为进一步落实《中华人民共和国个人信息保护法》(下称“《个保法》")、《中华人民共和国网络安全法》和《中华人民共和国数据安全法》,国家互联网信息办公室制定的《数据出境安全评估办法》(下称“《评估办法》")已于2022年9月1日正式实施,并发布了《数据出境安全评估申报指南(第一版)》(以下称“《申报指南》),以填补《评估办法》的实际执行及操作细节。《申报指南》对数据出境安全评估的申报方式、申报流程、申报材料等具体要求作出了说明,并提供了数据出境安全评估申报材料、经办人授权委托书、数据出境安全评估申报书、数据出境风险自评估报告的范本。
个人资料保护办公室(下称“个资办")呼吁本澳企业了解相关规定,确保依法处理涉及内地跨境的个人资料,而为让本澳各界了解《评估办法》的相关规定,个资办已开展相应合规讲解工作,并整理以下重点,供公众参考:
- 数据出境活动包括:
- 数据处理者将在境内运营中收集和产生的数据传输、存储至境外;
- 数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。
- 适用范围属下列任一种情况:
- 向境外提供重要数据;
- 关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
- 自2020年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
- 国家网信办规定的其他情形,则符合数据出境安全评估的适用。
- 重要数据的定义:一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。
除了上述的重点外,部分法律定义与本澳惯常使用的有所区别,例如敏感资料(内地称为“敏感信息”)的定义;数据处理者亦须确保个人信息的出境过程符合《个保法》及相关法规的要求。
《评估办法》设立了半年的过渡期(至2023年3月1日),让数据处理者对2022年9月1日前开展的数据出境活动进行整改,以便相关的处理符合《评估办法》的相关规定。如本澳的企业、机构访问或调用设于内地的资讯设备系统的数据,且有关数据处理适用《评估办法》所订明的情况,应尽快检视相关规定对其数据出境活动的影响,做好合规审查以符合相关的监管要求和法定义务,避免数据不法出境。有关《评估办法》的详细内容,欢迎浏览个资办网页中的“协助中小企等机构做好《中华人民共和国个人信息保护法》合规工作专页”(https://www.gpdp.gov.mo/featuredsites/notification/main.html)。