PIPL 2024: 中国跨境数据传输手册

PIPL 2024《中国跨境数据传输手册》 《亚洲商业指南系列》 现在可下载： 中国商务门户 • 中国指南 • 印度指南 • 越南指南 • 东盟指南 • 香港指南 •印度尼西亚指南 • 新加坡指南• 中国超级城市群指南 • 迪拜指南 我们的最新《在中国开展业务》在线门户包括100多个指南、视频、出版物和实用工具，便于导航，涵盖以下内容：为何选择中国、投资地区、行业洞察、如何设立公司、税收、审计和会计、人力资源、招聘、PEO和薪资管理、新闻、活动等更多信息。 本版《2023/24年中国跨境数据传输手册》由德勤夏里和联合事务所的专业团队制作，编辑为钱周和Arendse Huld，撰稿人为Nathaniel Rushforth。指南的创意设计由Aparajita Zadoo和Miguel Enrico Anciano提供。 免责声明 本指南的内容仅供参考。如有具体商业建议，请联系合格的专家顾问。版权所有 2024，亚洲快讯有限公司。未经出版商事先许可，不得 关于德勤世达及合伙人 德勤世达及合伙人是一家遍及亚洲的多学科专业服务公司，为国际企业投资者提供法律、税务和运营咨询服务。我们在中国、印度和东盟地区运营，使命是指导外国公司通过亚洲复杂的监管环境，并帮助他们在该地区建立、维护和扩展业务运营的各个方面。凭借超过30年的现场经验，以及一支由律师、税务专家、审计师、研究人员和商业分析师组成的大型团队，我们是您在亚洲增长的合作伙伴。 目录表 6引言：这为什么重要？ 272829293031313232343434343637标准合同的登记程序中新标准合同指南在粤港澳大湾区简化实施。近期发展与趋势：简化CBDT要求对于外国公司提高符合中央税务局（CBDT）合规要求的数据量阈值。程序放宽“重要数据”出口的要求某些跨境数据交易的豁免在自由贸易区内促进数据流通。安全评估有效期延长新法规对外国公司的影响在中国2024年网络安全和数据处理法规展望关于法律定义的更多明确性实施“绿色通道”和“普通通道”的试验“免费CBDT数据”列表进一步调整以与DEPA和CPTPP保持一致。基准结论：企业如何应对中国市场的不断演变跨国数据传输制度附录I：中国CBDT的监管框架 引言：这为什么重要？ 全球跨境数据流的激增促使包括中国在内的世界各国政府加强了对数据出口的监管并提升了安全措施。在欧洲联盟颁布《通用数据保护条例》（GDPR）的背景下，中国通过颁布《中华人民共和国网络安全法》（CSL），引入了对数据出口的限制。随后的立法，如《数据安全法》（DSL）和《个人信息保护法》（PIPL），以及补充性法规，持续完善了中国的跨境数据传输（CBDT）制度。 亚当·利弗莫尔合作伙伴：迪赞·希拉及联合公司 对于经常将数据跨境传输或作为其运营一部分远程访问中国数据的跨国公司来说，了解中国税务局（CBDT）不断变化的要求和标准至关重要。遵守中国的相关数据法律不仅对于合法经营至关重要，而且对于最大化数据安全和促进数据跨境顺畅流动也极为关键。未能实施适当的中国税务局（CBDT）机制可能导致数据共享延迟、业务中断和不可预见的处罚。 尽管网络安全和数据保护法律已经发展得很好，中国的监管环境仍在不断演变。2023年，针对数据保护和网络安全的多项新法规被推出，特别强调了个人数据保护法（CBDT）。此外，2024年3月发布了一项新规定，放宽了CBDT的规定。 这个持续的开发阶段产生了某些框架差距，使得外国公司难以精确识别适用的要求和实现全面合规所必需的措施。因此，许多公司尚未采取行动，使自己面临即将到来的政策变动和合规风险。 鉴于当前动态的环境，法律和网络安全领域的专家强调企业采取积极立场对待CBDT的重要性。企业不应等待执法，而应适当地解决已知和未知方面的问题。 此PIPL手册从商业视角解释了我国中央银行制度的关键方面，突出了近期趋势和预期发展，并为企业在规划其合规方法时提供了实用步骤。 哪些数据受CBDT机制的规范？ 中国首次对某些类型数据的出口实施限制，这一措施在2016年的《网络安全法》中得以实施。随后，《数据安全法》和《个人信息保护法》，两者均于2021年生效，在其各自的体系内规定了关于控制数据出境的基本原则。从2021年到2023年，中国的网络安全当局一直在对控制重要数据和个人信息出境的程序的法律要求进行持续细化，进一步明确了企业的责任和 accountability。 在当前关于中国跨境数据传输（CBDT）（见附录I对中国CBDT监管框架的概述）的监管框架下，“重要数据”和“个人信息”是当前受中国跨境数据传输机制约束的两个数据类别，尽管在实践中，中国政府倾向于对CBDT实施更广泛的概念——任何跨境流动的数据都需要符合CBDT的要求。 个人信息 根据《个人信息保护法》（PIPL），“个人信息”（PI）被定义为“通过电子或其他方式记录的与已识别或可识别的自然人相关的所有信息，但匿名处理的信息除外”。 与欧盟的通用数据保护条例（GDPR）相比，PIPL明确排除了“匿名化”个人信息的定义。 另一个重要差异在于GDPR和PIPL对个人信息的定义。已故人员。PIPL不适用于已故人员的个人资料，如同GDPR的规定。然而，中国的PIPL允许已故人员的近亲属复制或请求访问相关个人资料。他们还有权部分复制、更正或删除任何相关个人资料，以维护他们自身的合法或正当利益。 “个人信息保护法”（PIPL）下“敏感个人信息”（SPI）的定义和范围也与“特殊类别数据”下的《通用数据保护条例》（GDPR）不同。 第二十八条个人信息保护法规定了“敏感个人信息”是：个人尊严可能受到损害的个人信息，或其个人或财产一旦泄露或非法使用所造成的损害这随后是一个不完全的列表，其中包括： • 生物识别数据，• 宗教信仰信息，• “特定身份”，• 医疗健康，• 财务账户，• 行踪和位置，• 任何未成年人的个人信息——14岁以下的人 事实上，财务账户信息被归类为SPI对许多外国公司来说是一个惊喜。这表明，几乎任何涉及支付交易的商业活动都会涉及SPI的处理。公司可以参考国家标准号GB/T35273-2020以更好地理解PIPL定义的SPI的详细范围。 欧盟通用数据保护条例（GDPR）列出了所有“特殊类别数据”，这使得公司或个人能够轻松识别他们所处理的个人信息（PI）是否属于这一类别。个人信息保护法（PIPL）的定义更为详细，但并未像GDPR那样包含一个完整的列表。 欧盟通用数据保护条例（GDPR）将16岁以下未成年人的个人信息（PI）视为特殊类别数据（尽管欧盟成员国对年龄限制的具体规定不同，有些国家将其降低至13岁），而个人信息保护法（PIPL）规定为14岁，这意味着高中生个人信息将默认不被视为敏感个人信息。 重要数据 “重要数据”定义为特定领域、群体和区域的数据，或达到一定精度和规模的数据，一旦泄露、篡改或被破坏，可能直接危害国家安全、经济运营、社会稳定、公共健康和安全。值得注意的是，仅影响组织本身或个人公民的数据通常不被视为重要数据。 此定义由国家市场监督管理总局（SAMR）和中国标准化研究院（SAC）于2024年3月发布的名为的技术标准提供。数据安全技术 - 数据分类与定级规则 [GB/T 43697-2024] 技术标准为公司和监管机构提供了最新指南，用于识别和分类不同类型的数据，以符合将于2024年10月1日起生效的中国个人信息和数据保护法规。 技术标准还包括了指导利益相关者识别重要数据的指南。这些指南概述了评估数据风险水平时应考虑的因素。其中一些因素包括： • 是否数据直接影响到领土安全和国家安全，或反映国家自然资源的基本情况，如关于土地、水资源和空域的未公开数据；• 数据是否可能被其他国家或组织用于对中国发动军事攻击，或反映中国的战略储备、紧 急动员、战斗力等，例如满足一定精度指标的地形数据或与战略物资的生产能力和储备相关的数据；• 数据是否直接影响到市场经济秩序，如支持位于关键信息基础设施或重要经济领域的核心业务运行的数据；• 数据是否与中国在太空、深海和极地等战略新区域的实际或潜在利益相关，例如与太空、深海和极地科学探索、开发和利用相关的未公开数据，以及影响上述区域人员安全进出数据；• 数据是否反映核材料、核设施或核活动的情况，或可用于造成核损害或其他核安全事件，例如涉及核电站设计图纸和核电站运行的数据。 除上述技术标准外，中国网信办（CAC）最近已明确表示，任何未由行业监管机构明确标识为“重要”的数据，将不视为此类，因此将受到更宽松的合规程序约束。 此外，中国的自由贸易区（FTZs）被允许独立实施其自己的数据负面清单，这些数据在出口时必须遵守合规程序。这些清单将适用于在FTZs成立的公司。截至本文写作之时，FTZs仍在开发这些负面清单。 网络安全与数据安全 我们的中国及亚洲地区监管框架内的网络安全与合规领域专业知识，为公司提供定义和改善其安全与合规立场的必要经验。 鉴于当前的发展情况，建议外国公司进行必要的数据分类和评级工作，以评估他们持有的任何数据是否被评级为“重要”。 探索详情 哪些公司将面临CBDT问题？ 费奥贝·颜合作伙伴 大连办公室德勤世达会计师事务所 任何从中国主体收集一定数量数据并需要将其发送海外或允许海外人员访问数据的公司都将面临跨境数据传输问题。 总的来说，跨境数据传输机制主要影响： 跨国公司并且外国公司“ • 跨国公司和外国公司；以及 • 工业和电信公司/关键信息基础设施运营者（CIIOs）。 通常面临更高的跨境数据传输关切风险。” 跨国公司和外国公司 例如，那些在特定行业运营或在中国的运营规模较大的跨国公司和外国公司，通常面临更高的关于中央直属税务局（CBDT）问题关注的可能性。 • 拥有大量员工、合作伙伴、会员或客户的公司，• 技术设备制造，• 医疗设备制造商，• 数据和信息服务提供商，• 软件开发，• 营销服务，• 金融服务业，• 医疗保健服务，• 教育服务；• 住宿和旅行服务；• 其他服务公司。 关键信息基础设施运营商 外国跨国公司也可以在定义为准“关键信息基础设施运营（CIIO）”的一些行业中运营。根据《关键信息基础设施安全保护条例》，CIIO被定义为参与“重要行业或领域”的企业，包括： • 公共通信和信息服务；• 能源；• 交通运输；• 水资源；• 金融；• 公共服务；• 电子政府服务；• 国防；以及• 在能力丧失、损坏或数据泄露的情况下可能严重损害国家安全、国民经济和人民生活，或公众利益的任何其他重要网络设施或信息系统。 什么是CBDT活动？ 在中国《网络安全法》（CSL）、《数据安全法》（DSL）或《个人信息保护法》（PIPL）中，对“跨境数据传输”没有具体的定义。然而，可以从以下三个文件中找到线索： • 数据出口安全评估措施；• 数据出口安全评估和申报指南（第一版）；以及• 个人信息出口的标准合同措施。 根据数据出口安全评估措施，跨境数据传输被定义为： • 向位于境外的机构、组织和个人提供PI以及在中国境内运营过程中收集和生成的重要数据。 《数据出口安全评估和声明指南》（第一版）列出了某些被视为跨境数据传输的具体情况，包括： • 在中国境内运营期间收集或生成的数据由数据处理者转移或存储在境外；• 数据处理者收集和生成的数据存储在中国境内，供海外机构、组织或个人进行查询、检索、下载和出口；• 以及由CAC规定的任何其他涉及需要传输境外的数据活动的其他行为。 最后，根据《个人信息出口标准合同措施》，跨境数据（PI）转移被定义为： • 当PI处理器在海外传输和存储在境内运营期间收集和生成的PI时；• 当PI处理器在境内存储由PI处理器收集和生成的PI，但海外机构、组织或个人可以查询、检索、下载和出口PI时；• CAC规定的其他将PI出口海外的行为。 从上述定义中，跨境数据传输可能被解释为： • 直接将重要数据和PI转移到海外地点，•