras detalhadas e diretrizes padrão para dados transfronteiriços. em diferentes níveis, esclarecendo os princípios de compliance de dados transfronteiriços.Direções regulatórias e práticas.
02
A evolução histórica do sistema de avaliação de segurança transfronteiriça de dados do meu país
No processo de desenvolvimento do sistema nacional transfronteiriço de dados, a avaliação da segurança da exportação de dados tem sido usada como um método de conformidade para dados transfronteiriços e foi gradualmente refinada com a promulgação do projeto de regras. Abaixo, resumimos a evolução histórica do sistema de avaliação de segurança transfronteiriça de dados da seguinte forma:
- O início do sistema de avaliação de segurança transfronteiriça de dados - com a "Lei de segurança cibernética" como símbolo
(1) A "Lei de segurança cibernética" estabelece as bases para o sistema de avaliação de segurança transfronteiriça de dados
Em termos de tempo, a Lei de Cibersegurança de 2017 (“Lei de Cibersegurança”) foi a primeira a impor requisitos de avaliação de segurança em dados transfronteiriços. O artigo 37 da "Lei de Segurança Cibernética" apresenta requisitos para a localização de informações pessoais e dados importantes coletados e gerados na China por operadores de infraestrutura de informações importantes ("CIIO"). A avaliação de segurança deve ser realizada de acordo com o método formulado pelos departamentos relevantes. No entanto, os três conceitos principais de "operadores de infraestrutura de informação crítica", "dados importantes" e "informações pessoais" nas disposições acima não são definidos e não há regulamentos de avaliação de segurança nacional correspondentes, o que torna a "Lei de Segurança Cibernética "Ainda há um longo caminho a percorrer entre os regulamentos e a implementação real do sistema de avaliação de segurança transfronteiriça de dados. Portanto, no mesmo ano, a Administração Estatal do Ciberespaço da China solicitou publicamente pareceres sobre as "Medidas para a Avaliação de Segurança de Informações Pessoais e Exportação de Dados Importantes no Exterior (Rascunho para Comentários)", e o Comitê Nacional de Padrões posteriormente divulgou as "Diretrizes para a Avaliação de Segurança da Exportação de Dados de Tecnologia de Segurança da Informação no Exterior (Rascunho para Comentários)" (“Diretrizes para Avaliação de Segurança de Exportação de Dados (Rascunho para Comentários)”) está aberta para comentários. Ambos os documentos aprofundaram e refinaram ainda mais a estrutura de avaliação de segurança transfronteiriça de dados estabelecida pela Lei de Segurança Cibernética em graus variados.
(2) Projetos de consulta em fases esclarecem a direção
A contribuição das "Medidas de Avaliação de Segurança Transfronteiriça de Informações Pessoais e Dados Importantes (Rascunho para Comentário)" é estabelecer o processo básico de procedimentos de avaliação de segurança sob o sistema transfronteiriço de dados. As "Medidas" estabeleceram disposições específicas sobre as situações que requerem avaliação de segurança, o conteúdo da avaliação de segurança a focar, o departamento competente responsável pela avaliação de segurança, etc., e estabeleceram a autoavaliação como pré-processo e pedido de avaliação como o link formal. , reavaliado como um processo de avaliação de segurança apoiado pela sustentabilidade. Entre eles, também é importante notar que o escopo de aplicação da avaliação de segurança foi ampliado. Alarga os sujeitos aplicáveis a qualquer operador de rede que cumpra as condições do artigo 9.º, e ao mesmo tempo alarga os tipos de dados a dados com um determinado volume. As "Diretrizes para Avaliação de Segurança de Exportação de Dados (Rascunho para Comentário)" definem e listam conceitos básicos como dados transfronteiriços, dados importantes e dados principais. O nível de possibilidade de evento é o plano de implementação da avaliação de segurança da dimensão de julgamento.
Então, após cerca de dois anos, as "Medidas de Gerenciamento de Segurança de Dados (Rascunho para Comentário)" e as "Medidas para a Avaliação de Segurança da Transferência de Informações Pessoais no Exterior (Rascunho para Comentário)" foram solicitadas publicamente para comentários. As "Medidas de Gerenciamento de Segurança de Dados (Rascunho para Comentário)" incluem o conteúdo relevante de informações pessoais e estipulam a coleta, processamento e uso, supervisão de segurança e gerenciamento de dados, incluindo informações pessoais. As "Medidas de Gerenciamento de Segurança de Dados (Rascunho para Comentário)" distingue entre dados importantes e informações pessoais. Se dados importantes estiverem envolvidos além-fronteiras, as operadoras de rede devem realizar uma avaliação e relatório para aprovação ou aprovação; as informações pessoais serão regidas por outros regulamentos.
Nas "Medidas de Avaliação de Segurança de Exportação de Informações Pessoais (Rascunho para Comentário)" que se seguem, as restrições à exportação de informações pessoais são mais rigorosas do que as de dados Declaração de avaliação de segurança de exportação de informações. As "Medidas para a Avaliação de Segurança da Transferência de Saída de Informações Pessoais (Rascunho para Comentários)" podem ser consideradas como uma versão detalhada das anteriores "Medidas para a Avaliação de Segurança da Transferência de Saída de Informações Pessoais e Dados Importantes (Rascunho para Comentários )". O conteúdo é especificado em detalhes, e é enfatizado que o que deve ser estipulado no contrato assinado pelo operador de rede e o destinatário de informações pessoais ou outros documentos juridicamente eficazes (referidos coletivamente como contrato) protege os direitos de informações pessoais e as responsabilidades dos operadores de rede e destinatários de informações pessoais Requisitos obrigatórios. Neste documento, a revisão do contrato torna-se o conteúdo principal da avaliação de segurança.
Nesta fase, o sistema de avaliação de segurança transfronteiriça de dados foi discutido e refinado em um grau mais alto, o que estabeleceu a importante posição do sistema no sistema transfronteiriço de dados.
- Uma atualização importante do sistema de avaliação de segurança transfronteiriça de dados - marcado pela "Lei de Segurança de Dados" e "Lei de Proteção de Informações Pessoais"
(1) A aplicação do sistema de avaliação de segurança transfronteiriça de dados é cada vez mais diversificada e específica
Com a promulgação e entrada em vigor sucessivas da Lei de Segurança de Dados (“Lei de Segurança de Dados”) e da Lei de Proteção de Informações Pessoais (“Lei de Informações Pessoais”), o quadro legal básico do sistema de dados transfronteiriço do meu país foi ainda mais esclarecido . O Artigo 31 da "Lei de Segurança de Dados" continua as disposições da "Lei de Segurança de Rede" quando a CIIO fornece dados importantes no exterior e também fornece um sistema para processadores de dados não CIIO fornecerem dados importantes no exterior. A "Lei de Informações Individuais" define ainda os processadores de informações pessoais com base nos processadores de dados e estipula um capítulo especial sobre "Regras para Fornecimento Transfronteiriço de Informações Pessoais" para criar especificamente uma estrutura de regras para informações pessoais transfronteiriças. Ao abrigo da "Lei da Carta Pessoal", existem regulamentos mais detalhados sobre o sistema de avaliação de segurança no contexto das informações pessoais transfronteiriças.
Em termos de assuntos aplicáveis, a “Lei de Cartas Pessoais” herda as disposições da “Lei de Segurança de Redes” e “Lei de Segurança de Dados”, e inclui os processadores de informações pessoais pertencentes ao CIIO no âmbito dos responsáveis que necessitam de avaliação de segurança. Com base nisso, os artigos 36 e 40 da "Lei da Carta Pessoal" acrescentam ainda duas entidades responsáveis que precisam realizar avaliações de segurança, a saber, agências estatais e processadores de informações pessoais cujo processamento de informações pessoais atinja o número especificado pelo departamento de informações da rede nacional (doravante referidos como "grandes processadores de informações pessoais"). A "Lei da Carta Pessoal" apresenta requisitos para a localização de informações pessoais para os três acima, e se for necessário sair do país, é necessária uma avaliação de segurança. Entre eles, o CIIO é um conceito que existe há muito tempo, e sua definição de conceito, padrões de identificação e procedimentos de identificação são estipulados com relativa clareza nos "Regulamentos de proteção de infraestrutura de informação crítica". Cada entidade pode realizar uma autoavaliação sobre se pode ser identificada como um CIIO de acordo com os requisitos do Regulamento. Se puder ser identificada como um CIIO, é aconselhável realizar um trabalho de compliance de dados transfronteiriço com base no CIIO padrões. Pode-se ver que em todo o sistema de exportação de dados, a avaliação da segurança da exportação de dados ocupa uma posição muito importante. Porque para um determinado assunto, a avaliação de segurança não é uma “obrigação facultativa” prevista no artigo 38.º, n.º 1 da “Lei da Carta Pessoal”, mas sim uma “obrigação obrigatória” prevista nos artigos 36.º e 40.º; a “obrigação facultativa” de dados exportação no Artigo 35 dos "Regulamentos de Gerenciamento de Segurança de Dados de Rede (Mistura para Comentários)" é a "obrigação obrigatória" estipulada no Artigo 37. Ao mesmo tempo, "processadores de informações pessoais cujas informações pessoais atingiram o número especificado pelo departamento de informações da rede nacional" precisam ser mais bem definidos.
(2) Projetos de regras subsequentes tentam implementar o sistema
A formação da troika de "Lei de Segurança de Redes", "Lei de Segurança de Dados" e "Lei de Carta Individual" forneceu a base para a formulação do posterior "Regulamento de Gestão de Segurança de Dados de Redes (Esboço para Comentários)". Os "Regulamentos de Gerenciamento de Segurança de Dados de Rede (Rascunho para Comentário)" lidam uniformemente com dados transfronteiriços e expandem a estrutura institucional transfronteiriça para informações pessoais em uma estrutura geral para sistemas de dados transfronteiriços, que basicamente segue a estrutura institucional do Lei da Carta Pessoal. Mas, ao mesmo tempo, as provisões das três principais leis foram refinadas para formar um suplemento do sistema. Com base na avaliação contínua da segurança da exportação de dados como condição para a exportação de dados, o "Regulamento de gerenciamento de segurança de dados de rede (esboço para comentários)" tenta esclarecer ainda mais as condições de acionamento da avaliação da segurança da exportação de dados. inclui o fornecimento de informações pessoais no exterior por processadores de dados cujos dados de saída contêm dados importantes e lidam com informações pessoais de mais de um milhão de pessoas.
As medidas atualmente em vigor atualizaram ainda mais o sistema unificado de avaliação de segurança com base no processamento unificado da exportação de dados. O Artigo 4 da "Lei de Informações Pessoais" complementa a definição de "processadores de dados pessoais cujas informações pessoais atingem o número especificado pelo departamento de informações da rede nacional". Com base em "informações pessoais", a situação dos processadores de dados que "fornecem foram adicionadas informações pessoais de mais de 100.000 pessoas ou informações pessoais sensíveis de 10.000 pessoas no exterior desde 1º de janeiro do ano anterior", o que ampliou significativamente o escopo da exportação de dados. Escopo de aplicação do sistema de avaliação de segurança.
No que diz respeito ao processo de avaliação específico, as Medidas para Avaliação da Segurança da Exportação de Dados clarificaram o quadro do processo de avaliação de autoavaliação - avaliação do pedido - avaliação da redeclaração e actualizaram alguns detalhes. Por exemplo, em relação ao período de validade, as Medidas para Avaliação de Segurança de Exportação de Dados estipulam um período fixo de validade de 2 anos, sendo necessária uma avaliação de segurança ao final do período de validade de 2 anos, e também estipula que re -avaliação é necessária dentro do período de validade. Quanto ao prazo de avaliação, as Medidas para Avaliação de Segurança de Exportação de Dados levam em consideração a complexidade do trabalho de avaliação de segurança. Por exemplo, de acordo com os requisitos do Artigo 10, após o departamento de informações da rede nacional aceitar o aplicativo, ele precisa organizar os departamentos relevantes do Conselho de Estado e agências da rede provincial de acordo com a situação do aplicativo. Portanto, todo o processo requer colaboração multidepartamental e alto profissionalismo.
Nesta abordagem, documentos jurídicos, como contratos transfronteiriços de dados, ainda são conteúdo de avaliação importante. Em comparação com as "Medidas de avaliação de segurança de exportação de informações pessoais", as "Medidas de avaliação de segurança de trânsito de dados" lidam de forma abrangente com informações pessoais e protegem os direitos de informações pessoais. integra as responsabilidades e obrigações dos operadores de rede e destinatários e complementa os requisitos de cláusulas transfronteiriças e cláusulas de resolução de disputas, por isso é mais conciso e também enfatiza a viabilidade, abrangência e aplicabilidade de contratos padrão.
Pode-se ver pelo exposto que, no sistema transfronteiriço, após a entrada em vigor da "Lei de Segurança de Dados" e da "Lei de Proteção de Informações Pessoais", os legisladores gradualmente resolveram a relação entre dados e informações pessoais e estabeleceram um cruzamento de dados basicamente unificado -quadro institucional do direito fronteiriço. A construção do sistema transfronteiriço de informações pessoais durante esse período ampliou uma variedade de caminhos que permitem que os dados atravessem a fronteira. Entre os muitos caminhos, a avaliação de segurança ainda é o caminho mais importante para dados transfronteiriços legais e também é uma obrigação obrigatória para processadores de dados específicos. Ao mesmo tempo, a avaliação de segurança é um sistema transfronteiriço de dados com características chinesas, e sua implementação específica deve receber atenção e atenção suficientes. A entrada final em vigor das "Medidas de Avaliação de Segurança de Exportação de Dados" simboliza a implementação adicional do sistema de avaliação de segurança de exportação de dados do meu país e fornece uma base legal definida e operável para os processadores de dados realizarem trabalhos de avaliação de segurança de dados, por isso é de significado do marco.
03
Interpretação do conteúdo das Medidas para Avaliação da Segurança da Exportação de Dados
1. Situação e processo de avaliação da exportação de dados
Do ponto de vista do sistema geral, as "Medidas de avaliação de segurança de exportação de dados" estipulam as regras processuais e o conteúdo de avaliação substantiva da avaliação de segurança. A autoavaliação-pedido de avaliação-reavaliação, bem como as matérias de avaliação, tempo de avaliação, aviso de avaliação, complementação e correção de matérias de avaliação e revogação de resultados de avaliação estipulados nas Medidas são todos regulamentos processuais. Esses regulamentos podem ajudar os processadores de dados a se localizarem no momento em que conduzem o trabalho de avaliação de segurança de exportação de dados.
2. Conteúdo da avaliação de exportação de dados
Nos links acima mencionados, a autoavaliação dos processadores de dados e a avaliação de segurança de departamentos relevantes, como o Departamento de Informação da Internet, constituem conteúdos relativamente críticos e importantes em todo o processo de avaliação. Os artigos 5.º e 8.º da lista "Medidas para a avaliação da segurança da exportação de dados" explicam as principais questões da autoavaliação e da avaliação da segurança.
Vale a pena notar que, sobre se a autoavaliação da segurança da exportação de dados é uma obrigação legal obrigatória para as empresas, as "Medidas de Avaliação da Segurança da Exportação de Dados" também deram uma resposta tendenciosa correspondente. Notamos que o Artigo 5 da minuta oficial das "Medidas para Avaliação de Segurança de Exportação de Dados" mudou as condições estatutárias para as empresas realizarem "autoavaliação" e mudou o "processador de dados antes de fornecer dados no exterior" na minuta original para comentários a "processamento de dados". Os processadores devem relatar a avaliação de segurança de exportação de dados antes", então entendemos que a autoavaliação do risco de segurança de exportação de dados pode não ser uma obrigação legal obrigatória para casos que obviamente não atendem aos requisitos ou não pertencem para a situação que precisa relatar a avaliação de segurança de exportação de dados para departamentos relevantes, como o Departamento de Informações da Internet. No entanto, isso não significa que as empresas não precisem fazer julgamentos internos independentes antes de fornecer dados no exterior. Portanto, as empresas ainda podem se auto-avaliar certificar se atendem aos requisitos para avaliação de segurança de exportação de dados por meio de autoavaliação. Além disso, o Artigo 55 da "Lei de Proteção de Informações Pessoais" ainda exige que as empresas cumpram a obrigação legal de avaliar o impacto da proteção de informações pessoais ao fornecer informações pessoais no exterior.
Além do acima, o Artigo 9 das "Medidas para Avaliação da Segurança da Exportação de Dados" também explica o conteúdo que deve ser incluído em documentos legais transfronteiriços de dados (contratos); a definição de termos de documentos legais também constituirá uma parte importante de autoavaliação e avaliação de segurança .
Avaliação de documentos legais de exportação de dados
A finalidade, método e escopo da exportação de dados, a finalidade e o método de processamento de dados pelo destinatário no exterior;
O local e período de armazenamento de dados no exterior e as medidas de processamento para os dados de saída após o período de armazenamento ser atingido, o objetivo acordado ser concluído ou o documento legal ser rescindido;
Requisitos obrigatórios para destinatários no exterior para retransferir dados de saída para outras organizações e indivíduos;
As medidas de segurança que devem ser tomadas quando o destinatário no exterior tiver mudanças substanciais em seu controle real ou escopo de negócios, ou mudanças nas políticas e regulamentos de proteção de dados de segurança do país ou região e ambiente de segurança de rede, ou outras situações de força maior que dificultem a garantir a segurança dos dados;
Medidas corretivas, responsabilidade por quebra de contrato e métodos de resolução de disputas por violações de obrigações de proteção de segurança de dados acordadas em documentos legais;
Quando os dados de saída são adulterados, destruídos, vazados, perdidos, transferidos ou obtidos ilegalmente, usados ilegalmente, etc., os requisitos para realizar adequadamente a resposta de emergência e as formas e meios para proteger os direitos e interesses dos indivíduos para proteger seus dados pessoais Informação.
Pode-se ver acima que as principais questões da autoavaliação e da avaliação de segurança se sobrepõem até certo ponto. A avaliação de segurança se concentrará nos riscos trazidos pelas atividades de exportação de dados à segurança nacional, aos interesses públicos e aos direitos legítimos e interesses de indivíduos ou organizações. Com base nisso, considere adicionalmente o impacto das políticas, leis e ambiente de segurança de rede do país ou região onde o destinatário no exterior está localizado na segurança dos dados de saída, bem como atividades de saída de dados e a conformidade das partes relevantes com as leis chinesas, regulamentos administrativos e regras departamentais.
3. Dimensões e requisitos para as empresas realizarem a autoavaliação
Conforme mencionado acima, este documento acredita que, quando os processadores de dados realizam formalmente o trabalho de avaliação, eles devem incorporar totalmente a avaliação da etapa de avaliação do aplicativo e a avaliação dos termos de documentos legais, como contratos, no conteúdo da autoavaliação. No entanto, tendo em vista que o conteúdo dessas avaliações ainda é relativamente amplo em termos de expressão, este artigo, com base no resumo do conteúdo da avaliação das Medidas para Avaliação de Segurança de Exportação de Dados, refina ainda mais sua granularidade e se esforça para fornecer uma visão mais clara orientação para o trabalho de autoavaliação. De acordo com o Artigo 5º, Artigo 8º e Artigo 9º das Medidas para Avaliação da Segurança da Exportação de Dados, este trabalho entende que a autoavaliação pode ser realizada a partir das seguintes dimensões: dimensão do processador de dados, dimensão do receptor de dados e dimensão do risco de exportação de dados, e a dimensão de restrição do contrato. Eles estão organizados da seguinte forma: